Publication : 20 décembre 2023
Contributeurs : Matthew Kosinski, Amber Forrest
La 2FA, ou authentification à deux facteurs, est une méthode de vérification d’identité qui impose aux utilisateurs deux éléments de preuve, tels qu’un mot de passe et un code d’accès à usage unique, pour prouver leur identité et accéder à un compte en ligne ou à d’autres ressources sensibles.
La plupart des internautes sont probablement familiers avec les systèmes 2FA par SMS. Dans ce cas, une application envoie un code numérique au mobile de l’utilisateur lors de la connexion. L’utilisateur doit saisir à la fois son mot de passe et ce code pour continuer. Il ne suffit pas de saisir l’un ou l’autre.
La 2FA est la forme la plus courante d’authentification multifacteur (MFA), qui fait référence à toute méthode d’authentification dans laquelle les utilisateurs doivent fournir au moins deux preuves.
La 2FA a été largement adoptée, car elle contribue à renforcer la sécurité des comptes. Les mots de passe des utilisateurs peuvent être facilement déchiffrés ou falsifiés. La 2FA ajoute un niveau de sécurité supplémentaire en exigeant un deuxième facteur. Les pirates doivent non seulement voler deux informations d’identification pour pénétrer dans un système, mais le deuxième facteur est souvent un élément difficile à pirater, comme une empreinte digitale ou un code d’accès limité dans le temps.
IBM a été nommé leader dans le dernier rapport Gartner Magic Quadrant™ pour la gestion des accès.
Abonnez-vous à la newsletter IBM
Lorsqu’un utilisateur essaie d’accéder à une ressource protégée par un système de sécurité 2FA, comme un réseau d’entreprise, le système invite l’utilisateur à saisir son premier facteur d’authentification. Souvent, ce premier facteur est une combinaison nom d’utilisateur/mot de passe.
Si le premier facteur est valide, le système en demande un second. Les seconds facteurs ont tendance à varier davantage, qu’il s’agisse de codes temporaires, de données biométriques, etc. L’utilisateur ne peut accéder à la ressource que si les deux facteurs sont vérifiés.
Bien que la 2FA soit généralement associée à des systèmes informatiques, elle peut également protéger les actifs physiques et les emplacements. Par exemple, un bâtiment à accès restreint peut obliger les personnes à présenter un badge d’identification et à scanner leur empreinte digitale pour entrer.
Il existe plusieurs types de facteurs d’authentification que les systèmes 2FA peuvent utiliser et les véritables systèmes 2FA utilisent deux facteurs de deux types différents. L’utilisation de deux types de facteurs différents est considéré plus sûr que l’utilisation de deux facteurs du même type, car les pirates doivent utiliser des méthodes distinctes pour déchiffrer chaque facteur.
Par exemple, les pirates peuvent voler le mot de passe d’un utilisateur en installant des logiciels espions sur son ordinateur, mais les logiciels espions ne détectent pas de codes d’accès unique sur le téléphone de l’utilisateur. Les pirates doivent trouver une autre façon d’intercepter ces messages.
Dans la plupart des implémentations de 2FA, un facteur de connaissance sert de premier facteur d’authentification. Il s’agit d’un élément d’information que, théoriquement, seul l’utilisateur connaît, le mot de passe étant le facteur de connaissance le plus courant. Les numéros d’identification personnels (NIP) et les réponses aux questions de sécurité sont également courants.
Malgré leur utilisation répandue, les facteurs de connaissance en général, et les mots de passe en particulier, constituent le type de facteur d’authentification le plus vulnérable. Les pirates peuvent obtenir des mots de passe et d’autres facteurs de connaissance par le biais d’attaques de phishing, en installant des logiciels malveillants sur les appareils des utilisateurs ou en organisant des attaques par force brute au cours desquelles ils utilisent des bots pour générer et tester des mots de passe potentiels sur un compte jusqu’à ce que celui-ci fonctionne.
Les autres types de facteurs de connaissance ne présentent pas beaucoup plus de difficultés. Les réponses à de nombreuses questions de sécurité, comme le classique « Quel est le nom de jeune fille de votre mère ? », peuvent être facilement déchiffrées grâce à des recherches simples ou à des attaques d’ingénierie sociale qui incitent les utilisateurs à divulguer des informations personnelles.
Il est important de relever que la pratique courante qui consiste à exiger un mot de passe et une question de sécurité n’est pas la vraie 2FA, car elle utilise deux facteurs du même type, en l’occurrence deux facteurs de connaissance. Il s’agit plutôt d’un exemple de processus de validation en deux étapes.
La vérification en deux étapes peut être plus sûre qu’un simple mot de passe, car elle nécessite deux facteurs. Néanmoins, comme il s’agit de deux facteurs du même type, ils sont plus faciles à voler que les véritables facteurs 2FA.
Les facteurs de possession correspondent aux choses qu’une personne possède et qu’elle peut utiliser pour s’authentifier. Les deux types de facteurs de possession les plus courants sont les jetons logiciels et les jetons matériels.
