Des progrès à faire en matière d’authentification
La sécurisation des accès constitue un pilier essentiel de la cybersécurité. Trop souvent, elle repose uniquement sur une politique de mots de passe plus ou moins complexe. Pourtant, l’authentification moderne va bien au-delà de ce seul aspect et s’appuie sur trois piliers fondamentaux :
• ce que je sais : un secret que seul l’utilisateur connaît, comme un mot de passe ou un code PIN ;
• ce que je possède : un élément physique ou numérique détenu par l’utilisateur, tel qu’un smartphone ou une clé matérielle ;
• ce que je suis : les caractéristiques biométriques uniques de l’utilisateur.
1. Ce que je sais - La politique de mot de passe
La Commission nationale de l’informatique et des libertés (Cnil) définit des recommandations détaillées pour assurer un niveau minimal de robustesse et de conformité réglementaire des mots de passe.
Aux Etats-Unis, le NIST (National Institute of Standards and Technology) publie également des normes et recommandations couvrant l’authentification, la gestion des identités, la protection des données et la gestion des risques.
Parmi ses documents de référence, la publication SP 800-63B définit les bonnes pratiques de l’authentification moderne, notamment la gestion des mots de passe et l’utilisation de l’authentification multifacteur (MFA).
1.1. Recommandations de la Cnil
Dans sa délibération du 21 juillet 2022 [1], la Cnil fixe un objectif d’entropie minimale de 80 bits pour tout mot de passe autonome, garantissant une résistance suffisante aux attaques par force brute.
L’entropie mesure le niveau d’imprévisibilité d’un mot de passe. Plus elle est élevée, plus le mot de passe est difficile à deviner ou à casser. Elle est exprimée en bits et reflète le nombre moyen de tentatives nécessaires pour le découvrir.
La Cnil propose trois configurations équivalentes pour atteindre cette entropie :
• 12 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux ;
• 14 caractères incluant majuscules, minuscules et chiffres ;
• Phrase de passe (passphrase) composée d’au moins 7 mots en langage naturel.
Pour les comptes à privilèges élevés, la Cnil recommande :
• l’activation obligatoire de l’authentification multifacteur (MFA) ;
• une durée de validité limitée pour les mots de passe administrateurs.
La Cnil met également à disposition un outil de calcul d’entropie [2] permettant aux organisations d’évaluer la robustesse de leur politique de mots de passe.
En 2022, elle a introduit la notion de « devinabilité », qui mesure la résistance d’un mot de passe en tenant compte des tentatives réalistes d’un attaquant.
Cependant, cette approche reste encore difficile à mettre en œuvre faute d’outils fiables et simples, la mesure de l’entropie demeurant donc la référence principale.
1.2. Recommandations du NIST
Le NIST, dans sa publication SP 800-63B [3], impose notamment que :
• la longueur minimale d’un mot de passe soit de 8 caractères ;
• la longueur maximale autorisée atteigne 64 caractères, avec possibilité d’utiliser espaces et caractères ASCII imprimables.
Cette flexibilité favorise l’usage de phrases de passe longues, comme par exemple : « S@mediest1journontravaillé ».
Le NIST recommande également :
• abandonner les règles arbitraires (obligation de chiffres ou de symboles) ;
• ne plus imposer de changements périodiques, sauf en cas de compromission ;
• vérifier automatiquement que les mots de passe ne figurent pas dans des listes de mots compromis ;
• privilégier la mémorisation et la simplicité d’usage sans sacrifier la sécurité ;
• activer la MFA pour les accès sensibles ;<
• chiffrer les mots de passe dans les bases de données (ex. PBKDF2, bcrypt, Argon2).
1.3. Les points communs Cnil / NIST
Les deux organismes s’accordent sur plusieurs principes clés :
• favoriser des phrases de passe longues plutôt que des mots de passe courts et complexes ;
• imposer la MFA pour les comptes à privilèges ;
• limiter la rotation des mots de passe aux seuls cas de compromission ;
• utiliser un chiffrement robuste pour le stockage des mots de passe.
2. Ce que je possède - Le facteur matériel
Ce pilier repose sur la possession d’un élément physique ou numérique contrôlé par l’utilisateur, garantissant que l’accès est accordé uniquement s’il détient ce dispositif.
Exemples courants :
• Applications générant des codes à usage unique (OTP) ;
• Clés de sécurité physiques (FIDO2, YubiKey) ;
• Cartes à puce ou badges, souvent associés à un code PIN ;
• Jetons matériels produisant des codes dynamiques (TOTP/HOTP).
Attention : ces dispositifs ne sont pas invulnérables. Des attaques comme l’interception de communications, le vol de cartes SIM ou la compromission des appareils peuvent permettre à un attaquant d’accéder aux codes temporaires.
Erreur fréquente à éviter : alléger la complexité du mot de passe sous prétexte que la MFA est activée. Le mot de passe doit rester robuste pour assurer une première ligne de défense solide.
3. Ce que je suis - Le facteur biométrique
Ce facteur repose sur des caractéristiques uniques propres à chaque individu. Il évite la mémorisation d’un secret ou la possession d’un objet.
Exemples courants :
• Empreintes digitales ;
• Reconnaissance faciale (ex. Face ID, Windows Hello) ;
• Scan de l’iris ou de la rétine ;
• Reconnaissance vocale ou comportementale (ex. dynamique de frappe).
Bien qu’efficace et pratique, la biométrie est soumise à des obligations légales strictes (RGPD, analyse d’impact, contrôle par l’utilisateur des gabarits biométriques), ce qui peut complexifier sa mise en place.
4. Bonnes pratiques pour les DSI
Pour une politique d’authentification efficace, il est recommandé de :
• exiger une longueur minimale de 12 caractères, et jusqu’à 64 pour les phrases de passe ;
• rendre la MFA obligatoire pour les administrateurs, services critiques et accès distants ;
• bloquer l’utilisation des mots de passe les plus courants (« 12345 », « jetaime », etc.) ;
• chiffrer systématiquement les mots de passe stockés ;
• utiliser des dispositifs de vérification d’identité (PVID) dans le respect des règles légales.
Lexing Technologies accompagne les Directions des Systèmes d’Information (DSI) dans la mise en place et l’optimisation de leurs politiques d’habilitation, en tenant compte des recommandations de la Cnil, du NIST et des meilleures pratiques en matière de cybersécurité.
[1] Délibération n° 2022-100 du 21 juillet 2022 portant adoption d'une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n°2017-012 du 19 janvier 2017.
[2] Vérifier sa politique de mots de passe, recommandations de la Cnil du 12 décembre 2022.
[3] Digital Identity Guidelines Authentication and Lifecycle Management, NIST Special Publication 800-63B, juin 2017.
Anthony Coquer
Directeur Général Lexing Technologies
Anthony Sitbon
Consultant cybersécurité, Directeur Sécurité chez Lexing Technologies
Pour en apprendre davantage
Le Règlement européen sur l’intelligence artificielle constitue un outil essentiel pour comprendre les enjeux juridiques et techniques que pose le RIA (ou AI Act). L’ouvrage analyse et souligne les points clé et analyse article par article ce texte...
La cobotique juridique #3 : Les malfaçons. Ce troisième épisode détaille les différents facteurs de malfaçons et comment les corriger...
