Qu'est-ce que la MFA (l'authentification à étapes) ?

De nombreux internautes connaissent la forme la plus courante de l'AMF, l' authentification à deux facteurs (2FA). L'authentification à deux facteurs ne demande que deux éléments de preuve, mais certaines implémentations de l'AMF en demandent trois ou plus.

Par exemple, pour se connecter à un compte e-mail protégé par le MFA, un utilisateur peut avoir besoin de saisir le mot de passe correct (le premier facteur) et un code à usage unique que le fournisseur de messagerie envoie sur le mobile de l'utilisateur par texto (le deuxième facteur). Pour un compte particulièrement sensible, un troisième élément de preuve, tel que la possession d’une clé matérielle, pourrait être requis.

L'utilisateur ne peut accéder au système que si tous les facteurs requis sont vérifiés. S'il y a un problème, la tentative de connexion échouera.

Les méthodes d'AMF sont utilisées pour accéder à toutes sortes de comptes, d'actifs et de systèmes sensibles. Ils apparaissent même hors ligne : l'utilisation d'une carte bancaire (le premier élément de preuve) et d'un code PIN (le deuxième élément de preuve) pour retirer de l'argent à un distributeur automatique est une forme d'authentification multifactorielle.

La MFA est devenue un élément de plus en plus important des stratégies de gestion des identités et des accès d’entreprise (IAM). Les méthodes d'authentification standards à facteur unique reposent sur des noms d'utilisateur et des mots de passe, qui sont faciles à voler ou à pirater. En fait, les identifiants compromis sont à l’origine de 10 % des violations de données, selon le Rapport sur le coût d’une violation de données.

Les systèmes MFA ajoutent une couche de sécurité supplémentaire en exigeant plus d’un élément de preuve pour confirmer l’identité d’un utilisateur. Même si un pirate vole un mot de passe, il n’en a pas assez pour obtenir un accès non autorisé à un système. Il a encore besoin de ce deuxième facteur.

De plus, le deuxième facteur est souvent quelque chose de beaucoup plus difficile à déchiffrer qu’un simple mot de passe, comme une empreinte digitale ou un token de physical security.

Dans un système MFA, les utilisateurs ont besoin d’au moins deux éléments de preuve, appelés « facteurs d’authentification », pour prouver leur identité. Les systèmes MFA peuvent utiliser plusieurs types de facteurs d’authentification, et les véritables systèmes MFA utilisent au moins deux types de facteurs différents.

L'utilisation de différents types de facteurs est considérée comme plus sûre que l'utilisation de plusieurs facteurs du même type, car les cybercriminels doivent utiliser des méthodes distinctes sur différents canaux pour décrypter chaque facteur.

Par exemple, les pirates peuvent voler le mot de passe d’un utilisateur en installant des logiciels espions sur l’ordinateur de la victime. Pourtant, ce logiciel espion ne détecterait pas les codes d’accès à usage unique envoyés sur le smartphone de l’utilisateur, ni ne copierait l’empreinte digitale de l’utilisateur. Les attaquants auraient besoin d’intercepter le message SMS contenant le code d’accès ou de pirater le scanner d’empreintes digitales pour recueillir tous les identifiants dont ils ont besoin.

Les types de facteurs d’authentification sont les suivants :

• Facteurs de connaissance
• Facteurs de possession
• Facteurs inhérents
• Facteurs comportementaux

Les facteurs de connaissance sont des informations que l’utilisateur est le seul à connaître (en théorie) : les mots de passe, les codes PIN et les réponses aux questions de sécurité. Les facteurs de connaissance, généralement les mots de passe, sont le premier facteur dans la plupart des implémentations de MFA.

Cependant, les facteurs de connaissance sont également les facteurs d'authentification les plus vulnérables. Les pirates peuvent obtenir des mots de passe et d’autres facteurs de connaissance par le biais d’attaques par hameçonnage,en installant des logiciels malveillants sur les appareils des utilisateurs ou en organisant des attaques par force brute dans lesquelles ils utilisent des bots pour générer et tester des mots de passe potentiels sur un compte jusqu’à ce que le bon soit trouvé.

D’autres types de facteurs de connaissance sont également des vulnérabilités. Les réponses à de nombreuses questions de sécurité, telles que le classique « Quel est le nom de jeune fille de votre mère  », peuvent être déchiffrées grâce à des recherches de base sur les réseaux sociaux ou à des attaques d’ingénierie sociale qui incitent les utilisateurs à divulguer des informations personnelles.

