Empreinte digital sur une capteurCrédits : Unsplash

Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation

De l'idée à la mise en œuvre

Avatar de l'auteur
Vincent Hermann

Publié dans

Sécurité

04/04/2024 10 minutes
19

Empreinte digital sur une capteurCrédits : Unsplash

La CNIL travaille sur un projet de recommandation sur l’authentification multifacteur (MFA). À cette fin, elle lance une consultation sur de nombreux points. À terme, la recommandation se fera sur les usages, ainsi que sur l’implémentation des traitements qui devront eux-mêmes respecter le cadre juridique, dont le RGPD.

Avant de plonger dans le projet de la CNIL, rappelons d’abord ce qu’est l’authentification multifacteur. Comme son nom l’indique, il s’agit de réunir au moins deux facteurs pour autoriser l’authentification d’une personne. Ces facteurs peuvent prendre trois formes : connaissance, possession ou inhérence.

La première a trait à ce que sait la personne. Il s’agit dans l’immense majorité des cas d’un mot ou d’une phrase de passe. La seconde repose sur un élément que possède la personne, matériel ou logiciel, et ne pouvant pas être mémorisé. Les clés USB, cartes à puces, une application de type Authenticator (OTP) ou encore les passkeys (clés d’accès logicielles) sont les exemples les plus courants. Quant à la troisième, elle table sur ce qu’est ou fait la personne, son caractère indissociable. Tout ce qui touche à la biométrie ou au comportement appartient à cette forme.

Lorsque l’on parle d’authentification multifacteur, on évoque l’association de deux facteurs parmi ces trois catégories. Associer deux mots de passe consécutifs n’est pas considéré comme de la MFA.

Une méthode efficace, mais à surveiller

La suite est réservée à nos abonnés.

Déjà abonné ? Se connecter

Abonnez-vous

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une méthode efficace, mais à surveiller

Rappeler les bonnes pratiques aux responsables

Des points de vigilance, particulièrement en lien avec le RGPD

Minimisation : toujours le strict nécessaire

Conservation et transferts de données

La MFA est une étape, avec ses propres contrôles

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Fermer

Commentaires (19)


La sécurité c'est bien.
Trop de sécurité, tue la sécurité.
C'est comme tout, il ne faut pas en abuser.
Un petit peu tard pour les problématiques des ENT de l'éduc-nat... ;-)

A rapprocher également d'une hygiène d'obsolescence des mdp qui doit aussi permettre que le même mot de passe ne dure pas éternellement et/ne soit pas utilisé à l'identique sur toutes les plateformes, puisque chacune va réclamer une modification du mdp sur un timing qui lui est propre...

Dans tous les cas, et ce sont bien vos propos récurrents sur le sujet, il faut une certaine éducation à ce type de sécurité, parce que c'est trop souvent le lendemain d'un piratage qu'on regrette son PASSWORD01...
L'utilité d'un renouvellement régulier des mots de passe est pourtant remise en cause et ne figure plus parmi les recommandations de l'ANSI (d'une part l'exploitation d'un mot de passe se fait en général de suite, d'autre part cela incite les utilisateurs à opter pour des systèmes d'incrémentations pour mémoriser les mots de passe et cela les fragilise).
Pour la comparaison des mots de passe entre plateformes, cela semble assez compliqué à imposer.
Modifié le 04/04/2024 à 22h05

Historique des modifications :

Posté le 04/04/2024 à 19h01


L'utilité d'un renouvellement régulier des mots de passe est pourtant remis en cause et ne figure plus parmi les recommandations de l'ANSI (d'une part l'exploitation d'un mot de passe se fait en général de suite, d'autre part cela incite les utilisateurs à opter pour des systèmes d'incrémentations pour mémoriser les mots de passes et cela les fragilise).
Pour la comparaison des mots de passe entre plateformes, cela semble assez compliqué à imposer.

Les MFA passant pour l'essentiel par le téléphone actuellement, le jour où tu perds ton téléphone, t'es à poil, tu ne peux plus t'authentifier nulle part...
Et le mieux, c'est quand tu utilises le dit téléphone pour te connecter à l'application nécessitant la MFA. :D
Certaines (au moins) applications d'authentification par OTP sur téléphone (AEGIS etc.) permettent de faire une sauvegarde (chiffrée). Sauf erreur, c'est également le cas pour les passkeys.
Les second facteurs de types OTP sont souvent accompagnés de codes de secours à usage unique (que l'on n'est pas obligé de stocker sur le téléphone :mdr:).
Modifié le 04/04/2024 à 22h05

Historique des modifications :

Posté le 04/04/2024 à 18h57


Certaines (au moins) applications d'authentification par OTP sur téléphone (AEGIS etx.) permettent de faire une sauvegarde (chiffrée). Sauf erreur, c'est également le cas pour les passkeys.
Les second facteurs de types OTP sont souvent accompagnés de codes de secours à usage unique (que l'on n'est pas obligé de stocker sur le téléphone :mdr:).

