A vos révisions: Authentification des utilisateurs

La période de fin d’année est l’occasion de réviser les bonnes pratiques en matière de sécurité. Continuons avec ce que nous dit la CNIL (Commission Nationale de l’Informatique et des Libertés, France) :

« Le responsable d’un système informatique doit être en mesure d’assurer que chaque utilisateur du système n’accède qu’aux données dont il a besoin pour l’exercice de sa mission. Pour cela, chaque utilisateur doit être doté d’un identifiant qui lui est propre et doit s’authentifier avant toute utilisation des moyens informatiques.

Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés en trois familles selon qu’ils font intervenir:

  • ce que l’on sait, par exemple un mot de passe,
  • ce que l’on a, par exemple une carte à puce,
  • une caractéristique qui nous est propre, par exemple une empreinte digitale ou encore une signature manuscrite. Pour rappel, la loi Informatique et Libertés subordonne l’utilisation de la biométrie à l’autorisation préalable de la CNIL*.

L’authentification d’un utilisateur est qualifiée de forte lorsqu’elle a recours à une combinaison d’au moins deux de ces méthodes.

Les précautions élémentaires :

  • A propos des identifiants (ou logins) des utilisateurs, ceux-ci doivent, dans la mesure du possible, être différents de ceux des comptes définis par défaut par les éditeurs de logiciels. Les comptes par défaut doivent être désactivés.

Aucun compte ne devrait être partagé entre plusieurs utilisateurs.

  • Dans le cas d’une authentification des utilisateurs basée sur des mots de passe, leur mise en œuvre doit respecter les règles suivantes :

– avoir une taille de 8 caractères minimum ;

– utiliser des caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Des moyens mnémotechniques permettent de créer des mots de passe complexe, par exemple

– en ne conservant que les premières lettres des mots d’une phrase ;

– en mettant une majuscule si le mot est un nom (ex : Chef) ;

– en gardant des signes de ponctuation (ex : ’) ;

– en exprimant les nombres à l’aide des chiffres de 0 à 9 (ex : Un ->1) ;

Exemple, la phrase «un Chef d’Entreprise averti en vaut deux» correspond au mot de passe 1Cd’Eaev2 ;

– changer de mot de passe régulièrement (tous les 3 mois par exemple).

  • Lorsque le renouvellement d’un mot de passe est consécutif à un oubli, une fois que le mot de passe a été réinitialisé, l’utilisateur doit être dans l’obligation de le changer dès sa première connexion afin de le personnaliser.

Ce qu’il ne faut pas faire

  • Communiquer son mot de passe à autrui ;
  • stocker ses mots de passe dans un fichier en clair ou dans un lieu facilement accessible par d’autres personnes ;
  • utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, …) ;
  • utiliser le même mot de passe pour des accès différents ;
  • configurer les applications logicielles afin qu’elles permettent d’enregistrer les mots de passe.

Pour aller plus loin

  • Concernant les mécanismes d’authentification, il est recommandé de se référer aux règles et recommandations concernant les mécanismes d’authentification préconisées dans l’annexe B3 du Référentiel Général de Sécurité**.
  • En cas d’utilisation de méthodes d’authentification reposant sur des dispositifs tels que des cartes à puce ou des schémas d’authentification mettant en œuvre des algorithmes cryptographiques, ceux-ci doivent suivre les règles concernant le choix et le dimensionnement des mécanismes cryptographiques préconisées dans l’annexe B1 du Référentiel Général de Sécurité***.
  • Dans l’éventualité d’une authentification par des dispositifs biométriques il est nécessaire d’effectuer une demande d’autorisation auprès de la CNIL.

D’une manière générale, la CNIL recommande l’utilisation de biométrie sans traces (contour de la main, réseaux veineux…) ou l’enregistrement des empreintes digitales dans un support individuel. Concernant des dispositifs basés sur l’empreinte digitale, il convient de se référer à la Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données situé à l’adresse internet http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNIbiometrie/Communication-biometrie.pdf pour prendre connaissance de la doctrine de la CNIL en la matière. »

Source CNIL : http://www.cnil.fr/les-themes/securite

Philippe

Chef de projet Sécurité