La CNIL travaille sur un projet de recommandation sur l’authentification multifacteur (MFA). À cette fin, elle lance une consultation sur de nombreux points. À terme, la recommandation se fera sur les usages, ainsi que sur l’implémentation des traitements qui devront eux-mêmes respecter le cadre juridique, dont le RGPD.
Avant de plonger dans le projet de la CNIL, rappelons d’abord ce qu’est l’authentification multifacteur. Comme son nom l’indique, il s’agit de réunir au moins deux facteurs pour autoriser l’authentification d’une personne. Ces facteurs peuvent prendre trois formes : connaissance, possession ou inhérence.
La première a trait à ce que sait la personne. Il s’agit dans l’immense majorité des cas d’un mot ou d’une phrase de passe. La seconde repose sur un élément que possède la personne, matériel ou logiciel, et ne pouvant pas être mémorisé. Les clés USB, cartes à puces, une application de type Authenticator (OTP) ou encore les passkeys (clés d’accès logicielles) sont les exemples les plus courants. Quant à la troisième, elle table sur ce qu’est ou fait la personne, son caractère indissociable. Tout ce qui touche à la biométrie ou au comportement appartient à cette forme.
Lorsque l’on parle d’authentification multifacteur, on évoque l’association de deux facteurs parmi ces trois catégories. Associer deux mots de passe consécutifs n’est pas considéré comme de la MFA.
Commentaires (19)
#1
Trop de sécurité, tue la sécurité.
#1.1
#2
A rapprocher également d'une hygiène d'obsolescence des mdp qui doit aussi permettre que le même mot de passe ne dure pas éternellement et/ne soit pas utilisé à l'identique sur toutes les plateformes, puisque chacune va réclamer une modification du mdp sur un timing qui lui est propre...
Dans tous les cas, et ce sont bien vos propos récurrents sur le sujet, il faut une certaine éducation à ce type de sécurité, parce que c'est trop souvent le lendemain d'un piratage qu'on regrette son PASSWORD01...
#2.1
Pour la comparaison des mots de passe entre plateformes, cela semble assez compliqué à imposer.
Historique des modifications :
Posté le 04/04/2024 à 19h01
L'utilité d'un renouvellement régulier des mots de passe est pourtant remis en cause et ne figure plus parmi les recommandations de l'ANSI (d'une part l'exploitation d'un mot de passe se fait en général de suite, d'autre part cela incite les utilisateurs à opter pour des systèmes d'incrémentations pour mémoriser les mots de passes et cela les fragilise).
Pour la comparaison des mots de passe entre plateformes, cela semble assez compliqué à imposer.
#3
#3.1
#3.2
Les second facteurs de types OTP sont souvent accompagnés de codes de secours à usage unique (que l'on n'est pas obligé de stocker sur le téléphone ).
Historique des modifications :
Posté le 04/04/2024 à 18h57
Certaines (au moins) applications d'authentification par OTP sur téléphone (AEGIS etx.) permettent de faire une sauvegarde (chiffrée). Sauf erreur, c'est également le cas pour les passkeys.
Les second facteurs de types OTP sont souvent accompagnés de codes de secours à usage unique (que l'on n'est pas obligé de stocker sur le téléphone ).
#3.3
#3.4
#3.6
Donc pas besoin de téléphone.
#3.7
#3.5
#4
La finalité première dans 90% des cas est de récupérer des données personnelles. (ou téléphone)
Que MFA soit dispo, soit : libre a chacun de faire comme il veut. Que X impose un tel + mail valide au prétexte de la sécurité, c'est non !
#4.1
Dans les histoires de messageries de l'éducation nationales piratées et utilisées pour envoyer des messages de nature terroriste, c'est au départ du fishing pour récupérer des mots de passe.
Le MFA aurait supprimé ces usurpations de comptes. Donc, non, laisser le choix à des gens qui n'y comprennent rien le choix de l'utilisation ou non d'un second facteur est irresponsable. Et prôner la liberté de choix l'est encore plus quand on est un lecteur de Next/NXI depuis plusieurs années.
Et affirmer :
prouve que l'on n'a rien compris au problème. Et c'est un défenseur farouche de la protection des données personnelles qui te le dit. D'ailleurs, il est tout à fait possible avec le RGPD d'accepter l'utilisation de données personnelles pour des raisons liées à la sécurité et de refuser pour toute autre utilisation de ces mêmes données (numéro de tel ou adresse mail).
#4.2
#5
On protège sa maison en mettant une serrure sur la porte.
Pour plus de sécurité on demande de mettre une seconde serrure.
C'est ok, mais je n'ai qu'une seul maison, alors que pour l'internet et autre il me faudrait un clé distinct pour chaque compte et bien des comptes je n'en pas qu'un seul mais bien plusieurs dizaines.
Donc un peut comme pour les bâtiments pro pour ne pas me trimballer avec un trousseau de clés monstrueux j'ai un passe-partout...
Mon analogie n'est pas très claire, mais je pense que vous en comprenez la substance.
#5.1
Pour continuer dans les analogies, si tu utilises la même clef pour ouvrir la remise à bois au fond du jardin, ta cave à vin et ton coffre fort remplis de lingots et de tes physical wallets pour tes cryptos. Cela veut quelque part dire que tu attaches la même importance à ton bois, tes bouteilles de vin et ton argent. C'est bien mais est-ce réellement ton échelle de valeurs, je n'en suis pas convaincu. En gros c'est toujours une question de balance des risques.
Alors la solution extreme d'avoir une clef unique pour chaque porte amène des contraintes de gestion de tes clefs surtout si tu dois les changer de manière régulière. Mais n'avoir qu'une seule clef pour tout est trop risqué. Donc il faut définir des compromis et définir des zones de sécurités différentes ayant chacune sa clef. Il n'y a pas de solution universelle, cela demande d'évaluer et réfléchir à chaque fois.
#5.2
Historique des modifications :
Posté le 05/04/2024 à 11h19
L'analogie est bonne, mais c'est plus un question de gestion des risques. Si avec une clef tu peux ouvrir tous tes locaux alors la perte d'une seule clef ouvre toutes les portes, cela veut dire que pour toi toutes les portes ont le même niveau d'importance.
Pour continuer dans les analogies, si tu utilises la même clef pour ouvrir la remise à bois au fond du jardin, ta cave à vin et ton coffre fort remplis de lingots et de tes physical wallets pour tes cryptos. Cela veut quelque part dire que tu attaches la même importance à ton bois, tes bouteilles de vin et ton argent. C'est bien mais est-ce réellement ton échelle de valeurs, je n'en suis pas convaincu. En gros c'est toujours une question de balance des risques.
Alors la solution extreme d'avoir une clef unique pour chaque porte amène des contraintes de gestion de tes clefs surtout si tu dois les changer de manière régulière. Mais n'avoir qu'une seule clef pour tout est trop risqué. Donc il faut définir des compromis et définir des zones de sécurités différentes ayant chacune sa clef. Il n'y a pas de solution universelle, cela demande d'évaluer et réfléchir à chaque fois.
#5.3
Une bonne (?) stratégie est le cercle de compromission.
Pas besoin d'un mot passe unique par site site c'est juste un site ou tu y vas souvent ou que les informations dedans on peu de valeur. Connaitre mon nom prénom mon adresse (bien que je n'en souhaite pas la diffusion à bal) peut déjà être facilement obtenu sans forcement pirater un site web.
Le cas des sites marchands (je considère Netflix aussi comme un site marchand) est un peu particulier. Ma sensibilité et surtout basé sur les éléments de type familiale et bancaire. là je sécurise d'avantage.