Qu'est ce que l'authentification Multifacteur et pourquoi est-ce important ?
L’authentification multifacteur (MFA) est un processus de sécurité de compte nécessitant deux ou plusieurs étapes distinctes pour qu’un utilisateur prouve son identité. Il s’agit le plus souvent de la connexion à un ordinateur, un réseau, une application ou une autre ressource. Pour terminer un processus d’authentification multifacteur, vous devez fournir des informations d’identification spécifiques ou remplir certaines conditions à chaque étape. Alors que «l’authentification à deux facteurs» reste un terme populaire, MFA est devenu de plus en plus le terme générique.
Tout le monde utilise déjà les processus MFA pour prouver régulièrement leur identité en dehors des scénarios informatiques. Par exemple, une carte bancaire nécessite un numéro d’identification personnel (PIN). L’authentification ne se produit que lorsque la carte et le code PIN sont utilisés ensemble.
Presque tout le monde connaît la forme d’authentification la plus courante utilisée aujourd’hui. Il s’agit des combinaisons de nom d’utilisateur et de mot de passe. Depuis la création de comptes d’utilisateurs individuels pour l’accès aux ordinateurs et aux applications, les noms d’utilisateur et les mots de passe sont la norme.
Aux États-Unis, l’adresse e-mail moyenne est associée à 130 comptes d’utilisateurs différents [i]. La grande majorité de ces comptes d’utilisateurs nécessitent une combinaison de nom d’utilisateur et de mot de passe pour se connecter. Deux tiers des utilisateurs réutilisent les mots de passe sur plusieurs comptes, ce qui entraîne un effet de chaîne s’ils sont compromis [ii].
De plus en plus, les ressources cloud ajoutent des étapes d’authentification supplémentaires aux demandes de saisie de nom d’utilisateur et de mot de passe traditionnelles. Si le nom d’utilisateur et le mot de passe de l’utilisateur étaient compromis, il faudrait tout de même plus d’informations ou de moyens pour se connecter. Un code PIN à usage unique (ou un «mot de passe à usage unique») ou des codes de vérification peuvent être envoyés aux utilisateurs par SMS ou e-mail. . La saisie de ces valeurs uniques répond à l’étape d’authentification supplémentaire. Les applications de banque en ligne et de finances personnelles utilisent régulièrement cette méthode MFA, en particulier lorsque les utilisateurs se connectent depuis de nouveaux appareils ou des sites géographiques différents.
5 Facteurs d’Authentification
Dans le domaine de l’authentification, un «facteur» est quelque chose qui peut être utilisé pour vérifier l’identité d’un utilisateur. Par exemple, une combinaison nom d’utilisateur et mot de passe est un facteur unique. MFA combine deux ou plusieurs facteurs afin de rendre le processus d’authentification plus sûr. Pour chaque facteur requis pour l’authentification, il devient exponentiellement plus difficile d’usurper l’identité d’un utilisateur. L’AMF peut exiger deux ou plusieurs des facteurs suivants [iii] :
La connaissance – Connaissances – fait référence à «quelque chose que vous savez». La connaissance est le facteur d’identification le plus couramment utilisé dans les méthodes d’authentification et comprend des combinaisons de nom d’utilisateur et de mot de passe. Les questions de sécurité qui nécessitent également «quelque chose que l’utilisateur sait» sont également regroupées avec ce facteur. Il convient de noter qu’une combinaison nom d’utilisateur / mot de passe compte comme un seul facteur. Il en va de même pour une série donnée de questions de sécurité. La combinaison d’un nom d’utilisateur et d’un mot de passe avec une question de sécurité est toujours considérée comme une authentification à facteur unique, car ils appartiennent tous les deux à cette catégorie.
L’inhérence – fait référence à «quelque chose que vous êtes». Ce facteur d’authentification inclut toutes les données biométriques qui pourraient servir de justificatifs d’identité. Les exemples incluent les empreintes digitales, l’ADN, la reconnaissance faciale et les analyses de la rétine. Ce type d’authentification est devenu de plus en plus populaire avec les appareils mobiles dotés de scanners d’empreintes digitales et de reconnaissance faciale intégrés.
La possession – fait référence à «quelque chose que vous avez». Traditionnellement, des objets tels que des cartes d’accès ou des jetons matériels étaient détenus par les utilisateurs. Les mots de passe uniques envoyés par SMS ou par e-mail aux téléphones mobiles des utilisateurs ont été de plus en plus classés dans ce facteur. L’utilisation d’appareils mobiles permet de lutter contre le risque de perdre des éléments physiques comme les cartes à puce ou les gnénerateur de code type RSA. Dans certains systèmes, l’appareil de l’utilisateur lui-même agit comme un facteur dans cette catégorie, ayant été déclaré comme un «appareil de confiance».
