Accès aux méthodes d'authentification

Certains fournisseurs de service doivent s'assurer qu'une authentification multi-facteur ait été réalisée pour donner accès à leur démarche. Pour cela, il est nécessaire de récupérer auprès de FranceConnect les méthodes d'authentification utilisés par l'usager.

Dans quel cas demander les méthodes d'authentification ? #

Les méthodes d'authentification doivent être récupérer si le fournisseur de service doit renforcer l'authentification des ses usagers en attendant de passer sa démarches sur FranceConnect+. C'est notamment le cas des services soumis à la PGSSI-S et qui doivent passé en FranceConnect+ au 1er janvier 2026.

« [EXI 01] Les moyens d’identification électronique autorisés pour l’identification électronique des usagers sur les services numériques en santé doivent être limités :

• À des moyens d’identification électronique certifiés eIDAS de niveau de garantie substantiel ou élevé ;
• À l’application mobile carte Vitale (ApCV). Les moyens d’identification électronique de transition, tels que définis dans le présent référentiel, sont néanmoins autorisés jusqu’au 31 décembre 2025 au plus tard, sous réserve que les risques résiduels associés à leur utilisation soient considérés comme acceptables par le responsable du service numérique. »

Référentiel d'identification des usagers

Quels sont les différents méthodes d'authentification qui peuvent être utilisées ? #

LEs RFC suivantes proposent des valeurs normées pour les méthodes d'authentification :

• https://datatracker.ietf.org/doc/html/rfc8176
• https://datatracker.ietf.org/doc/html/draft-jones-oauth-amr-values-00

FranceConnect peut renvoyer une combinaison des valeurs suivantes ici des normes ci-dessus et de l'ajout d'une valeur supplémentaire (mail):

Qu'est ce qu'une authentification mutli-facteur et comment l'identifier ? #

Vous pouvez vous reporter aux RECOMMANDATIONS RELATIVES L'AUTHENTIFICATION MULTIFACTEUR ET AUX MOTS DE PASSE qui définit ce qu'est une authentification multi-facteur. Vous y retrouverez notamment la définition ci-dessous :

L’authentification multifacteur découle de la nécessité de renforcer la sécurité apportée par l’utilisation d’un unique facteur d’authentification, particulièrement lorsqu’il s’agit d’un mot de passe utilisé seul. Ainsi même si ce dernier est compromis, un facteur supplémentaire d’un type différent est requis afin de s’authentifier.

Un facteur d’authentification est donc un facteur lié à une personne, relevant de diverses catégories :

• facteur de connaissance : « ce que je sais », il s’agit d’une connaissance devant être mémorisée telle qu’une phrase de passe, un mot de passe, un code, etc;
• facteur de possession : « ce que je possède », il s’agit d’un élément secret non mémorisable contenu dans un objet physique qui idéalement protège cet élément de toute extraction, tel qu’une carte à puce, un token, un téléphone, etc;
• facteur inhérent : « ce que je suis », il s’agit d’une caractéristique physique intrinsèquement liée à une personne et indissociable de la personne elle-même, telle qu’une caractéristique biologique (ADN), morphologique (empreinte digitale, empreinte rétinienne) ou comportementale 4 (voix, frappe au clavier).

Suivant cette définition, FranceConnect retournera dans la liste des méthodes d'authentification la valeur mfa lorsque les méthodes d'authentification utilisées répondront à la définition d'une authentification multi-facteur.

Ainsi, les listes de valeurs suivantes pourront être renvoyés par FranceConnect :

• pwd : seulement une authentification par mot de passe a été réalisée
• pwd mail : une compbinaison d'un mot de passe et d'un OTP par mail ont été réalisé, mais ne constituant pas une authentification multi-facteur
• pin pop mfa : un combinaison d'un preuve de possession et d'un code pin constituant une authentification mutlu-facteur.

En fonction de l'évolution des fournisseurs d'identité, il est possible que cette liste évolue.

Comment récupérer la liste des méthodes d'authentification utilisées ? #

L'envoi de la liste des méthodes d'authentification par FranceConnect s'effectue au travers du claim amr prévue par la norme OpenID Connect. Par défaut ce claim n'est pas retourner dans l'idtoken, il doit être demander explicitement lors de la requête /authorize. Il faut pour cela lui passer le paramètre claims en paramètre en lui passant la valeur ci-dessous :

{
  "id_token": {
    "amr": {
      "essential": true
    }
  }
}

Il est nécessaire de l'encoder pour le passer en paramètre de la requête HTTP

claims=%7B%22id_token%22%3A%7B%22amr%22%3A%7B%22essential%22%3Atrue%7D%7D%7D

Cela donne par exemple ce type de requête :

GET /api/v1/authorize?scope=openid+given_name+family_name+gender+preferred_username+birthdate&redirect_uri=https%3A%2F%2Ffournisseur-de-service.dev-franceconnect.fr%2Flogin-callback&response_type=code&client_id=2e5eaafcf2e1f0be4f8a6e1a03135ee1aac4a30412a6e243bce044da1a0726b4&state=state6c5222288585758f6563394dc638a3f00127a15359d9ef9b5be826bd405c8edf&nonce=noncecdb1c075ca435cedd2454c4fb0b55096280f1234b1a4d164c05f8538673d8819&claims=%7B%22id_token%22%3A%7B%22amr%22%3A%7B%22essential%22%3Atrue%7D%7D%7D&acr_values=eidas1 HTTP/1.1

Ce claim amr est renvoyé dans l'IDToken conformément à la spécification OpenID Connect

{
  "iss": "https://fcp.integ01.dev-franceconnect.fr",
  "sub": "b6048e95bb134ec5b1d1e1fa69f287172a91722b9354d643a1bcf2ebb0fd2ef5v1",
  "aud": "2113454433e39cce01db448d80181bdfd005554b19cd51b3fe7943f6b3b86ab6e",
  "exp": 1697180854,
  "iat": 1697180794,
  "nonce": "123456789098765432123456789",
  "acr": "eidas1",
  "amr": ["pin", "pop", "mfa"]
}