Raromatai

Certaines (au moins) applications d'authentification par OTP sur téléphone (AEGIS etc.) permettent de faire une sauvegarde (chiffrée). Sauf erreur, c'est également le cas pour les passkeys.
Les second facteurs de types OTP sont souvent accompagnés de codes de secours à usage unique (que l'on n'est pas obligé de stocker sur le téléphone :mdr:).
Pour ma banque, le MFA passe soit par l'appli, soit par SMS. Pratique si tu n'as pas ton téléphone.

alex.d.

Pour ma banque, le MFA passe soit par l'appli, soit par SMS. Pratique si tu n'as pas ton téléphone.
Oui, je sais bien et je déteste également cette manie de réinventer la roue (en moins bien).

alex.d.

Pour ma banque, le MFA passe soit par l'appli, soit par SMS. Pratique si tu n'as pas ton téléphone.
Pour ma banque j'ai dis que je n'ai pas de téléphone compatible et comme ils ne peuvent plus utiliser le SMS par manque de sécurité, ils m'ont proposé un boîtier autonome pour scanner un qr-code propriétaire à la place (paiement unique de 25 €).

Donc pas besoin de téléphone.

Kazer2.0

Pour ma banque j'ai dis que je n'ai pas de téléphone compatible et comme ils ne peuvent plus utiliser le SMS par manque de sécurité, ils m'ont proposé un boîtier autonome pour scanner un qr-code propriétaire à la place (paiement unique de 25 €).

Donc pas besoin de téléphone.
stp, donne-nous le nom de ta banque pour qu'on évite d'ouvrir un compte chez eux.
Non plus sur un éventuel nouveau téléphone :santa_flock:
Cool, ce MFA est souvent inutile point de vue sécurité. À quoi bon utiliser MFA si derrière ton cookie de session peut être rejoué de n'importe quelle IP?

La finalité première dans 90% des cas est de récupérer des données personnelles. (ou téléphone)

Que MFA soit dispo, soit : libre a chacun de faire comme il veut. Que X impose un tel + mail valide au prétexte de la sécurité, c'est non !
Que MFA soit dispo, soit : libre a chacun de faire comme il veut. Que X impose un tel + mail valide au prétexte de la sécurité, c'est non !


Dans les histoires de messageries de l'éducation nationales piratées et utilisées pour envoyer des messages de nature terroriste, c'est au départ du fishing pour récupérer des mots de passe.

Le MFA aurait supprimé ces usurpations de comptes. Donc, non, laisser le choix à des gens qui n'y comprennent rien le choix de l'utilisation ou non d'un second facteur est irresponsable. Et prôner la liberté de choix l'est encore plus quand on est un lecteur de Next/NXI depuis plusieurs années.

Et affirmer :
La finalité première dans 90% des cas est de récupérer des données personnelles. (ou téléphone)


prouve que l'on n'a rien compris au problème. Et c'est un défenseur farouche de la protection des données personnelles qui te le dit. D'ailleurs, il est tout à fait possible avec le RGPD d'accepter l'utilisation de données personnelles pour des raisons liées à la sécurité et de refuser pour toute autre utilisation de ces mêmes données (numéro de tel ou adresse mail).

fred42

Que MFA soit dispo, soit : libre a chacun de faire comme il veut. Que X impose un tel + mail valide au prétexte de la sécurité, c'est non !


Dans les histoires de messageries de l'éducation nationales piratées et utilisées pour envoyer des messages de nature terroriste, c'est au départ du fishing pour récupérer des mots de passe.

Le MFA aurait supprimé ces usurpations de comptes. Donc, non, laisser le choix à des gens qui n'y comprennent rien le choix de l'utilisation ou non d'un second facteur est irresponsable. Et prôner la liberté de choix l'est encore plus quand on est un lecteur de Next/NXI depuis plusieurs années.

