Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Le II. 3 de la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe dispose que :
« S'agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu'il soit transformé au moyen d'une fonction cryptographique non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l'utilisation d'un sel ou d'une clé.
« La commission estime de plus que le sel ou la clé doit être généré au moyen d'un générateur de nombres pseudo-aléatoires cryptographiquement sûr (c'est-à-dire basé sur un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), et ne pas être stocké dans le même espace de stockage que l'élément de vérification du mot de passe. »
La commission décide de la suppression de ces deux alinéas qu'elle remplace par un paragraphe rédigé comme suit :
« S'agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une fonction cryptographique non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l'utilisation d'un sel ou d'une clé. »
La présente délibération est publiée au Journal officiel de la République française.