Avant de plonger dans le projet de la CNIL, rappelons d’abord ce qu’est l’authentification multifacteur. Comme son nom l’indique, il s’agit de réunir au moins deux facteurs pour autoriser l’authentification d’une personne. Ces facteurs peuvent prendre trois formes : connaissance, possession ou inhérence.

La première a trait à ce que sait la personne. Il s’agit dans l’immense majorité des cas d’un mot ou d’une phrase de passe. La seconde repose sur un élément que possède la personne, matériel ou logiciel, et ne pouvant pas être mémorisé. Les clés USB, cartes à puces, une application de type Authenticator (OTP) ou encore les passkeys (clés d’accès logicielles) sont les exemples les plus courants. Quant à la troisième, elle table sur ce qu’est ou fait la personne, son caractère indissociable. Tout ce qui touche à la biométrie ou au comportement appartient à cette forme.

Lorsque l’on parle d’authentification multifacteur, on évoque l’association de deux facteurs parmi ces trois catégories. Associer deux mots de passe consécutifs n’est pas considéré comme de la MFA.

Une méthode efficace, mais à surveiller

L’utilité de ce type d’authentification est connue depuis longtemps : un mot de passe peut se voler ou se deviner (surtout quand il est réutilisé sur de multiples sites). L’ajout d’un deuxième facteur (au moins), passant souvent par le téléphone, permet d’autoriser ou refuser un accès selon le contexte. La pratique s’est largement répandue, même s’il reste des progrès à réaliser.

Cette technique, sans représenter l’alpha et l’oméga de la sécurité, ajoute une couche efficace de protection, permettant de juguler de nombreux scénarios frauduleux. Elle est vivement recommandée sur tous les comptes protégeant des informations importantes, sensibles voire critiques, notamment ceux de services comme iCloud d'Apple, Google Authenticator et GitHub de Microsoft, qui servent à synchroniser de vastes quantités de données.

On l’a vu par le passé cependant, cette méthode n’est pas infaillible, même si elle demande un investissement plus important, des connaissances nettement plus poussées et un ciblage précis pour être contournée. Elle peut cependant être associée à d’autres éléments de sécurité pour conditionner encore davantage l’accès. Par exemple, des informations environnementales et géographiques, comme le lieu de connexion ou une configuration logicielle/matérielle précise.

En outre, parce qu’elle brasse des données potentiellement sensibles, elle fait l’objet d’une surveillance particulière. C’est dans ce cadre que la CNIL compte publier une recommandation et ouvre sa consultation.

Rappeler les bonnes pratiques aux responsables

La consultation s’adresse surtout aux entreprises, bien que toute entité mettant en place une solution MFA soit concernée. Pour la CNIL, la recommandation visera tout particulièrement les délégués à la protection des données (DPD) et responsables de la sécurité des systèmes d’information (RSSI), avec leurs équipes. Elle visera également les fournisseurs de solutions, afin qu’ils comprennent mieux les enjeux et obligations auxquels sont soumis les responsables.

La Commission pointe les neuf actions à mener avant d’implanter une solution MFA :

• vérifier si la mise en place d’une authentification multifacteur résulte d’une obligation légale ;
• si cela n’est pas le cas : évaluer l’opportunité de mettre en place une authentification multifacteur et justifier d’une base légale au traitement d’authentification multifacteur ;
• choisir la solution en prenant en compte les risques relatifs aux personnes concernées ;
• préciser la qualification des acteurs et leurs obligations ;
• minimiser la collecte de données ;
• définir les modalités de conservation des données ;
• documenter et encadrer les potentiels transferts de données ;
• prévoir l’exercice des droits des personnes concernées ;
• s’assurer que le niveau de sécurité associé à chaque facteur est approprié par rapport aux risques

Des points de vigilance, particulièrement en lien avec le RGPD

Certains points ressortent particulièrement dans les recommandations, dont les éventuelles obligations légales. La mise en place d’une authentification MFA peut en effet être explicitement imposée, notamment dans le cadre de l’article 25 du règlement général sur la protection des données : le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la protection des données dès la conception et par défaut.

La CNIL recommande surtout l’association d’un facteur de connaissance et d’un autre de possession. Le duo fonctionne bien dans la plupart des scénarios et permet une élévation significative du niveau de sécurité.

Dans le cas de l’ajout d’un facteur d’inhérence, la vigilance monte d’un cran, car des risques apparaissent. La Commission met l’accent sur la minimisation des données et leur protection, tout en recommandant de proposer une alternative à ce facteur, autant que possible. Le consentement du personnel concerné est obligatoire, là encore en application du RGPD.

