Connexion
Abonnez-vous

Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation

De l'idée à la mise en œuvre

Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation

Crédits : Unsplash

La CNIL travaille sur un projet de recommandation sur l’authentification multifacteur (MFA). À cette fin, elle lance une consultation sur de nombreux points. À terme, la recommandation se fera sur les usages, ainsi que sur l’implémentation des traitements qui devront eux-mêmes respecter le cadre juridique, dont le RGPD.

Le 04 avril à 15h17

Avant de plonger dans le projet de la CNIL, rappelons d’abord ce qu’est l’authentification multifacteur. Comme son nom l’indique, il s’agit de réunir au moins deux facteurs pour autoriser l’authentification d’une personne. Ces facteurs peuvent prendre trois formes : connaissance, possession ou inhérence.

La première a trait à ce que sait la personne. Il s’agit dans l’immense majorité des cas d’un mot ou d’une phrase de passe. La seconde repose sur un élément que possède la personne, matériel ou logiciel, et ne pouvant pas être mémorisé. Les clés USB, cartes à puces, une application de type Authenticator (OTP) ou encore les passkeys (clés d’accès logicielles) sont les exemples les plus courants. Quant à la troisième, elle table sur ce qu’est ou fait la personne, son caractère indissociable. Tout ce qui touche à la biométrie ou au comportement appartient à cette forme.

Lorsque l’on parle d’authentification multifacteur, on évoque l’association de deux facteurs parmi ces trois catégories. Associer deux mots de passe consécutifs n’est pas considéré comme de la MFA.

Une méthode efficace, mais à surveiller

L’utilité de ce type d’authentification est connue depuis longtemps : un mot de passe peut se voler ou se deviner (surtout quand il est réutilisé sur de multiples sites). L’ajout d’un deuxième facteur (au moins), passant souvent par le téléphone, permet d’autoriser ou refuser un accès selon le contexte. La pratique s’est largement répandue, même s’il reste des progrès à réaliser.

Cette technique, sans représenter l’alpha et l’oméga de la sécurité, ajoute une couche efficace de protection, permettant de juguler de nombreux scénarios frauduleux. Elle est vivement recommandée sur tous les comptes protégeant des informations importantes, sensibles voire critiques, notamment ceux de services comme iCloud d'Apple, Google Authenticator et GitHub de Microsoft, qui servent à synchroniser de vastes quantités de données.

On l’a vu par le passé cependant, cette méthode n’est pas infaillible, même si elle demande un investissement plus important, des connaissances nettement plus poussées et un ciblage précis pour être contournée. Elle peut cependant être associée à d’autres éléments de sécurité pour conditionner encore davantage l’accès. Par exemple, des informations environnementales et géographiques, comme le lieu de connexion ou une configuration logicielle/matérielle précise.

En outre, parce qu’elle brasse des données potentiellement sensibles, elle fait l’objet d’une surveillance particulière. C’est dans ce cadre que la CNIL compte publier une recommandation et ouvre sa consultation.

Rappeler les bonnes pratiques aux responsables

La consultation s’adresse surtout aux entreprises, bien que toute entité mettant en place une solution MFA soit concernée. Pour la CNIL, la recommandation visera tout particulièrement les délégués à la protection des données (DPD) et responsables de la sécurité des systèmes d’information (RSSI), avec leurs équipes. Elle visera également les fournisseurs de solutions, afin qu’ils comprennent mieux les enjeux et obligations auxquels sont soumis les responsables.

La Commission pointe les neuf actions à mener avant d’implanter une solution MFA :

  • vérifier si la mise en place d’une authentification multifacteur résulte d’une obligation légale ;
  • si cela n’est pas le cas : évaluer l’opportunité de mettre en place une authentification multifacteur et justifier d’une base légale au traitement d’authentification multifacteur ;
  • choisir la solution en prenant en compte les risques relatifs aux personnes concernées ;
  • préciser la qualification des acteurs et leurs obligations ;
  • minimiser la collecte de données ;
  • définir les modalités de conservation des données ;
  • documenter et encadrer les potentiels transferts de données ;
  • prévoir l’exercice des droits des personnes concernées ;
  • s’assurer que le niveau de sécurité associé à chaque facteur est approprié par rapport aux risques

Des points de vigilance, particulièrement en lien avec le RGPD

Certains points ressortent particulièrement dans les recommandations, dont les éventuelles obligations légales. La mise en place d’une authentification MFA peut en effet être explicitement imposée, notamment dans le cadre de l’article 25 du règlement général sur la protection des données : le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la protection des données dès la conception et par défaut.

