...
💡 Cette approche est non bloquante mais pédagogique, et permet de faire évoluer progressivement la population vers l’activation du MFA.
Peut-on demander à nos utilisateurs (étudiants ou personnels) d’utiliser leur téléphone personnel comme second facteur d’authentification pour accéder à des services sécurisés de l’établissement ?
Oui, l’utilisation d’un téléphone personnel comme facteur de possession dans une authentification multifacteur (MFA) est possible, y compris dans un contexte professionnel ou universitaire, à condition de respecter certaines précautions définies par la CNIL.
La CNIL ne proscrit pas cet usage. Elle reconnaît qu’un terminal personnel comme un smartphone peut tout à fait servir de facteur de possession (ce que l’utilisateur a), en complément d’un mot de passe (ce que l’utilisateur sait).
Cependant, elle recommande :
de privilégier des méthodes minimisant la collecte de données personnelles : par exemple, une application PUSH ou d'OTP (comme esup-otp) ne nécessitant pas le numéro de téléphone est préférable à l’envoi de code OTP par SMS.
d’évaluer les impacts pour les utilisateurs : certains étudiants peuvent ne pas posséder de smartphone ou ne pas vouloir l’utiliser à des fins universitaires. Il est alors conseillé deprévoir une solution alternative, sans que celle-ci ne soit plus contraignante ou discriminante.
Quelles alternatives au téléphone personnel peut-on proposer comme second facteur pour l’authentification multifacteur (MFA) ?
Générateurs d’OTP
La génération d’un code OTP basé sur une clé secrète (fournie via le QR-code généré par esup-otp-manager) peut être effectuée à l’aide :
d’une application mobile comme Esup Authenticator (ou Google Authenticator) ;
ou de nombreuses autres solutions logicielles compatibles (extensions de navigateur, outils en ligne de commande, etc.) ;
- ou encore des solutions (jetons) matérielles avec afficheur LCD.
Carte multi-services NFC
Utilisée comme facteur de possession via le projet esup-nfc-tag, cette carte nécessite un lecteur NFC accessible à l’utilisateur. Cette solution peut être adaptée dans les environnements déjà équipés.
Authentification WebAuthn
Basée sur des normes ouvertes (FIDO2/WebAuthn), elle permet d’utiliser :
un appareil compatible comme une clé USB de type Yubikey,
ou des solutions logicielles comme Windows Hello, Touch ID ou Face ID.
C’est une alternative intégrée dans certains navigateurs récents.
Grille de codes à usage unique
Cette solution papier peut être proposée en dernier recours. Bien que fonctionnelle, elle est moins pratique et sécurisée que les options précédentes.
Liste de codes de secours
Techniquement valide, elle sert essentiellement de solution de secours, en cas de perte, vol ou indisponibilité du facteur principal de possession.