Les jetons logiciels prennent souvent la forme de mots de passe à usage unique (OTP). Les OTP sont des codes d’accès à usage unique de 4 à 8 chiffres qui expirent au bout d’un certain temps. Les jetons logiciels peuvent être envoyés au téléphone d’un utilisateur par SMS (e-mail ou message vocal) ou générés par une application d’authentification installée sur l’appareil.
Dans les deux cas, l’appareil de l’utilisateur joue essentiellement le rôle de facteur de possession. Le système 2FA suppose que seul l’utilisateur légitime aura accès à toutes les informations partagées avec cet appareil ou générées par celui-ci.
Si les OTP par SMS comptent parmi les facteurs de possession les plus conviviaux, ils sont également les moins sécurisés. Les utilisateurs ont besoin d’une connexion Internet ou cellulaire pour recevoir ces codes et les pirates peuvent les voler par le biais d’attaques sophistiquées de phishing ou d’homme du milieu. Les OTP sont également vulnérables au clonage de cartes SIM, dans lequel les criminels créent une copie fonctionnelle de la carte SIM du smartphone de la victime et l’utilisent pour intercepter ses SMS.
L’application d’authentification peut générer un jeton sans connexion réseau. L’utilisateur associe l’application à ses comptes et l’application utilise un algorithme pour générer en permanence des mots de passe à usage unique et à durée limitée (TOTP). Chaque TOTP expire au bout de 30 à 60 secondes, ce qui rend difficile le vol. Certaines applications d’authentification utilisent des notifications push plutôt que des TOTP. Ainsi, lorsqu’un utilisateur essaie de se connecter à un compte, l’application envoie une notification push sur son téléphone, sur laquelle il doit appuyer pour confirmer qu’il est à l’origine de la tentative de connexion.
Les applications d’authentification les plus courantes sont Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator et Duo. Bien que ces applications soient plus difficiles à déchiffrer que les SMS, elles ne sont pas infaillibles. Les pirates peuvent utiliser des logiciels malveillants spécialisés pour voler les TOTP directement depuis les authentificateurs1 ou lancer des attaques de fatigue MFA qui consiste à inonder un appareil avec des notifications push frauduleuses dans l’espoir que la victime confirme accidentellement.
Les jetons matériels sont des dispositifs dédiés (porte-clés, cartes d’identité, dongles) qui fonctionnent comme des clés de sécurité. Certains jetons matériels se connectent au port USB d’un ordinateur et transmettent les informations d’authentification à la page de connexion, tandis que d’autres génèrent des codes de vérification que l’utilisateur peut saisir manuellement lorsqu’il y est invité.
Bien que les jetons matériels soient extrêmement difficiles à pirater, ils peuvent être volés, tout comme les appareils mobiles des utilisateurs contenant des jetons logiciels. En fait, les appareils perdus ou volés sont à l’origine de 6 % des violations de données, selon le rapport d’IBM sur le coût d’une violation de données.
Également appelés « biométrie », les facteurs d’inhérence sont des caractéristiques physiques ou des traits propres à l’utilisateur, comme les empreintes digitales, les traits du visage et les motifs rétiniens. De nombreux smartphones et ordinateurs portables fabriqués aujourd’hui sont équipés de lecteurs de reconnaissance faciale et d’empreintes digitales intégrés et de nombreuses applications et sites Web peuvent utiliser ces données biométriques comme facteur d’authentification.
Bien que les facteurs inhérents soient les plus difficiles à déchiffrer, les conséquences peuvent être désastreuses lorsqu’ils le sont. En 2019, une base de données biométriques contenant les empreintes digitales d’un million d’utilisateurs a été piratée.2 Théoriquement, les pirates pourraient voler ces empreintes digitales ou associer leurs propres empreintes digitales au profil d’un autre utilisateur dans la base de données.
De plus, les avancées en matière de génération d’images par IA inquiètent les experts en cybersécurité qui craignent que les pirates utilisent ces outils pour tromper les logiciels de reconnaissance faciale.
Lorsque les données biométriques sont compromises, elles ne peuvent pas être modifiées rapidement ou facilement, ce qui rend difficile l’arrêt des attaques en cours.
Les facteurs comportementaux sont des artefacts numériques qui vérifient l’identité d’un utilisateur d’après des modèles de comportement. Citons par exemple la plage d’adresses IP typique d’un utilisateur, son emplacement habituel et sa vitesse moyenne de saisie.
Les systèmes d’authentification comportementale utilisent l’intelligence artificielle pour déterminer une base de référence des habitudes normales des utilisateurs et signaler les activités anormales telles que la connexion à partir d’un nouvel appareil, d’un nouveau numéro de téléphone ou d’un nouvel emplacement. Certains systèmes 2FA utilisent des facteurs comportementaux en permettant aux utilisateurs d’enregistrer des appareils de confiance en tant que facteurs d’authentification. Bien que l’utilisateur doive fournir deux facteurs lors de la première connexion, l’utilisation de l’appareil de confiance servira automatiquement de deuxième facteur à l’avenir.
