Les mots de passe des utilisateurs devraient avoir un minimum de 12 caractères et inclure des majuscules, des minuscules, des chiffres et des caractères spéciaux. Ces restrictions peuvent cependant être abaissées si des mesures sont prises en complément.

Pour protéger les utilisateurs et garantir la confidentialité de leurs données, les éditeurs ne devraient pas laisser leurs utilisateurs choisir librement leur mot de passe, mais devraient imposer des restrictions. La nature de ces restrictions ne sont pas imposées, car le RGPD se contente d’indiquer de prendre des « mesures adaptées aux risques »[1]. La CNIL a cependant émis des recommandations[2] pour aider les éditeurs à prendre des mesures qu’elle juge adaptées.

La Commission distingue quatre cas :

  • lorsque l’authentification utilise uniquement un mot de passe : le mot de passe doit, dans ce cas, être de 12 caractères minimum, et être composé de majuscules, de minuscules, de chiffres et de caractères spéciaux ;
  • lorsque l’authentification utilise uniquement un mot de passe et que le compte de l’utilisateur est bloqué, temporairement ou définitivement, après un certain nombre de tentatives incorrectes : le mot de passe doit, dans ce cas, être de 8 caractères minimum et doit comporter 3 des 4 catégories de caractères parmi les majuscules, les minuscules, les chiffres et les caractères spéciaux ;
  • lorsque l’authentification utilise un mot de passe associé à un identifiant unique communiqué au préalable et que le compte de l’utilisateur est bloqué, temporairement ou définitivement, après un certain nombre de tentatives incorrectes : le mot de passe doit, dans ce cas, être de 5 caractères minimum, sans obligation d’utiliser des caractères particuliers ;
  • lorsque l’authentification utilise un mot de passe, un équipement physique d’authentification, comme une carte à puce, et que le compte de l’utilisateur est bloqué définitivement après trois tentatives incorrectes : le mot de passe doit, dans ce cas, être de 4 caractères minimum, sans obligation d’utiliser des caractères particuliers ;

Un site Internet classique, un forum par exemple, qui propose aux internautes de créer un compte et qui ne prend aucune mesure par ailleurs, devra donc exiger un mot de passe de 12 caractères, composés de nombreux caractères particuliers, mais une banque, qui communique une carte bancaire et qui bloque la carte au bout de trois tentatives incorrectes, peut exiger uniquement un mot de passe de quatre chiffres.

Ces mesures ne sont cependant pas imposées mais recommandées. Il faudrait toutefois être capable de bien argumenter si des mesures alternatives étaient prises, surtout si ces mesures sont moins protectrices.

Par ailleurs, rien n’interdit à un éditeur de prendre des mesures plus strictes. De manière générale, plus le mot de passe est long et composé de caractères différents, plus la sécurité sera forte. Il est donc important non seulement d’accepter de longs mots de passe, mais aussi d’accéder tous les caractères, aussi bien des chiffres, des lettres que des accents, des caractères de ponctuation, des espaces, des symboles monétaires, etc.

Pour améliorer davantage la sécurité, il peut aussi être intéressant de créer une liste de termes interdits que les mots de passe ne pourront pas contenir. Cette liste peut contenir, par exemple, les mots du dictionnaire ou les mots de passe faisant partie de brèches de données connues.

Toutes ces contraintes peuvent être mal perçues par les utilisateurs qui peuvent avoir des difficultés à générer et mémoriser un mot de passe conforme aux exigences. Un lien vers un générateur de mots de passe peut être proposé pour leur permettre de créer facilement un nouveau mot de passe et des conseils peuvent leur être donnés, notamment celui de noter leur mot de passe[3].

Enfin, un manque de robustesse des mots de passe peut être sanctionné par l’autorité de contrôle, c’est-à-dire la CNIL pour la France. Des sociétés ont d’ailleurs déjà été sanctionnées pour un tel manquement, notamment :

  • le vendeur en ligne SPARTOO, car les clients pouvaient utiliser un mot de passe d’uniquement six caractères[4] ;
  • le spécialiste des ventes privées BRICO PRIVÉ, car les clients pouvaient utiliser un mot de passe d’uniquement six chiffres[5].

Notes et références

  1. Le RGPD demande aux responsables de traitement de données à caractère personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2).
  2. La CNIL a publié des recommandations sur la sécurité d’une authentification par mot de passe : CNIL, Délibération n° 2017-012, 19 janvier 2017.
  3. Les internautes devraient noter leurs mots de passe, sur un document papier ou en utilisant un gestionnaire de mots de passe. Voir l’article « Vous devriez noter vos mots de passe ».
  4. La société Spartoo a été sanctionnée par la CNIL, car les clients pouvaient utiliser des mots de passe trop faibles (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  5. La société Brico Privé a été sanctionée par la CNIL pour avoir notamment permis à ses clients de choisir un mot de passe d’uniquement six caractères numériques (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité ».

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données