Transmettre un code OTP par SMS ? C’est non pour la CNIL, sauf en tant que mesure de réassurance en l’absence d’alternative.
La commission communique cette position dans un projet de recommandation relatif à l’authentification multifacteur (MFA). Elle vient de le soumettre à consultation publique.
Le document distingue trois types de facteurs :
– De connaissance (ce que la personne sait)
Par exemple, un mot/phrase de passe ou un code confidentiel
– De possession (ce que la personne a)
Par exemple, une carte à puce, un dispositif USB contenant une clé privée, un élément matériel ou logiciel (token) permettant de générer des codes à usage unique ou une passkey (clé d’accès logicielle).
– D’inhérence (ce que la personne est ou fait)
Une caractéristique physique indissociable d’une personne. Soit morphologique (empreinte digitale ou rétinienne, structure du visage…), soit comportementale (frappe au clavier, voix, démarche, écriture…).
La CNIL conseille de privilégier le MFA basé sur des facteurs de connaissance et de possession. En particulier dans le cadre professionnel, lorsqu’on se connecte au SI depuis l’extérieur du réseau de l’organisme.
Quelque option de biométrie qu’on propose (traitement local ou sur serveur, la première étant à privilégier), on donnera accès à une solution alternative, explique la commission.
Pour ce qui est de l’inscription des traitements de sécurisation dans le registre des activités du responsable de traitement, le projet de recommandation donne deux possibilités. D’un côté, au sein de l’entrée du registre relative au traitement auquel l’authentification est adossée. De l’autre, dans une entrée spécifique, dans le cas d’une authentification commune à différentes opérations de traitement.
Des dispositions spécifiques s’appliquent quand l’authentification biométrique contrôle l’accès aux lieux de travail et aux appareils/applications utilisés dans le cadre de missions professionnelles. Elles figurent dans un règlement type.
Lors de l’usage de facteurs d’authentification morphologiques, des mesures particulières devront sécuriser le dispositif. Notamment l’utilisation de données biométriques ne laissant pas de traces (comme le réseau veineux des doigts ou de la main) ou la qualification de performance des capteurs contre certaines attaques par présentation (exemple : détection de vivant).
Initialement conçues dans une optique de lutte contre la fraude bancaire, les techniques basées sur les risques peuvent être pertinentes pour renforcer les contrôles. Elles consistent à calculer dynamiquement – et éventuellement tout au long d’une session – un score qui conditionne le niveau d’authentification exigé.
Cela peut impliquer la collecte d’éléments tels que l’horaire, l’identifiant de l’appareil ou la géolocalisation. On veillera alors à la maintenir proportionnelle au but poursuivi. Tout en évitant de priver les personnes concernées de l’accès au service… notamment si elles utilisent des systèmes minimisant les traces de navigation (comme des bloqueurs de cookies).
On se référera également, si le cas se présente, au règlement type sus-évoqué pour définir les modalités de conservation des données. Pour les facteurs de connaissance, la CNIL renvoie vers un autre document de son corpus : sa recommandation « mots de passe ».
Dans le cas général, la commission recommande de conserver entre 6 mois et 1 an les logs des systèmes d’authentification. Dans tous les cas, les données biométriques ne devront pas faire partie du contenu des journaux. On ne tracer que le résultat de l’authentification. Et on s’abstiendra de l’associer à des informations secrètes telles qu’une empreinte de mot de passe ou un OTP.
En matière d’information des utilisateurs, la CNIL fait preuve de souplesse. Dans le cas de multiples utilisations de données à des fins de sécurité (authentification, journalisation, chiffrement…), il est possible de parler de finalité de « sécurisation du traitement », sans détailler les moyens employés. Cela ne s’applique pas si les données relèvent de certaines catégories ou usages : profilage, décision individuelle automatisée, données sensibles ou relevant d’un AIPD (analyse d’impact préalable).
Illustration générée par IA
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…