La CNIL recommande surtout l’association d’un facteur de connaissance et d’un autre de possession. Le duo fonctionne bien dans la plupart des scénarios et permet une élévation significative du niveau de sécurité.

Dans le cas de l’ajout d’un facteur d’inhérence, la vigilance monte d’un cran, car des risques apparaissent. La Commission met l’accent sur la minimisation des données et leur protection, tout en recommandant de proposer une alternative à ce facteur, autant que possible. Le consentement du personnel concerné est obligatoire, là encore en application du RGPD.

Deux points ressortent en particulier. D’une part, « que les gabarits biométriques de référence ne soient stockés que sur des dispositifs sous le contrôle exclusif des personnes concernées ». D’autre part, la nécessité de mesures aptes à prévenir l’usurpation d’identité. « À cet égard, l’utilisation de données biométriques ne laissant pas de traces (comme le réseau veineux des doigts ou de la main plutôt que l’empreinte digitale) ou la qualification de la performance des capteurs utilisés contre certaines attaques par présentation (détection de vivant, etc.) sont nécessaires », ajoute la CNIL.

Minimisation : toujours le strict nécessaire

L’objectif global de la future recommandation est de rappeler que la mise en œuvre d’une authentification à facteurs multiples ne saurait se résumer à sa simple installation technique.

Sur la minimisation des données notamment, la CNIL recommande de toujours garder en mémoire que toute donnée demandée doit être absolument nécessaire à la fourniture du service. Elle cite en exemple le paiement classique par carte bancaire, faisant appel à un facteur de possession (la carte) et un autre de connaissance (le code). L’authenticité du facteur de possession est assurée par la présence d’un procédé (Dynamic Data Authentication) faisant appel à deux clés asymétriques, une clé symétrique et un certificat.

C’est le strict nécessaire au fonctionnement du processus de paiement. Dans le cas d’une opération en ligne, l’application de la banque émettrice demande une confirmation et se substitue au code PIN. L’application est en elle-même un facteur de possession, mais fait appel à un facteur de connaissance puisque ne pouvant pas être déverrouillée sans un code à six chiffres ou davantage.

Ce type de facteur protégé par un autre se retrouve aussi dans les applications OTP de type Authenticator. Bien que ce comportement ne soit pas obligatoire, il est chaudement recommandé d’activer une protection pour l’accès à l’application, via un facteur de connaissance (code) ou d’inhérence (biométrie).

Dans les deux exemples, il s’agit d’une minimisation par conception, limitée à des données « purement techniques » : identifiant du compte utilisateur, horodatage et preuve de possession. Sur cette dernière, la CNIL ajoute que seul le verdict de la preuve doit être conservé dans la journalisation, toujours dans une optique de minimisation.

Conservation et transferts de données

Puisque l’on évoque la conservation des données, la Commission rappelle un point crucial : les modalités doivent constamment être surveillées et mises à jour selon l’évolution des risques et avancées technologiques. Le chiffrement des informations doit être mis en place chaque fois que possible, y compris au repos. La journalisation ne doit en outre se faire que sur une période limitée, entre 6 mois et 1 an le plus souvent. Les informations qui y sont contenues ne doivent également jamais pouvoir être associées à des secrets, comme l’empreinte du mot de passe ou un code OTP.

Quant aux transferts de données, ils doivent être surveillés sous l’angle territorial. La CNIL rappelle que, dans le cadre d’une informatique en nuage notamment, l’utilisation de services d’authentification peut engendrer des déplacements de données hors des frontières européennes, particulièrement aux États-Unis. Tout flux non nécessaire au service devrait ainsi être bloqué.

La MFA est une étape, avec ses propres contrôles

Nous l’avons répété à de multiples reprises chez Next, notamment dans nos articles sur les gestionnaires de mots de passe ou l’évolution des recommandations pour ces derniers : l’authentification à facteurs multiples apporte une importante couche de sécurité dans l’accès aux ressources.

Elle n’est cependant pas dénuée de dangers. Certains sont liés à l’implémentation et n’ont pas directement trait au vol de ressources. Par exemple, les entreprises sont vivement invitées à réfléchir dès la conception aux processus d’accompagnement dans le cas d’une perte de l’un des facteurs.

