L'authentification multifacteur (MFA) est une méthode de vérification d'identité qui exige des utilisateurs qu'ils fournissent au moins un facteur d'authentification en plus d'un mot de passe, ou au moins deux facteurs d'authentification à la place d'un mot de passe, pour accéder à un site Web, une application ou un réseau.

Comme il est plus difficile de pirater plusieurs facteurs d'authentification qu'un seul mot de passe, et que d'autres types de facteur sont plus difficiles à voler ou à falsifier que les mots de passe, l'authentification MFA protège plus efficacement une organisation contre les accès non autorisés que l'authentification à un seul facteur (nom d'utilisateur et mot de passe).

L'authentification MFA est devenue un élément fondamental des stratégies de gestion des identités et des accès de nombreuses organisations. Il s'agit généralement d'une méthode d'authentification obligatoire ou recommandée dans de nombreux secteurs d'activité et organismes d'administration. La plupart des employés ou des internautes ont déjà rencontré un sous-type de l'authentification MFA, appelé authentification à deux facteurs (2FA), qui exige des utilisateurs qu'ils fournissent un mot de passe et un deuxième facteur,   généralement un code envoyé à un téléphone mobile ou à une adresse électronique,   pour se connecter à un système ou à un site Web. Mais quiconque a accédé à un DAB en utilisant une carte bancaire et un numéro d'identification personnel (NIP) a utilisé une forme d'authentification MFA.

L'authentification MFA détecte les pirage à deux niveaux. Au niveau le plus bas, il est plus difficile de pirater deux facteurs ou plus que d'en pirater un seul. Mais en fin de compte, la force d'un système d'authentification MFA dépend des types de facteur d'authentification que l'utilisateur doit fournir.

Facteurs de connaissance : quelque chose que l' utilisateur connaît

Les facteurs de connaissance sont des éléments d'information que, théoriquement, seul l'utilisateur connaît, comme les mots de passe, les codes NIP et les réponses aux questions de sécurité. Les facteurs de connaissance sont à la fois le type de facteur d'authentification le plus largement utilisé et le plus vulnérable. Les pirates peuvent obtenir des mots de passe et d'autres facteurs de connaissance par le biais de l'hameçonnage, en installant des enregistreurs de frappe ou des logiciels espions sur les appareils des utilisateurs ou en exécutant des scripts ou des bots qui génèrent et testent des mots de passe potentiels jusqu'à ce qu'un fonctionne.

Les autres facteurs de connaissance ne présentent pas beaucoup plus de problèmes. Les réponses à certaines questions de sécurité peuvent être découvertes par un pirate qui connaît l'utilisateur ou qui effectue des recherches sur les médias sociaux. D'autres peuvent être relativement faciles à deviner. Il n'est donc pas étonnant que les informations d'identification compromises constituent le vecteur d'attaque initial le plus couramment exploité en 2022, selon l'étude IBM Cost of a Data Breach 2022.

Une idée fausse très répandue affirme que l'exigence de deux facteurs de connaissance, tels qu'un mot de passe et la réponse à une question de sécurité, constitue une authentification MFA. L'exigence d'un deuxième facteur de connaissance renforce quelque peu la sécurité, mais une véritable authentification MFA nécessite d'utiliser au moins deux types de facteur.

Facteurs de possession : quelque chose que l'utilisateur possède

Les facteurs de possession sont des objets physiques dont disposent les utilisateurs, comme une télécommande ou une carte d'identité donnant accès à un verrou physique, un appareil mobile avec une application d'authentification installée, ou une carte à puce contenant des informations d'authentification.

De nombreuses implémentations MFA utilisent une méthode appelée « Téléphone comme jeton », dans laquelle le téléphone mobile de l'utilisateur reçoit ou génère les informations dont il a besoin pour devenir un facteur de possession. Comme indiqué ci-dessus, l'authentification MFA envoie généralement un mot de passe à usage unique (OTP) sur le téléphone d'une personne par le biais d'un SMS, d'un message électronique ou d'un appel téléphonique. Mais les OTP peuvent être également générés par des applications mobiles spéciales appelées applications d'authentification. En outre, certains systèmes d'authentification envoient des notifications Push sur lesquelles les utilisateurs peuvent simplement appuyer pour confirmer leur identité.

