Jeton individuel d’accès (token access) : le point sur les bonnes pratiques
Jeton individuel d’accès : entre usage et risques
L’authentification par jeton numérique (aussi appelé token access) est notamment utilisée pour :
- les procédures de confirmation de création de compte, de génération et de renouvellement de mot de passe ;
- la connexion automatisée à un serveur pour faciliter l’accès à un service donné (validation d’un formulaire pour le recueil du consentement, page de désinscription à des lettres d’information, etc.) ;
- la consultation directe de documents et de données en ligne (bons de livraison, documents bureautiques en ligne, résultats d’examen médicaux, etc.).
Dans tous les cas, concrètement, l’utilisateur reçoit un lien à suivre incluant un jeton d’authentification : lorsqu’il clique sur ce lien, le serveur vérifie la validité du jeton, accepte l’authentification et active la fonctionnalité demandée par l’utilisateur.
Si l’utilisation d’un token access présente de multiples avantages, cela n’est pas sans risques : c’est, en effet, un moyen d’accès aux données personnelles de l’utilisateur.
C’est pour cela que l’envoi de jetons frauduleux par mail ou SMS est devenu courant.
Pour réduire les risques liés à l’utilisation d’un token access, la CNIL recommande de respecter les principes suivants :
- journaliser la création et l’utilisation des jetons ;
- définir une durée de validité des jetons adaptée à leurs finalités ;
- générer un lien d’authentification ne contenant aucune donnée personnelle ou avec un contenu haché ;
- imposer une nouvelle authentification dans le cas où le jeton permet l’accès à des données personnelles ou si le jeton a une durée de vie insuffisamment limitée ;
- limiter le nombre d’accès, en prévoyant un usage unique ou temporaire en fonction des finalités visées ;
- restreindre l’utilisation du jeton à certains services ou ressources en évitant sa réutilisation pour tous les parcours utilisateurs ;
- supprimer automatiquement, de manière temporaire ou définitive, l’accès à la ressource demandée en cas de demandes intensives suspectes ;
- permettre la révocation d’un jeton depuis un compte utilisateur en cas de comportement suspect automatiquement détecté ;
- permettre à l’utilisateur de choisir le mode de transmission du jeton (par mail, par SMS, par courrier, etc.).
Enfin, sachez que la CNIL a donné 3 exemples pratiques de jetons individuels de connexion, consultables ici, qui concernent :
- la confirmation de la création d’un compte utilisateur ;
- le suivi de livraison ;
- l’échange de fichiers.
- Actualité de la CNIL du 8 septembre 2022 : « Les jetons individuels de connexion ou token access »