Accès aux méthodes d'authentification

Certains fournisseurs de service doivent s'assurer qu'une authentification multi-facteur ait été réalisée pour donner accès à leur démarche. Pour cela, il est nécessaire de récupérer auprès de FranceConnect les méthodes d'authentification utilisées par l'usager.

Dans quel cas demander les méthodes d'authentification ? #

Les méthodes d'authentification doivent être récupérées si le fournisseur de service doit renforcer l'authentification de ses usagers, en attendant de passer sa démarche sur FranceConnect+. C'est notamment le cas des services soumis à la PGSSI-S et qui doivent passer sur FranceConnect+ au 1er janvier 2026.

« [EXI 01] Les moyens d’identification électronique autorisés pour l’identification électronique des usagers sur les services numériques en santé doivent être limités :

• À des moyens d’identification électronique certifiés eIDAS de niveau de garantie substantiel ou élevé ;
• À l’application mobile carte Vitale (ApCV). Les moyens d’identification électronique de transition, tels que définis dans le présent référentiel, sont néanmoins autorisés jusqu’au 31 décembre 2025 au plus tard, sous réserve que les risques résiduels associés à leur utilisation soient considérés comme acceptables par le responsable du service numérique. »

Référentiel d'identification des usagers

Quels sont les différentes méthodes d'authentification qui peuvent être utilisées ? #

Les RFC suivantes proposent des valeurs normées pour les méthodes d'authentification :

• https://datatracker.ietf.org/doc/html/rfc8176
• https://datatracker.ietf.org/doc/html/draft-jones-oauth-amr-values-00

FranceConnect peut renvoyer une combinaison des valeurs suivantes (parmi les normes ci-dessus) et de l'ajout d'une valeur supplémentaire (mail):

Qu'est ce qu'une authentification multi-facteur et comment l'identifier ? #

Vous pouvez vous reporter aux Recommandations relatives à l'authentification multifacteur et aux mots de passe, qui définit ce qu'est une authentification multi-facteur. Vous y retrouverez notamment la définition ci-dessous :

L’authentification multifacteur découle de la nécessité de renforcer la sécurité apportée par l’utilisation d’un unique facteur d’authentification, particulièrement lorsqu’il s’agit d’un mot de passe utilisé seul. Ainsi même si ce dernier est compromis, un facteur supplémentaire d’un type différent est requis afin de s’authentifier.

Un facteur d’authentification est donc un facteur lié à une personne, relevant de diverses catégories :

• facteur de connaissance : « ce que je sais », il s’agit d’une connaissance devant être mémorisée telle qu’une phrase de passe, un mot de passe, un code, etc ;
• facteur de possession : « ce que je possède », il s’agit d’un élément secret non mémorisable contenu dans un objet physique, qui idéalement protège cet élément de toute extraction, tel qu’une carte à puce, un token, un téléphone, etc ;
• facteur inhérent : « ce que je suis », il s’agit d’une caractéristique physique intrinsèquement liée à une personne et indissociable de la personne elle-même, telle qu’une caractéristique biologique (ADN), morphologique (empreinte digitale, empreinte rétinienne) ou comportementale (voix, frappe au clavier).

Suivant cette définition, FranceConnect retournera dans la liste des méthodes d'authentification la valeur mfa lorsque les méthodes d'authentification utilisées répondront à la définition d'une authentification multi-facteur.

Ainsi, la liste de valeurs suivantes pourra être renvoyée par FranceConnect :

• pwd : seulement une authentification par mot de passe a été réalisée
• pwd mail : une combinaison d'un mot de passe et d'un OTP par mail a été réalisée, mais ne constitue pas une authentification multi-facteur
• pin pop mfa : une combinaison d'une preuve de possession et d'un code pin a été réalisée, constituant une authentification multi-facteur.

En fonction de l'évolution des fournisseurs d'identité, il est possible que cette liste évolue.

Comment récupérer la liste des méthodes d'authentification utilisées ? #

L'envoi de la liste des méthodes d'authentification par FranceConnect s'effectue au travers du claim amr prévu par la norme OpenID Connect. Par défaut, ce claim n'est pas retourné dans l'idtoken, il doit être demandé explicitement lors de la requête /authorize. Il faut pour cela lui passer le paramètre claims en paramètre, en lui donnant la valeur ci-dessous :

{
  "id_token": {
    "amr": {
      "essential": true
    }
  }
}

Il est nécessaire d'encoder le paramètre claims pour le passer en paramètre de la requête HTTP :

claims=%7B%22id_token%22%3A%7B%22amr%22%3A%7B%22essential%22%3Atrue%7D%7D%7D

Cela donne par exemple ce type de requête :

GET /api/v1/authorize?scope=openid+given_name+family_name+gender+preferred_username+birthdate&redirect_uri=https%3A%2F%2Ffournisseur-de-service.dev-franceconnect.fr%2Flogin-callback&response_type=code&client_id=2e5eaafcf2e1f0be4f8a6e1a03135ee1aac4a30412a6e243bce044da1a0726b4&state=state6c5222288585758f6563394dc638a3f00127a15359d9ef9b5be826bd405c8edf&nonce=noncecdb1c075ca435cedd2454c4fb0b55096280f1234b1a4d164c05f8538673d8819&claims=%7B%22id_token%22%3A%7B%22amr%22%3A%7B%22essential%22%3Atrue%7D%7D%7D&acr_values=eidas1 HTTP/1.1

Ce claim amr est renvoyé dans l'IDToken, conformément à la spécification OpenID Connect

{
  "iss": "https://fcp.integ01.dev-franceconnect.fr",
  "sub": "b6048e95bb134ec5b1d1e1fa69f287172a91722b9354d643a1bcf2ebb0fd2ef5v1",
  "aud": "2113454433e39cce01db448d80181bdfd005554b19cd51b3fe7943f6b3b86ab6e",
  "exp": 1697180854,
  "iat": 1697180794,
  "nonce": "123456789098765432123456789",
  "at_hash": "dZZPNQx-evn6KKT14fwmqg",
  "auth_time": 1716817643,
  "acr": "eidas1",
  "amr": ["fc", "pin", "pop", "mfa"]
}