D'autres systèmes de solutions MFA utilisent des jetons physiques ou des clés de sécurité matérielles dédiées. Certains jetons physiques s'enfichent dans le port USB d'un ordinateur et transmettent les informations d'authentification à la page de connexion. D'autres génèrent des OTP que l'utilisateur doit entrer.

Les facteurs de possession offrent plusieurs avantages par rapport aux facteurs de connaissance. Les acteurs malveillants doivent avoir le facteur en leur possession au moment de la connexion pour se faire passer pour un utilisateur. Comme ils fonctionnent sur un réseau (SMS) différent de celui de l'application (IP), un pirate doit intercepter deux canaux de communication différents pour voler les informations d'identification. Même si un pirate peut obtenir un OTP, il doit l'obtenir et l'utiliser avant qu'il n'expire et ne puisse plus le réutiliser.   

Mais il existe des risques. Comme il s'agit d'objets (généralement de petite taille), les jetons physiques peuvent être volés, perdus ou égarés.  Bien que les OTP soient plus difficiles à voler que les mots de passe traditionnels, ils peuvent être l'objet d'attaques sophistiquées par hameçonnage ou de type « homme du milieu » ou exposés au clonage de la carte SIM, où des acteurs malveillants créent une copie fonctionnelle de la carte SIM du smartphone de la victime.

Facteurs inhérents : quelque chose d'unique à l'utilisateur en tant que personne

Les facteurs inhérents, également appelés biométrie, sont des caractéristiques physiques ou des traits propres à l'utilisateur.  Les empreintes digitales, la voix, les traits du visage ou le motif de l'iris et de la rétine d'une personne sont des exemples de facteurs inhérents. Actuellement, de nombreux appareils mobiles peuvent être déverrouillés à l'aide des empreintes digitales ou de la reconnaissance faciale. Certains ordinateurs peuvent utiliser les empreintes digitales pour saisir des mots de passe sur des sites Web ou des applications.

Les facteurs inhérents sont les facteurs les plus difficiles à obtenir. Ils ne peuvent pas être oubliés, perdus ou égarés, et ils sont extraordinairement difficiles à reproduire.

Mais cela ne signifie pas qu'ils sont infaillibles. Si les facteurs inhérents sont stockés dans une base de données, ils peuvent être volés. En 2019, par exemple, une base de données biométriques contenant les empreintes digitales d'un million d'utilisateurs a été violée. Théoriquement, les pirates pourraient voler ces empreintes digitales, ou lier leurs propres empreintes digitales au profil d'un autre utilisateur dans la base de données.

Lorsque les données biométriques sont compromises, elles ne peuvent pas être modifiées rapidement ou facilement, ce qui peut rendre difficile pour les victimes d'arrêter les attaques en cours.

Facteurs comportementaux : quelque chose que fait l'utilisateur

Les facteurs comportementaux sont des artefacts numériques qui vérifient l'identité d'un utilisateur sur la base de modèles de comportement. Une plage d'adresses IP ou les données de localisation à partir desquelles un utilisateur se connecte habituellement à une application sont des exemples de facteurs comportementaux.

Les solutions d'authentification comportementale utilisent l'intelligence artificielle pour déterminer une référence pour les schémas comportementaux normaux des utilisateurs, puis signalent les activités anormales, telles que la connexion à partir d'un nouvel appareil, numéro de téléphone, navigateur Web ou emplacement. Elles sont également couramment utilisées dans les schémas d'authentification adaptative (également appelée authentification basée sur le risque), dans lesquels les conditions d'authentification changent lorsque le risque évolue, par exemple, lorsqu'un utilisateur tente de se connecter à partir d'un dispositif non fiable ou d'accéder à une application pour la première fois ou à des données particulièrement sensibles.

Bien que les facteurs comportementaux offrent un moyen sophistiqué d'authentifier les utilisateurs, leur déploiement nécessite des ressources et une expertise significatives. En outre, si un pirate obtient l'accès à un appareil de confiance, il peut l'utiliser comme facteur d'authentification.