La pratique courante qui consiste à exiger un mot de passe et une question de sécurité n’est pas la vraie MFA, car elle utilise deux facteurs du même type, en l’occurrence deux facteurs de connaissance. Il s’agit plutôt d’un exemple de processus de validation en deux étapes. La vérification en deux étapes offre une sécurité supplémentaire, car elle nécessite plus d’un facteur, mais elle n’est pas aussi sûre que la véritable MFA.

Les facteurs de possession sont des éléments qu'une personne possède et qu'elle peut utiliser pour prouver son identité. Les facteurs de possession comprennent à la fois les tokens logiciels numériques et les tokens matériels physiques.

Plus courants aujourd’hui, les tokens sont des clés de sécurité numériques stockées ou générées par un appareil appartenant à l’utilisateur, généralement un smartphone ou un autre appareil mobile. Avec les tokens, l’appareil de l’utilisateur joue le rôle de facteur de possession. Le système MFA suppose que seul l’utilisateur légitime aura accès à l’appareil et à toutes les informations qu’il contient.

Les tokens de sécurité logiciels peuvent prendre de nombreuses formes, depuis les certificats numériques qui authentifient automatiquement un utilisateur jusqu'aux mots de passe à usage unique (OTP) qui changent à chaque fois qu'un utilisateur se connecte.

Certaines solutions MFA envoient des OTP sur le téléphone de l'utilisateur par SMS, e-mail ou appel. D’autres implémentations MFA utilisent des applications d’authentification : des applications mobiles spécialisées qui génèrent en permanence des mots de passe à usage unique (TOTP) basés sur le temps. De nombreux TOTP expirent au bout de 30 à 60 secondes, ce qui les rend difficiles à voler et à utiliser avant la fin du temps imparti et l’obsolescence du mot de passe.

Certaines applications d’authentification utilisent des push notifications plutôt que des TOTP. Lorsqu’un utilisateur essaie de se connecter à un compte, l’application envoie une push notification directement au système d’exploitation iOS ou Android de l’appareil de l’utilisateur. L’utilisateur doit appuyer sur la notification pour confirmer la tentative de connexion.

Les applications d'authentification courantes incluent Google Authenticator, Microsoft Authenticator et LastPass Authenticator.

D'autres systèmes d'authentification utilisent du matériel dédié qui agit comme des tokens physiques. Certains tokens physiques se branchent sur le port USB d'un ordinateur et transmettent automatiquement les informations d'authentification aux applications et aux sites. D'autres tokens matériels sont des dispositifs autonomes qui génèrent des OTP à la demande.

Les tokens matériels peuvent également inclure des clés de sécurité plus traditionnelles, telles qu’un badge qui ouvre une serrure physique ou une carte à puce qu’un utilisateur doit glisser dans un lecteur de carte.

Le principal avantage des facteurs de possession est que les acteurs malveillants doivent avoir le facteur en leur possession pour se faire passer pour un utilisateur. Souvent, cela signifie voler un smartphone physique ou une clé de sécurité. De plus, les OTP expirent au bout d'un certain temps. Même si les pirates en volent un, il n’y a aucune garantie qu’il fonctionnera.

Mais les facteurs de possession ne sont pas infaillibles. Les tokens physiques peuvent être volés, perdus ou déplacés. Les certificats numériques peuvent être copiés. Les OTP sont plus difficiles à voler que les mots de passe traditionnels, mais ils restent vulnérables à certains types de logiciels malveillants, à des phishing ciblé ou à des attaques d'homme du milieu.

Les pirates informatiques peuvent également utiliser des moyens plus sophistiqués. Dans une arnaque au clonage de carte SIM, les attaquants créent un duplicata fonctionnel de la carte SIM du smartphone de la victime, leur permettant d'intercepter les codes d'accès envoyés au numéro de téléphone de l'utilisateur.

Les attaques de fatigue de l'AMF profitent des systèmes d'AMF qui utilisent des notifications push. Les pirates informatiques inondent l'appareil de l'utilisateur de notifications frauduleuses dans l'espoir que la victime en confirme une par erreur et autorise le pirate à accéder à son compte.

Également appelés « biométrie », les facteurs d’inhérence sont des fonctionnalités physiques propres à l’utilisateur, telles que les empreintes digitales, les fonctionnalités du visage et les scans de la rétine. De nombreux smartphones et ordinateurs portables sont équipés de scanners faciaux et de lecteurs d’empreintes digitales, et de nombreuses applications et sites Web peuvent utiliser ces données biométriques comme facteur d’authentification.