Dans d’autres cas, il sera question de formation plus poussée pour les utilisateurs. Par exemple, dans le sillage d’un mot de passe volé, une personne peut recevoir de multiples notifications sur son application OTP pour valider la connexion. Elle pourrait finir par accepter, « par fatigue ou par manque d’attention », pointe la CNIL. C’est là que peuvent intervenir des informations contextuelles supplémentaires pour détecter les tentatives frauduleuses, comme un lieu de connexion atypique (mesure courante avec les services en ligne).

Enfin, la Commission dresse une liste des principales erreurs à ne pas commettre. On y retrouve la journalisation des informations secrètes, l’utilisation d’informations contextuelles comme facteurs d’authentification (géolocalisation par exemple) ou encore l’utilisation de certaines méthodes reconnues non fiables (comme l’envoi d’un code OTP par SMS ou email). Bien que cela puisse paraître évident, la CNIL rappelle à tout hasard que l’utilisation répétée d’un même facteur ne peut pas constituer une authentification à facteurs multiples.

La consultation publique est ouverte jusqu’au 31 mai. La CNIL se dit ouverte à tout commentaire, qu’il s’agisse d’un point spécifique du document ou un avis d’ensemble et détaillé. Tout le monde peut y répondre, particuliers comme entreprises, associations et autres fédérations (la réponse peut être collective).

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
La sécurité c'est bien.
Trop de sécurité, tue la sécurité.
votre avatar
C'est comme tout, il ne faut pas en abuser.
votre avatar
Un petit peu tard pour les problématiques des ENT de l'éduc-nat... ;-)

A rapprocher également d'une hygiène d'obsolescence des mdp qui doit aussi permettre que le même mot de passe ne dure pas éternellement et/ne soit pas utilisé à l'identique sur toutes les plateformes, puisque chacune va réclamer une modification du mdp sur un timing qui lui est propre...

Dans tous les cas, et ce sont bien vos propos récurrents sur le sujet, il faut une certaine éducation à ce type de sécurité, parce que c'est trop souvent le lendemain d'un piratage qu'on regrette son PASSWORD01...
votre avatar
L'utilité d'un renouvellement régulier des mots de passe est pourtant remise en cause et ne figure plus parmi les recommandations de l'ANSI (d'une part l'exploitation d'un mot de passe se fait en général de suite, d'autre part cela incite les utilisateurs à opter pour des systèmes d'incrémentations pour mémoriser les mots de passe et cela les fragilise).
Pour la comparaison des mots de passe entre plateformes, cela semble assez compliqué à imposer.
votre avatar
Les MFA passant pour l'essentiel par le téléphone actuellement, le jour où tu perds ton téléphone, t'es à poil, tu ne peux plus t'authentifier nulle part...
votre avatar
Et le mieux, c'est quand tu utilises le dit téléphone pour te connecter à l'application nécessitant la MFA. :D
votre avatar
Certaines (au moins) applications d'authentification par OTP sur téléphone (AEGIS etc.) permettent de faire une sauvegarde (chiffrée). Sauf erreur, c'est également le cas pour les passkeys.
Les second facteurs de types OTP sont souvent accompagnés de codes de secours à usage unique (que l'on n'est pas obligé de stocker sur le téléphone :mdr:).
votre avatar
Pour ma banque, le MFA passe soit par l'appli, soit par SMS. Pratique si tu n'as pas ton téléphone.
votre avatar
Oui, je sais bien et je déteste également cette manie de réinventer la roue (en moins bien).
votre avatar
Pour ma banque j'ai dis que je n'ai pas de téléphone compatible et comme ils ne peuvent plus utiliser le SMS par manque de sécurité, ils m'ont proposé un boîtier autonome pour scanner un qr-code propriétaire à la place (paiement unique de 25 €).

Donc pas besoin de téléphone.
votre avatar
stp, donne-nous le nom de ta banque pour qu'on évite d'ouvrir un compte chez eux.
votre avatar
Non plus sur un éventuel nouveau téléphone :santa_flock:
votre avatar
Cool, ce MFA est souvent inutile point de vue sécurité. À quoi bon utiliser MFA si derrière ton cookie de session peut être rejoué de n'importe quelle IP?

