Par Lola BRETON
Un an de RGPD. Un an de discussions sur le consentement explicite des utilisateurs finaux face au traitement de leurs données personnelles et la portabilité des données. Un an de mise en conformité des hébergeurs de données personnelles européens. Un élément a cependant été beaucoup moins central dans les esprits obnubilés par le RGPD, bien qu’il soit prégnant, comme l’explique Alain Martin, Head of Consulting and Industry Relations, chez Thales, et Président du Groupe de Travail Européen de l’Alliance FIDO : « On a très peu regardé le RGPD sous l’angle de la protection de l’accès aux données personnelles. » Pourtant, le stockage de données personnelles sur des serveurs accessibles sur présentation d’un identifiant et d’un mot de passe ne convainc plus du tout.
De la nécessité de solutions d’authentification renforcées
Preuve que l’on n’a pas attendu que le RGPD souffle sa première bougie pour se préoccuper – sans que le sujet fasse grand bruit – de l’accès aux données personnelles, Nexus, Axians Security and Sealweb organisait déjà en avril 2019 un évènement autour de « l’enjeu de sécurité critique [qu’est] l’authentification forte. » Jacques Szpiro, fondateur d’Axians Cybersecurity (ex-Alliacom) expliquait alors : « L’authentification forte est une réponse parfois partielle ; mais même sans être la solution miracle, elle dissuade les attaquants. C’est un obstacle de plus. » Or, le RGPD ne demande pas explicitement aux hébergeurs de données d’utiliser de l’authentification forte, à deux facteurs, notamment, mais seulement une « protection appropriée. »
La vision de l’Alliance FIDO, rappelée par Alain Martin est la suivante : « Il n’y a pas d’intérêt à construire un mur si les portes d’accès sont peu sécurisées. » Les hébergeurs de données l’ont bien compris. La mise en place de nouvelles méthodes d’authentification, plus fortes, permettrait de répondre à la crainte de pénalités extrêmement élevées en cas de manquement. D’autant que, depuis l’adoption du RGPD, « l’authentification peut jouer un rôle fondamental dans le recueil du consentement et [l’utilisation du seul] mot de passe, à nouveau, peut se révéler perfectible. »
La prochaine étape pour les plateformes sera donc de mettre en place des méthodes d’authentification forte, laissant peu de marge de manœuvre aux attaquants, tout en restant facile d’usage pour les utilisateurs. Le protocole FIDO, qui utilise des PKI et permet l’authentification à travers l’objet connecté, smartphone par exemple, est aujourd’hui en mesure de protéger les données personnelles des utilisateurs et de minimiser les risques d’attaques.
DSP2 et authentification forte des paiements
L’un des premiers secteurs qui devra mettre en marche cette nouvelle réalité d’authentification forte est le secteur bancaire. La directive sur les Services de Paiement 2 (DSP2) proposée par l’Autorité Bancaire Européenne (EBA) et validée par le Parlement Européen début 2018 a pour but l’harmonisation des systèmes de protection des paiements en ligne et des données clients qui en résultent. A compter du 14 septembre, minimum – face à la difficulté de mise en conformité, l’EBA a accepté un décalage calendaire pour quelques structures – tout paiement effectué en ligne devra être confirmé par une méthode d’authentification forte. « Avec l’authentification forte, accéder à ses comptes en ligne ne pourra plus se faire uniquement par le biais d’un nom d’utilisateur et d’un mot de passe, il faudra également authentifier l’appareil. Dans ce cas, l’envoi d’un code unique par SMS pourrait fonctionner, mais avec une expérience utilisateur dégradée, à l’image de ce qui se fait déjà dans le secteur, explique Alain Martin. En revanche, en ce qui concerne le paiement en ligne, ce sera plus délicat car le code unique reçu par SMS ne reflètera que la possession du téléphone, et non pas l’identité de l’acheteur. » Or la DSP2 impose aux banques d’utiliser un deuxième facteur d’authentification en plus du code unique. « L’utilisation des standards d’authentification FIDO permet de répondre à ce double enjeu : renforcer l’authentification des personnes tout en préservant une expérience utilisateur satisfaisante », souligne Alain Martin.
Pour que cette nouvelle manière de dépenser et de gérer ses comptes fonctionne, la sécurité des applications et des terminaux mobiles devra être regardée de près.
Lire notre article sur la sécurisation des terminaux mobiles