Bien que les facteurs inhérents soient parmi les plus difficiles à déchiffrer, cela peut être fait. Par exemple, les chercheurs en sécurité ont trouvé un moyen de pirater les scanners d’empreintes digitales Windows Hello sur certains ordinateurs portables. Les chercheurs ont pu remplacer les empreintes digitales des utilisateurs enregistrés par les leurs, leur donnant ainsi le contrôle des appareils.

Les progrès en matière de génération d'images par intelligence artificielle (IA) suscitent également des inquiétudes pour les experts en cybersécurité, car les pirates informatiques pourraient utiliser ces outils pour tromper les logiciels de reconnaissance faciale.

Lorsque les données biométriques sont compromises, elles ne peuvent pas être modifiées rapidement ou facilement, ce qui rend difficile l'arrêt des attaques en cours et la reprise du contrôle des comptes.

Les facteurs comportementaux sont des artefacts numériques qui aident à vérifier l’identité d’un utilisateur sur la base de modèles de comportement, comme la plage d’adresses IP typique d’un utilisateur, son emplacement et sa vitesse moyenne de saisie.

Par exemple, lors de la connexion, de l'enregistrement à une application à partir d'un réseau privé virtuel (VPN) d'entreprise, un utilisateur peut n'avoir à fournir qu'un seul facteur d'authentification. Leur présence sur le VPN de confiance compte comme deuxième facteur.

De même, certains systèmes permettent aux utilisateurs d’enregistrer des appareils de confiance en tant que facteurs d’authentification. Chaque fois que l’utilisateur accède au système à partir de l’appareil de confiance, l’utilisation de l’appareil fonctionne automatiquement comme deuxième facteur.

Bien que les facteurs comportementaux constituent un moyen sophistiqué d’authentifier les utilisateurs, les pirates peuvent toujours se faire passer pour les utilisateurs en copiant leur comportement.

Par exemple, si un pirate informatique accède à un appareil de confiance, il peut l'utiliser comme facteur d'authentification. De même, les attaquants peuvent usurper leur adresse IP pour faire croire qu'ils sont connectés au VPN de l'entreprise.

La MFA adaptative utilise l’authentification adaptative, également appelée « authentification basée sur les risques ». Les systèmes d’authentification adaptatifs utilisent l’IA et le machine learning (ML) pour évaluer l’activité des utilisateurs et ajuster dynamiquement les difficultés d’authentification. Plus la situation présente un risque élevé, plus l’utilisateur doit fournir de facteurs d’authentification.

Par exemple, si un utilisateur tente de se connecter à une application de bas niveau à partir d’un appareil connu sur un réseau de confiance, il peut être amené à saisir uniquement un mot de passe.

Si ce même utilisateur essaie de se connecter à la même application à partir d'une connexion wifi publique non sécurisée, il devra peut-être fournir un second facteur.

Si l'utilisateur tente d'accéder à des informations particulièrement sensibles ou de modifier les informations critiques du compte, il devra peut-être fournir un troisième, voire un quatrième facteur.

Les systèmes d'authentification adaptatifs peuvent aider les entreprises à relever certains des défis les plus courants liés à la mise en œuvre de l'AMF. Par exemple, les utilisateurs peuvent résister à l’authentification multifacteur parce qu’ils la trouvent moins pratique qu’un simple mot de passe. L’authentification multifacteur adaptative permet aux utilisateurs de n’avoir besoin de plusieurs facteurs que pour les situations sensibles, ce qui améliore l’expérience utilisateur.

Pour une entreprise, différents actifs et parties du réseau peuvent nécessiter différents niveaux de sécurité. Exiger une authentification multi-facteur pour chaque application et activité peut engendrer une mauvaise expérience utilisateur avec peu d’avantages en termes de sécurité.

Les systèmes d'authentification adaptatifs permettent aux entreprises de définir des processus de gestion des accès plus granulaires en fonction des utilisateurs, des activités et des ressources impliquées, au lieu d'appliquer une solution unique.

Cela dit, la maintenance des systèmes adaptatifs peut nécessiter plus de ressources et d’expertise qu’une solution MFA standard.

Les systèmes MFA sans mot de passe n'acceptent que les facteurs de possession, inhérents et comportementaux, et non les facteurs de connaissance. Par exemple, demander à un utilisateur une empreinte digitale ainsi qu'un token physique constituerait une MFA sans mot de passe.

Les clés d’accès, telles que celles basées sur la norme FIDO, sont l’une des formes d’authentification sans mot de passe les plus courantes. Ils utilisent la cryptographie à clé publique pour vérifier l’identité d’un utilisateur.

