La CNIL vient de publier ce jour une note sur Les jetons individuels de connexion ou token access (https://www.cnil.fr/fr/les-jetons-individuels-de-connexion-ou-token-access) dont on extrait les développements ci-dessous, avant de conclure sur quelques remarques quant à l’identification :

Introduction et définitions

L’authentification par jeton est une forme d’authentification qui permet à un utilisateur d’accéder à un service en ligne, une application, ou un site web sans qu’il n’ait à ressaisir ses identifiants. Par conséquent, grâce à cette forme d’authentification, l’utilisateur pourra accéder à ses ressources en ligne, au moyen de ce jeton d’accès, tant qu’il reste valide.

Par ailleurs, les jetons sont également souvent utilisés dans une procédure d’authentification à double facteur afin de réduire les risques d’usurpation de comptes. Dans ce cas, à l’ouverture d’une session de connexion par identifiant et mot de passe, un jeton d’accès est transmis à l’utilisateur afin de confirmer son identité.

Si les jetons sont parfois des jetons physiques de longue durée (clés, disques, carte à puce, identification biométrique, etc.), ils sont plus souvent des jetons numériques ou dématérialisés, transmis par un serveur vers un terminal et qui ont généralement une durée de validité limitée. Il peut alors s’agir d’un code ou d’un lien contenant un jeton alphanumérique, transmis par SMS ou courrier électronique.

Dans le cadre de sa note, la CNIL n’aborde que l’authentification à distance par jeton numérique, qui est la technique la plus répandue.

Usages courants du jeton numérique

L’authentification par jeton numérique s’est fortement généralisée ces dernières années et est notamment mise en œuvre pour :

les procédures de confirmation de création de compte, de génération et de renouvellement de mot de passe ;

la connexion automatisée à un serveur pour faciliter l’accès à un service donné :

la validation d’un formulaire pour le recueil du consentement ; ou

la consultation directe de documents et de données en ligne par la transmission d’un lien avec un jeton à l’utilisateur ou à un robot pour qu’il puisse accéder à des documents ou des informations.

Dans tous ces cas, le serveur émet à l’utilisateur un lien à suivre incluant un jeton d’authentification : lorsque l’utilisateur clique sur ce lien, le serveur vérifie la validité du jeton, accepte l’authentification et active la fonctionnalité demandée par l’utilisateur.

Menaces et risques

Un jeton d’accès, matérialisé sous la forme de lien, peut être considéré comme un moyen d’accès continu à des données personnelles accessibles depuis Internet. Cette « porte d’entrée » est, en soi, une vulnérabilité dont le risque en matière de sécurité doit être pris en compte.

En effet, le jeton d’accès, s’il est transmis/accessible à des tiers qui n’ont pas à le connaître ou fait l’objet d’une interception par des acteurs malveillants, peut entraîner la compromission de l’intégrité ou la confidentialité de données personnelles (par exemple dans le cas de documents bureautiques partagés ou de bons de livraison), de comptes utilisateurs ou encore d’espaces personnels en ligne.

Dans ces conditions, il est nécessaire de mettre en œuvre des contre-mesures afin d’éviter l’accès non autorisé à des données personnelles.

Hameçonnage – Phishing – Token

L’envoi de jetons frauduleux par courriel ou SMS est devenu une pratique d’hameçonnage (ou phishing en anglais) qui s’est largement développée et qui permet à des attaquants d’obtenir des renseignements personnels qui peuvent ensuite leur permettre d’usurper l’identité de la victime.

Face à la multiplication de ces arnaques, les sites utilisant des jetons de manière légitime ont intérêt à sensibiliser leurs utilisateurs sur ces risques et à les informer sur leur usage de jetons.

Préconisations générales

En l’absence d’authentification à double facteur, le jeton individuel de connexion à distance entraîne un risque accru en matière de sécurité, ce que la CNIL a pu constater lors de ses contrôles au cours de ces derniers mois.

Les risques liés à l’utilisation du jeton d’accès sont nombreux et variés mais certains principes permettent de réduire la probabilité qu’ils surviennent :

• Journaliser la création et l’utilisation des jetons.
• Définir une durée de validité aux jetons, adaptée aux finalités (ou objectifs).
• Générer un lien d’authentification ne contenant aucune donnée personnelle ou des variables au contenu facilement compréhensible et réexploitable, comme un contenu haché.
• Imposer une nouvelle authentification (par identifiant et mot de passe, par exemple) dans le cas où le jeton permet l’accès à des données personnelles ou si le jeton a une durée de vie insuffisamment limitée.
• Limiter le nombre d’accès comme l’usage unique ou temporaire en fonction des finalités visées.
• Restreindre l’utilisation du jeton à certains services ou ressources en évitant sa réutilisation pour tous les parcours utilisateurs.
• Supprimer automatiquement, de manière temporaire ou définitive, l’accès à la ressource demandée en cas de demandes intensives suspecte.
• Permettre la révocation d’un jeton depuis un compte utilisateur ou en cas de comportement suspect automatiquement détecté.

En fonction de la nature des services et des ressources demandées, les utilisateurs devraient pouvoir choisir les modalités de transmission de leur de jeton d’accès à distance. Cela concerne notamment : le mode d’expédition du jeton : courriel, SMS, envoi postal, appel téléphonique ; et le mode de notification à l’utilisateur de l’usage d’un jeton.

Note personnelle (en sourdine) :

L’utilisation de jetons permet notamment de mettre en œuvre le principe de minimisation des données en limitant les données personnelles utilisées par le responsable de traitement, par exemple dans le cadre d’un droit d’accès. Il est en effet contraire au principe de proportionnalité d’exiger systématiquement et sans raison impérieuse l’utilisation d’un formulaire signé ou d’une copie signée d’une pièce d’identité.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)