Et affirmer :
La finalité première dans 90% des cas est de récupérer des données personnelles. (ou téléphone)


prouve que l'on n'a rien compris au problème. Et c'est un défenseur farouche de la protection des données personnelles qui te le dit. D'ailleurs, il est tout à fait possible avec le RGPD d'accepter l'utilisation de données personnelles pour des raisons liées à la sécurité et de refuser pour toute autre utilisation de ces mêmes données (numéro de tel ou adresse mail).
Ça, c'est la théorie, même Twitter avoue le contraire :
By signing up, you agree to our Terms, Privacy Policy, and Cookie Use. X may use your contact information, including your email address and phone number for purposes outlined in our Privacy Policy. Learn more

"we may keep the identifiers you used to create the account (i.e., email address or phone number) indefinitely"
Ce qui me gène avec le mutli factoriel ç'est la situation de l'analogie (est-elle juste ? )suivante :
On protège sa maison en mettant une serrure sur la porte.
Pour plus de sécurité on demande de mettre une seconde serrure.

C'est ok, mais je n'ai qu'une seul maison, alors que pour l'internet et autre il me faudrait un clé distinct pour chaque compte et bien des comptes je n'en pas qu'un seul mais bien plusieurs dizaines.

Donc un peut comme pour les bâtiments pro pour ne pas me trimballer avec un trousseau de clés monstrueux j'ai un passe-partout...


Mon analogie n'est pas très claire, mais je pense que vous en comprenez la substance.


L'analogie est bonne, mais c'est plus un question de gestion des risques. Si avec une clef tu peux ouvrir tous tes locaux alors la perte d'une seule clef ouvre toutes les portes, cela veut dire que pour toi toutes les portes ont le même niveau d'importance.

Pour continuer dans les analogies, si tu utilises la même clef pour ouvrir la remise à bois au fond du jardin, ta cave à vin et ton coffre fort remplis de lingots et de tes physical wallets pour tes cryptos. Cela veut quelque part dire que tu attaches la même importance à ton bois, tes bouteilles de vin et ton argent. C'est bien mais est-ce réellement ton échelle de valeurs, je n'en suis pas convaincu. En gros c'est toujours une question de balance des risques.

Alors la solution extreme d'avoir une clef unique pour chaque porte amène des contraintes de gestion de tes clefs surtout si tu dois les changer de manière régulière. Mais n'avoir qu'une seule clef pour tout est trop risqué. Donc il faut définir des compromis et définir des zones de sécurités différentes ayant chacune sa clef. Il n'y a pas de solution universelle, cela demande d'évaluer et réfléchir à chaque fois.
double post désolé
Modifié le 05/04/2024 à 11h19

Historique des modifications :

Posté le 05/04/2024 à 11h19


L'analogie est bonne, mais c'est plus un question de gestion des risques. Si avec une clef tu peux ouvrir tous tes locaux alors la perte d'une seule clef ouvre toutes les portes, cela veut dire que pour toi toutes les portes ont le même niveau d'importance.

Pour continuer dans les analogies, si tu utilises la même clef pour ouvrir la remise à bois au fond du jardin, ta cave à vin et ton coffre fort remplis de lingots et de tes physical wallets pour tes cryptos. Cela veut quelque part dire que tu attaches la même importance à ton bois, tes bouteilles de vin et ton argent. C'est bien mais est-ce réellement ton échelle de valeurs, je n'en suis pas convaincu. En gros c'est toujours une question de balance des risques.

Alors la solution extreme d'avoir une clef unique pour chaque porte amène des contraintes de gestion de tes clefs surtout si tu dois les changer de manière régulière. Mais n'avoir qu'une seule clef pour tout est trop risqué. Donc il faut définir des compromis et définir des zones de sécurités différentes ayant chacune sa clef. Il n'y a pas de solution universelle, cela demande d'évaluer et réfléchir à chaque fois.

The F0x

double post désolé
C'est ce que je pense aussi.
Une bonne (?) stratégie est le cercle de compromission.
Pas besoin d'un mot passe unique par site site c'est juste un site ou tu y vas souvent ou que les informations dedans on peu de valeur. Connaitre mon nom prénom mon adresse (bien que je n'en souhaite pas la diffusion à bal) peut déjà être facilement obtenu sans forcement pirater un site web.
Le cas des sites marchands (je considère Netflix aussi comme un site marchand) est un peu particulier. Ma sensibilité et surtout basé sur les éléments de type familiale et bancaire. là je sécurise d'avantage.