La MFA sans mot de passe élimine les facteurs de connaissance, car ce sont les facteurs les plus faciles à compromettre. Bien que la plupart des méthodes MFA actuelles utilisent des mots de passe, les experts du secteur prévoient un avenir où le mot de passe sera de moins en moins utilisé. Des entreprises telles que Google, Apple, IBM et Microsoft proposent des options d'authentification sans mot de passe.

Les entreprises utilisent des systèmes d’authentification pour protéger les comptes utilisateurs contre ces attaques. Cependant, dans les systèmes d’authentification les plus basiques, un mot de passe suffit pour y accéder, ce qui n’est pas beaucoup plus sûr que « Charlie m’a envoyé ».

Selon le Rapport sur le coût d’une violation de données d'IBM, les identifiants compromises et le phishing sont les deux vecteurs de cyberattaque les plus courants derrière les violations de données. Ensemble, ils représentent environ 26 % des violations. Les deux vecteurs reposent souvent sur le vol des mots de passe, que les pirates peuvent ensuite utiliser pour pirater des comptes et des appareils légitimes afin de causer des ravages.

Les pirates ciblent les mots de passe parce qu’ils sont faciles à déchiffrer par la force brute ou par tromperie. De plus, comme les gens réutilisent les mots de passe, les pirates peuvent souvent utiliser un seul mot de passe volé pour accéder à plusieurs comptes. Les conséquences d’un mot de passe volé peuvent être graves pour les utilisateurs et les entreprises, entraînant le vol d’identité, le vol d’argent, le sabotage du système et plus encore.

La MFA ajoute une couche de protection supplémentaire aux comptes utilisateur, ce qui permet de contrecarrer les accès non autorisés en plaçant davantage d’obstacles entre les pirates et leurs cibles. Même si les pirates peuvent voler un mot de passe, ils ont besoin d’au moins un facteur supplémentaire pour y accéder.

La MFA peut également aider les entreprises à répondre aux exigences de conformité. Par exemple, la norme PCI DSS (Payment Card Industry Data Security Standard) exige de manière explicite que les systèmes qui traitent des données de cartes de paiement soient protégés par une authentification multifactorielle.

D’autres réglementations relatives à la confidentialité et à la sécurité des données comme la loi Sarbanes-Oxley (SOX) et le Règlement général sur la protection des données (RGPD), ne demandent pas explicitement l’utilisation de l’MFA. Néanmoins, les systèmes MFA peuvent aider les entreprises à respecter les normes de sécurité strictes établies par ces lois.

Dans certains cas, les entreprises ont été contraintes d’adopter la MFA à la suite d’une violation de données. Par exemple, la Federal Trade Commission a obligé le vendeur d’alcool en ligne Drizly de configurer la MFA à la suite d’une violation qui a touché 2,5 millions de clients.¹

Connexion unique (SSO) est un schéma d'authentification qui permet aux utilisateurs de se connecter à plusieurs applications à l'aide d'un seul ensemble d'identifiants. Bien que SSO et MFA traitent tous deux de l’authentification, ils servent des objectifs fondamentalement différents : MFA améliore la sécurité tandis que SSO est conçu pour la facilité d’utilisation.

L'authentification unique est souvent utilisée au sein des entreprises où les membres du personnel doivent accéder à plusieurs services ou applications pour effectuer leur travail. Exiger des utilisateurs qu’ils créent des comptes distincts pour chaque application peut entraîner une fatigue liée aux mots de passe, c’est-à-dire le stress associé à la mémorisation d’un nombre déraisonnable de connexions.

Le SSO permet aux utilisateurs d'utiliser une seule connexion pour plusieurs applications, améliorant ainsi l'expérience utilisateur.

La MFA n'adresse pas nécessairement le problème d'expérience, mais elle ajoute des couches de sécurité supplémentaires au processus de connexion.

MFA et SSO sont liés et complémentaires dans la mesure où les systèmes SSO modernes nécessitent souvent MFA, ce qui permet de garantir que la connexion est à la fois pratique et relativement sécurisée.

La différence entre 2FA et MFA est que 2FA utilise exactement deux facteurs, tandis que MFA peut nécessiter deux, trois ou même plus de facteurs, en fonction du niveau de sécurité requis. 2FA est un type d'AMF.

La plupart des applications MFA utilisent la 2FA, car deux facteurs sont souvent suffisamment sécurisés. Toutefois, les organisations peuvent exiger des éléments supplémentaires pour prouver l'identité avant d'accorder l'accès à des informations très sensibles telles que des données financières ou des fichiers contenant des données personnelles.