La localisation – fait référence à toute restriction géographique ou réseau pouvant être ajoutée aux méthodes d’authentification pour plus de sécurité. En plus d’autres facteurs, les utilisateurs doivent remplir les conditions d’emplacement configurées pour que la ressource en questions soit authentifiée. Par exemple, les utilisateurs ne peuvent accéder à une application que lorsqu’ils se trouvent à l’intérieur de leur réseau d’entreprise ou dans un pays spécifique.
L’heure – fait référence à toutes les restrictions qui peuvent être ajoutées pour maintenir l’authentification dans une plage horaire définie. De cette façon, les facteurs de temps et d’emplacement sont similaires. Les facteurs temporels assurent la sécurité si les utilisateurs n’ont jamais de raison de se connecter pendant certaines périodes – en dehors de 9h-18h, par exemple.
Les facteurs temporels et géographiques peuvent être combinés pour rendre les conditions de plus en plus strictes. De fausses tentatives d’authentification peuvent se produire dans une fenêtre trop proche et de trop loin pour être légitime. 3 tentatives de connexion au compte utilisateur de Bob dans une fenêtre de 10 minutes ne sont pas trop suspectes. Les gens saisissent les informations d’identification à tout moment. Cependant, il serait suspect que ces tentatives proviennent de New York, Chicago et Los Angeles au cours de la même période.
Le MFA au quotidien
L’identification de ces facteurs d’authentification est assez facile lorsque nous reconsidérons le contexte de l’exemple de carte bancaire. Pour retirer de l’argent, vous devez d’abord vous authentifier. Votre carte bancaire sert de «quelque chose que vous avez» (possession) et votre code PIN personnalisé est «quelque chose que vous savez» (connaissances).
En théorie, différents facteurs ou conditions pourraient être appliqués. Votre carte bancaire pourrait nécessiter une empreinte digitale au lieu du code PIN. Le repect des obligations du MFA serait toujours appliqué en remplaçant «quelque chose que vous savez» par «quelque chose que vous êtes» (Inhérence). Si votre banque limite le nombre de distributeurs automatiques de billets auxquels vous avez accès, un facteur de localisation est en vigueur. Des limites sur le volume de transactions sur une journée, imposent un facteur temps..
Tout en n’appliquant pas le MFA à chaque balayage, les cartes de crédit permettent de fournir des cas d’utilisation expliquant pourquoi le MFA est important. Les sociétés de crédit gèlent les cartes qui ont été utilisées bien en dehors du domaine d’activité normal. Ceci est similaire à un facteur ou une condition de localisation passive conçu pour empêcher le vol d’identité.
Si Bob de New York a soudainement utilisé sa carte à Los Angeles à plusieurs reprises, elle peut être considérée comme suspecte. Il est peut-être en vacances, mais l’activité périphérique semble suspecte. En conséquence, le compte est automatiquement verrouillé en cas de vol de votre identité ou de votre numéro de carte. Tenter de s’authentifier dans des circonstances trop bizarres devrait sûrement allumer le voyant rouge.
Les OTP en hausse
La combinaison des informations d’identification du nom d’utilisateur et du mot de passe reste la méthode d’authentification la plus répandue. Alors que les organisations reconnaissent facilement l’importance d’une sécurité renforcée, l’ajout de facteurs d’authentification supplémentaires était auparavant un investissement coûteux et long. Grâce à la création de mots de passe à usage unique (OTP) ces dernières années, cet obstacle à la mise en œuvre du MFA a largement disparu. En conséquence, l’adoption est en augmentation. Les développeurs d’applications peuvent facilement ajouter un facteur de possession à leur processus d’authentification en envoyant des codes PIN uniques aux téléphones ou aux e-mails des utilisateurs.
L’adoption du MFA augmente également car les utilisateurs finaux la trouvent plus intuitive et plus facile que jamais. Des application gratuites sont désormais disponibles pour une utilisation sur les téléphones mobiles qui génèrent des OTP pour les ressources cloud prenant en charge MFA.
Les logiciels d’OTP ont souvent de courtes fenêtres de validité avant de modifier la valeur des informations d’identification. La réinitialisation OTP de Google Authenticator toutes les 30 secondes par exemple, minimise considérablement le risque en cas de compromission d’une valeur. Une sécurité accrue n’est vraiment efficace que si le processus est également simple et transparent. Le MFA d’aujourd’hui est assez simple pour imposer un accès plus strict sans inciter accidentellement à des solutions de contournement..
La sécurité MFA ajoutée à vos processus d’authentification sont une évidence. Avec MFA, il est plus difficile pour les utilisateurs d’abuser de leurs droits d’accès et pour les intrus malveillants de se faire passer pour eux.
[i] https://digitalguardian.com/blog/uncovering-password-habits-are-users-password-security-habits-improving-infographic
[ii] https://www.infosecurity-magazine.com/news/google-survey-finds-two-users/
[iii] https://searchsecurity.techtarget.com/feature/5-common-authentication-factors-to-know