Nécessairement, vous en avez entendu parler : la CNIL s’oriente vers l’authentification multifacteur.
Pourquoi cette généralisation? Notamment pour faire face à la multiplication des attaques par envoi massif d’identifiants (Commission de terminologie, avis CTNR2305304K – JORF n°0047 du 24 février 2023).
Pour les entités utilisatrices du SMS, la douche froide est assurée. Peu importe qu’ils transitent par le protocole SS7 (notoirement obsolète: Recommandations relatives à l’authentification multifacteur et aux mots de passe, ANSSI, 2021) ou RCS, une alternative va devoir être recherchée dans un proche avenir.
Ce que vous n’avez peut-être pas vu passer ?
La proposition de loi n°1333 (17e législature), déposée moins d’un mois après la recommandation de la CNIL.
Késako? Un projet de texte visant à imposer des alternatives à l’authentification multifacteur pour les téléservices de l’administration et les services des assurances.
Objectif? Ne pas pénaliser les personnes en situation d’illectronisme.
Une bonne idée ? Peut-être… mais pas forcément réaliste.
Pourquoi?
1️⃣ les solutions paraissent peu opérationnelles : la transmission du secret par téléphone… ou secret postal (au temps pour la durée de validité du token).
2️⃣ Surtout, le traitement proposé relève de l’emplâtre sur une jambe de bois : l’illectronisme tient aussi bien aux personnes elles-mêmes qu’à leur équipement.
Même avec un secret transmis par téléphone, l’utilisateur reste confronté au (télé)service!
Et vous, que pensez-vous de cette proposition de loi ? Une solution ou un écran de fumée ?
Besoin d’aide pour implémenter l’authentification multifacteur dans votre entreprise? Ou pour déterminer le cadre juridique adapté ? N’hésitez pas à me contacter.