Deux points ressortent en particulier. D’une part, « que les gabarits biométriques de référence ne soient stockés que sur des dispositifs sous le contrôle exclusif des personnes concernées ». D’autre part, la nécessité de mesures aptes à prévenir l’usurpation d’identité. « À cet égard, l’utilisation de données biométriques ne laissant pas de traces (comme le réseau veineux des doigts ou de la main plutôt que l’empreinte digitale) ou la qualification de la performance des capteurs utilisés contre certaines attaques par présentation (détection de vivant, etc.) sont nécessaires », ajoute la CNIL.

Minimisation : toujours le strict nécessaire

L’objectif global de la future recommandation est de rappeler que la mise en œuvre d’une authentification à facteurs multiples ne saurait se résumer à sa simple installation technique.

Sur la minimisation des données notamment, la CNIL recommande de toujours garder en mémoire que toute donnée demandée doit être absolument nécessaire à la fourniture du service. Elle cite en exemple le paiement classique par carte bancaire, faisant appel à un facteur de possession (la carte) et un autre de connaissance (le code). L’authenticité du facteur de possession est assurée par la présence d’un procédé (Dynamic Data Authentication) faisant appel à deux clés asymétriques, une clé symétrique et un certificat.

C’est le strict nécessaire au fonctionnement du processus de paiement. Dans le cas d’une opération en ligne, l’application de la banque émettrice demande une confirmation et se substitue au code PIN. L’application est en elle-même un facteur de possession, mais fait appel à un facteur de connaissance puisque ne pouvant pas être déverrouillée sans un code à six chiffres ou davantage.

Ce type de facteur protégé par un autre se retrouve aussi dans les applications OTP de type Authenticator. Bien que ce comportement ne soit pas obligatoire, il est chaudement recommandé d’activer une protection pour l’accès à l’application, via un facteur de connaissance (code) ou d’inhérence (biométrie).

Dans les deux exemples, il s’agit d’une minimisation par conception, limitée à des données « purement techniques » : identifiant du compte utilisateur, horodatage et preuve de possession. Sur cette dernière, la CNIL ajoute que seul le verdict de la preuve doit être conservé dans la journalisation, toujours dans une optique de minimisation.

Conservation et transferts de données

Puisque l’on évoque la conservation des données, la Commission rappelle un point crucial : les modalités doivent constamment être surveillées et mises à jour selon l’évolution des risques et avancées technologiques. Le chiffrement des informations doit être mis en place chaque fois que possible, y compris au repos. La journalisation ne doit en outre se faire que sur une période limitée, entre 6 mois et 1 an le plus souvent. Les informations qui y sont contenues ne doivent également jamais pouvoir être associées à des secrets, comme l’empreinte du mot de passe ou un code OTP.

Quant aux transferts de données, ils doivent être surveillés sous l’angle territorial. La CNIL rappelle que, dans le cadre d’une informatique en nuage notamment, l’utilisation de services d’authentification peut engendrer des déplacements de données hors des frontières européennes, particulièrement aux États-Unis. Tout flux non nécessaire au service devrait ainsi être bloqué.

La MFA est une étape, avec ses propres contrôles

Nous l’avons répété à de multiples reprises chez Next, notamment dans nos articles sur les gestionnaires de mots de passe ou l’évolution des recommandations pour ces derniers : l’authentification à facteurs multiples apporte une importante couche de sécurité dans l’accès aux ressources.

Elle n’est cependant pas dénuée de dangers. Certains sont liés à l’implémentation et n’ont pas directement trait au vol de ressources. Par exemple, les entreprises sont vivement invitées à réfléchir dès la conception aux processus d’accompagnement dans le cas d’une perte de l’un des facteurs.

Dans d’autres cas, il sera question de formation plus poussée pour les utilisateurs. Par exemple, dans le sillage d’un mot de passe volé, une personne peut recevoir de multiples notifications sur son application OTP pour valider la connexion. Elle pourrait finir par accepter, « par fatigue ou par manque d’attention », pointe la CNIL. C’est là que peuvent intervenir des informations contextuelles supplémentaires pour détecter les tentatives frauduleuses, comme un lieu de connexion atypique (mesure courante avec les services en ligne).

Enfin, la Commission dresse une liste des principales erreurs à ne pas commettre. On y retrouve la journalisation des informations secrètes, l’utilisation d’informations contextuelles comme facteurs d’authentification (géolocalisation par exemple) ou encore l’utilisation de certaines méthodes reconnues non fiables (comme l’envoi d’un code OTP par SMS ou email). Bien que cela puisse paraître évident, la CNIL rappelle à tout hasard que l’utilisation répétée d’un même facteur ne peut pas constituer une authentification à facteurs multiples.

La consultation publique est ouverte jusqu’au 31 mai. La CNIL se dit ouverte à tout commentaire, qu’il s’agisse d’un point spécifique du document ou un avis d’ensemble et détaillé. Tout le monde peut y répondre, particuliers comme entreprises, associations et autres fédérations (la réponse peut être collective).