1211 – Critères de distinction. – Il ressort de ce tableau deux critères de distinction des moyens d’identification électroniques : les facteurs d’authentification et l’usage du matériel.
La même annexe du règlement d’exécution du 8 septembre 2015 distingue trois catégories de facteurs d’authentification pour lesquels il est ici proposé quelques exemples d’utilisation :
a) « Facteur d’authentification basé sur la possession », un facteur d’authentification dont il revient au sujet de démontrer la possession.
Par exemple : le téléphone portable recevant un SMS de confirmation.
Ce facteur d’authentification est fréquemment utilisé par les banques ou établissements émetteurs de cartes de paiement : lors d’un achat en ligne, la plateforme de vente adresse une requête en paiement à l’établissement émetteur de la carte. Pour s’assurer de l’identité de l’acheteur, l’établissement bancaire demande à l’acheteur d’entrer sur son clavier téléphonique un code qu’il vient d’adresser par SMS au titulaire de l’instrument de paiement.
b) « Facteur d’authentification basé sur la connaissance », un facteur d’authentification dont il revient au sujet de démontrer la connaissance.
Par exemple : le login ou la réponse à une question personnelle.
Il s’agit du facteur d’authentification le plus fréquent ; il est utilisé par la quasi-totalité des services numériques. Pour s’identifier sur un service numérique, l’usager doit entrer un mot de passe.
c) « Facteur d’authentification inhérent », un facteur d’authentification qui est basé sur un attribut physique d’une personne physique, et dont il revient au sujet de démontrer qu’il possède cet attribut physique.
Par exemple : la reconnaissance faciale ou par empreinte digitale.
Le grand public retrouve ce facteur d’authentification dans la plupart des appareils connectés mobiles. Il sert, en premier lieu, d’authentification pour l’accès à l’appareil. Par un effet induit, si la machine a retenu certains facteurs d’authentification basés sur la connaissance de son propriétaire, alors, à l’usage, ce facteur d’authentification inhérent se substituera au facteur d’authentification basé sur la connaissance, en toute transparence pour le service.
L’incrémentation d’intelligence artificielle dans la gestion des facteurs d’authentification permet également la substitution factuelle du facteur d’authentification basé sur la connaissance : lorsque l’appareil pareillement équipé reçoit un SMS de confirmation, il va automatiquement faire le lien avec la demande d’entrée de code faite à l’utilisateur et proposer de l’insérer.
1213 – Moyens d’identification matériels. – Enfin, l’exigence de détention du titre physique et une certaine facilité de révocation en cas de perte, de disparition ou de vol, pouvant être considérées en pratique comme une forme de sécurité, un titre d’identité numérique matériel peut exister sans qu’aucun des trois facteurs d’authentification précités ne soit nécessaire à son activation. Dans ce cas, l’authentification consiste en la simple présentation de l’objet. Loin d’être anodin, ce principe de fonctionnement est notamment retenu par les émetteurs de cartes bancaires dites « sans contact ».