Les facteurs comportementaux jouent également un rôle dans les systèmes d’authentification adaptatifs, qui modifient les exigences d’authentification en fonction du niveau de risque. Par exemple, un utilisateur peut n’avoir besoin que d’un mot de passe pour se connecter à une application depuis un appareil de confiance sur le réseau de l’entreprise, mais il peut avoir besoin d’ajouter un deuxième facteur pour se connecter depuis un nouvel appareil ou un réseau inconnu.
Bien que les facteurs comportementaux constituent un moyen sophistiqué d’authentifier les utilisateurs finaux, leur déploiement nécessite des ressources et une expertise importantes. De plus, si un pirate accède à un appareil de confiance, il peut se faire passer pour l’utilisateur.
Les facteurs de connaissance étant si faciles à compromettre, de nombreuses organisations optent pour des systèmes d’authentification sans mot de passe qui n’acceptent que les facteurs de possession, inhérents et comportementaux. Par exemple, demander à un utilisateur une empreinte digitale et un jeton physique constitue une configuration 2FA sans mot de passe.
Alors que la plupart des méthodes 2FA actuelles utilisent des mots de passe, les experts du secteur s’attendent à un avenir où le mot de passe est progressivement délaissé. Les principaux fournisseurs de technologies tels que Google, Apple, IBM et Microsoft ont commencé à déployer des options d’authentification sans mot de passe.3
Selon le rapport sur le coût d’une violation de données d’IBM, le phishing et la compromission d’identifiants figurent parmi les vecteurs de cyberattaque les plus courants. Ensemble, ils représentent 31 % des violations de données. Les deux vecteurs reposent souvent sur le vol des mots de passe, que les pirates peuvent ensuite utiliser pour pirater des comptes et des appareils légitimes afin de faire des ravages.
Les pirates ciblent généralement les mots de passe parce qu’ils sont assez faciles à déchiffrer par la force brute ou par tromperie. De plus, comme les gens réutilisent les mots de passe, les pirates peuvent souvent utiliser un seul mot de passe volé pour accéder à plusieurs comptes. Les conséquences d’un vol de mot de passe peuvent être importantes pour les utilisateurs et l’organisation, entraînant un vol d’identité, un vol d’argent, un sabotage du système et plus encore.
La 2FA permet de contrecarrer les accès non autorisés en ajoutant un niveau de sécurité supplémentaire. Même si les pirates peuvent voler un mot de passe, ils ont quand même besoin d’un deuxième facteur pour y accéder. De plus, ces deuxièmes facteurs sont généralement plus difficiles à voler qu’un facteur de connaissance ; les pirates doivent falsifier les données biométriques, imiter les comportements ou voler des appareils physiques.
Les organisations peuvent également utiliser des méthodes d’authentification à deux facteurs pour répondre aux exigences de conformité. Par exemple, la norme PCI-DSS (Payment Card Industry Data Security Standard) exige de manière explicite que les systèmes qui traitent des données de cartes de paiement soient protégés par une authentification multifactorielle.4 D’autres réglementations telles que la loi Sarbanes-Oxley (SOX) et le Règlement général sur la protection des données (RGPD) n’imposent pas explicitement l’utilisation de la 2FA. Cependant, la 2FA peut aider les organisations à se conformer aux normes de sécurité strictes fixées par ces lois.
Dans certains cas, les organisations ont été contraintes d’adopter l’authentification multifacteur à la suite d’une violation de données. Par exemple, en 2023, la Federal Trade Commission a obligé le vendeur d’alcool en ligne Drizly de configurer la MFA à la suite d’une violation qui a touché 2,5 millions de clients.5
Pour sélectionner les utilisateurs qui doivent avoir accès aux données et aux applications de votre organisation, sur site ou dans le cloud, ajoutez un contexte, une intelligence et une sécurité approfondis à vos décisions.
Intégrez l’IAM cloud avec un contexte approfondi nécessaire à l’authentification basée sur les risques. Offrez un accès sécurisé et fluide à vos consommateurs et à votre personnel grâce aux solutions IAM cloud IBM Security Verify.
Allez au-delà de l’authentification de base avec des options sans mot de passe ou multi-facteur.
La gestion des identités et des accès (IAM) est une discipline de cybersécurité axée sur la gestion des identités des utilisateurs et des autorisations d’accès sur un réseau informatique.
L’authentification multifactorielle (MFA) est une méthode de vérification d’identité qui oblige les utilisateurs à fournir au moins deux éléments de preuve pour prouver leur identité.
Préparez-vous au mieux aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations.
Notes de bas de page
Tous les liens sont externes au site ibm.com
1 Android malware can steal Google Authenticator 2FA codes, ZDNET, 26 février 2020
2 ’1m fingerprint’ data leak raises doubts over biometric security, ScienceDirect, septembre 2019
3 You no longer need a password to sign in to your Google account, The Verge, 3 mai 2023
4 PCI DSS : v4.0, Conseil des normes de sécurité, mars 2022
5 In the Matter of Drizly, LLC, Federal Trade Commission, 10 janvier 2023