La finalité première dans 90% des cas est de récupérer des données personnelles. (ou téléphone)

Que MFA soit dispo, soit : libre a chacun de faire comme il veut. Que X impose un tel + mail valide au prétexte de la sécurité, c'est non !
votre avatar
Que MFA soit dispo, soit : libre a chacun de faire comme il veut. Que X impose un tel + mail valide au prétexte de la sécurité, c'est non !
Dans les histoires de messageries de l'éducation nationales piratées et utilisées pour envoyer des messages de nature terroriste, c'est au départ du fishing pour récupérer des mots de passe.

Le MFA aurait supprimé ces usurpations de comptes. Donc, non, laisser le choix à des gens qui n'y comprennent rien le choix de l'utilisation ou non d'un second facteur est irresponsable. Et prôner la liberté de choix l'est encore plus quand on est un lecteur de Next/NXI depuis plusieurs années.

Et affirmer :
La finalité première dans 90% des cas est de récupérer des données personnelles. (ou téléphone)
prouve que l'on n'a rien compris au problème. Et c'est un défenseur farouche de la protection des données personnelles qui te le dit. D'ailleurs, il est tout à fait possible avec le RGPD d'accepter l'utilisation de données personnelles pour des raisons liées à la sécurité et de refuser pour toute autre utilisation de ces mêmes données (numéro de tel ou adresse mail).
votre avatar
Ça, c'est la théorie, même Twitter avoue le contraire :
By signing up, you agree to our Terms, Privacy Policy, and Cookie Use. X may use your contact information, including your email address and phone number for purposes outlined in our Privacy Policy. Learn more
"we may keep the identifiers you used to create the account (i.e., email address or phone number) indefinitely"
votre avatar
Ce qui me gène avec le mutli factoriel ç'est la situation de l'analogie (est-elle juste ? )suivante :
On protège sa maison en mettant une serrure sur la porte.
Pour plus de sécurité on demande de mettre une seconde serrure.

C'est ok, mais je n'ai qu'une seul maison, alors que pour l'internet et autre il me faudrait un clé distinct pour chaque compte et bien des comptes je n'en pas qu'un seul mais bien plusieurs dizaines.

Donc un peut comme pour les bâtiments pro pour ne pas me trimballer avec un trousseau de clés monstrueux j'ai un passe-partout...


Mon analogie n'est pas très claire, mais je pense que vous en comprenez la substance.
votre avatar
L'analogie est bonne, mais c'est plus un question de gestion des risques. Si avec une clef tu peux ouvrir tous tes locaux alors la perte d'une seule clef ouvre toutes les portes, cela veut dire que pour toi toutes les portes ont le même niveau d'importance.

Pour continuer dans les analogies, si tu utilises la même clef pour ouvrir la remise à bois au fond du jardin, ta cave à vin et ton coffre fort remplis de lingots et de tes physical wallets pour tes cryptos. Cela veut quelque part dire que tu attaches la même importance à ton bois, tes bouteilles de vin et ton argent. C'est bien mais est-ce réellement ton échelle de valeurs, je n'en suis pas convaincu. En gros c'est toujours une question de balance des risques.

Alors la solution extreme d'avoir une clef unique pour chaque porte amène des contraintes de gestion de tes clefs surtout si tu dois les changer de manière régulière. Mais n'avoir qu'une seule clef pour tout est trop risqué. Donc il faut définir des compromis et définir des zones de sécurités différentes ayant chacune sa clef. Il n'y a pas de solution universelle, cela demande d'évaluer et réfléchir à chaque fois.
votre avatar
double post désolé
votre avatar
C'est ce que je pense aussi.
Une bonne (?) stratégie est le cercle de compromission.
Pas besoin d'un mot passe unique par site site c'est juste un site ou tu y vas souvent ou que les informations dedans on peu de valeur. Connaitre mon nom prénom mon adresse (bien que je n'en souhaite pas la diffusion à bal) peut déjà être facilement obtenu sans forcement pirater un site web.
Le cas des sites marchands (je considère Netflix aussi comme un site marchand) est un peu particulier. Ma sensibilité et surtout basé sur les éléments de type familiale et bancaire. là je sécurise d'avantage.

Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation

  • Une méthode efficace, mais à surveiller

  • Rappeler les bonnes pratiques aux responsables

  • Des points de vigilance, particulièrement en lien avec le RGPD

  • Minimisation : toujours le strict nécessaire

  • Conservation et transferts de données

  • La MFA est une étape, avec ses propres contrôles

Fermer