La compromission des facteurs de connaissance étant le vecteur initial le plus courant dans les atteintes à la cybersécurité, de nombreuses organisations explorent l'authentification sans mot de passe. Ce type d'authentification repose sur la possession et sur des facteurs inhérents et comportementaux pour vérifier les identités. Il réduit le risque d'attaques par hameçonnage et par « bourrage d'identifiant », c'est-à-dire que les pirates utilisent des informations d'identification volées dans un système pour accéder à un autre.

Si l'authentification sans mot de passe supprime ce qui est largement considéré comme le maillon le plus faible de la chaîne de vérification de l'identité, elle reste vulnérable aux faiblesses de la possession et aux facteurs inhérents et comportementaux. Les organisations peuvent atténuer ces vulnérabilités en appliquant une approche qui impose aux utilisateurs de fournir plusieurs types d'identifiants d'authentification sans facteur de connaissance. La demande de l'empreinte digitale d'un utilisateur et d'un jeton physique constitue une authentification MFA sans mot de passe.

Pour faire face à l'augmentation croissante des cyberattaques, les gouvernements et les organismes gouvernementaux commencent à exiger une authentification MFA pour les systèmes qui traitent des données sensibles. En 2020, le fisc américain a rendu obligatoire l'authentification MFA pour les fournisseurs de systèmes de préparation d'impôts en ligne. Depuis le décret de 2021 du président Joseph Biden sur l'amélioration de la cybersécurité de la nation, l'authentification MFA est devenue obligatoire pour toutes les agences fédérales. Une note de service complémentaire exige que tous les systèmes de sécurité nationale, du département de la défense et de la communauté du renseignement mettent en œuvre une authentification MFA d'ici le 18 août 2022.

Un petit nombre de réglementations sectorielles, dont la norme de sécurité des données du secteur des cartes de paiement (PCI-DSS), exigent spécifiquement une authentification MFA pour les systèmes qui traitent les données des cartes de crédit et des cartes de paiement. De nombreuses autres réglementations, dont la loi Sarbanes-Oxley (SOX) et la loi HIPAA, recommandent vivement d'utiliser une authentification MAF comme élément essentiel pour respecter la conformité. Certaines réglementations à l'échelle de l'État imposent l'authentification MFA depuis de nombreuses années. Les entreprises qui n'ont pas respecté les dispositions relatives à l'authentification MFA du règlement sur la cybersécurité 23 NYCRR 500 du New York Department of Financial Services (NYDFS) de 2017 se sont vu infliger des amendes judqu'à 3 millions USD  (lien externe à ibm.com).

connexion unique (SSO) est une méthode d'authentification qui permet aux utilisateurs d'accéder à plusieurs applications et services connexes à l'aide d'un seul ensemble d'informations de connexion. L'utilisateur se connecte une fois, et une solution SSO authentifie son identité et génère un jeton d'authentification de session. Ce jeton fait office de clé de sécurité de l'utilisateur pour diverses applications et bases de données interconnectées.

Pour réduire le risque de devoir se fier à un seul ensemble d'informations d'identification de connexion pour plusieurs applications, les organisations exigent généralement une authentification adaptative pour SSO. L'authentification SSO adaptive applique la fonctionnalité de l'authentification adaptative aux schémas SSO. Si un utilisateur présente un comportement anormal lors de sa tentative d'authentification via SSO, ou pendant sa session authentifiée par SSO, il lui est demandé de fournir des facteurs d'authentification supplémentaires. La connexion via un VPN non reconnu ou l'accès à une application ou à des données non couvertes par le jeton d'authentification de session de l'utilisateur sont des exemples de comportements anormaux.

Zero Trust dans lesquelles l'identité d'un utilisateur n'est jamais considérée comme fiable et toujours vérifiée, utilisent généralement une combinaison d'authentification SSO adaptative et d'authentification MFA à des fins d'authentification. En vérifiant continuellement l'identité de l'utilisateur tout au long de la session et en demandant des facteurs d'authentification supplémentaires en fonction du risque, l'authentification SSO adaptive et l'authentification MFA renforcent la gestion des accès sans affecter l'expérience de l'utilisateur.