Le nombre de comptes d’utilisateurs en ligne par personne n’a jamais été aussi grand, et tous ces comptes augmentent considérablement les risques de comptes compromis.
Malheureusement, même si ces comptes sont personnels, ils représentent un risque pour votre entreprise en raison de la réutilisation de mots de passe. Ce risque découle des difficultés rencontrées par l’utilisateur final moyen lorsqu’il doit créer des mots de passe multiples, uniques et complexes pour ses (probablement) centaines de comptes personnels et professionnels en ligne. En bref, chacun de ces comptes en ligne peut poser des problèmes de sécurité importants aux administrateurs informatiques.
Il existe toutefois des moyens de protéger les comptes contre les mots de passe faibles, réutilisés ou gérés de manière irresponsable, et une de ces méthodes a gagné une popularité considérable avec les comptes B2B et B2C : l’authentification multifactorielle (MFA, ou multi-factor authentication), également connue sous le nom d’authentification à deux facteurs / 2FA.
Cette solution simple protège les ressources en ligne mieux que le plus complexe des mots de passe. Mais qu’est-ce que l’authentification multifactorielle exactement ? Et comment fonctionne-t-elle, tant du point de vue de l’administrateur informatique que de l’utilisateur final ?
Après avoir lu cette série de trois articles, vous comprendrez ce qu’est l’authentification multifactorielle, pourquoi elle est nécessaire, comment elle fonctionne et comment la mettre en œuvre pour toute combinaison d’employés sur site ou en télétravail.
Qu’est-ce que l’authentification multifactorielle ?
Souvent appelée authentification à deux facteurs (ou 2FA), l’authentification multifactorielle est un outil essentiel et vital dans la lutte contre le vol d’identité et l’accès non autorisé aux ressources de l’entreprise.
L’authentification multifactorielle (ou MFA en abrégé) ajoute un deuxième ou troisième facteur (ou plus) au processus de connexion aux ressources de l’entreprise (applications, services, serveurs, etc.).
Les facteurs les plus courants pour valider l’identité d’une personne sont les suivants :
- Ce que vous êtes : le plus fondamental est peut-être de vous identifier par quelque chose que vous êtes. Dans l’idéal, il s’agit d’attributs uniques et non changeants, tels qu’une empreinte digitale, une photo du visage, une empreinte rétinienne, ou même votre discours ou vos habitudes de frappe. On pense généralement que ces facteurs sont les plus sûrs, mais ils sont également difficiles à opérationnaliser, et puis, bien sûr, il y a des préoccupations importantes en matière de vie privée.
- Ce que vous connaissez : il s’agit de connaissances uniques à une personne, y compris des éléments tels que des mots de passe, des faits sur votre vie, l’histoire de votre famille, et plus encore. Traditionnellement, il s’agit de la forme d’identification en ligne la plus courante. Elle a toujours été facile à mettre en œuvre, à stocker et à rendre opérationnelle.
- Ce que vous avez : une forme d’identification de plus en plus populaire consiste à valider l’identité sur la base de quelque chose que seule la personne peut avoir. Il peut s’agir d’un certificat ou d’une clé (clé privée par exemple lorsqu’on parle de paires de clés SSH). Du point de vue de l’authentification multifactorielle, cette méthode a été popularisée par un porte-clés qui générait un code (NIP ou série de chiffres). Aujourd’hui, un exemple d’objet que vous possédez pourrait être votre téléphone portable.
Anciennement, le facteur d’identification des utilisateurs en ligne le plus courant était le mot de passe. La sécurité en ligne étant devenue beaucoup plus critique, les experts en informatique préconisent depuis longtemps le renforcement de ce facteur unique et l’ajout de plusieurs autres facteurs permettant l’identification des personnes.
En plus d’utiliser leur mot de passe (qui est le facteur d’authentification le plus populaire, souvent considéré comme « ce que vous savez »), les utilisateurs doivent maintenant fournir une autre source d’information afin de valider leur identité ; cela constitue souvent « ce que vous avez » ou « ce que vous êtes », car ces deux facteurs sont extrêmement difficiles à usurper ou à accéder à distance, ce dont les pirates criminels ont souvent besoin.
Par exemple, une approche MFA courante génère un code à partir d’un smartphone via une application telle que Google Authenticator (c’est-à-dire quelque chose que vous avez). Le code est un numéro généré de manière aléatoire lié au système ou à l’application auquel l’utilisateur se connecte.
Une autre méthode similaire est appelée « push ». Au lieu de saisir un code à partir du smartphone, l’utilisateur appuie simplement sur un bouton pour confirmer la vérification du second facteur.
Il existe un certain nombre de techniques différentes pour générer un « second facteur » et elles sont abordées plus loin dans cette série. Il est intéressant de noter que bon nombre de ces seconds facteurs font présentement l’objet d’une étude visant à en faire des facteurs de premier ordre afin de créer une expérience sans mot de passe pour les utilisateurs finaux.
Histoire de l’authentification multifactorielle
Le premier concept de système d’authentification factorielle remonte aux Égyptiens, qui utilisaient un verrou à goupilles en bois interdisant ainsi l’accès à des structures spécifiques. Lorsque la clé était insérée, des goupilles cachées à l’intérieur du dispositif se soulevaient, entraînant son déplacement. Ce système est très similaire à l’itération actuelle de la serrure et de la clé, sauf qu’il est maintenant fabriqué avec des métaux assurant ainsi sa durabilité.
En 1985, Kenneth Weiss, qui a fondé Security Dynamics en 1984, a inventé et breveté « un appareil pour la génération et la comparaison électroniques de codes non prévisibles ». Son invention est à l’origine du premier concept de ce qui sera connu sous le nom d’authentification multifactorielle.
Près de dix ans plus tard, il est à l’origine de l’achat de RSA Security, qui était alors une petite société de cryptage travaillant dans le secteur en plein essor du commerce électronique. Le produit SecureID, basé sur l’algorithme de cryptage RSA développé par les fondateurs de RSA Security, est devenu l’un des premiers produits d’authentification multifactorielle destinés aux entreprises et a dominé le marché pendant plusieurs années.
Si les codes, porte-clés et autres appareils MFA existent toujours, les smartphones permettent maintenant aux utilisateurs de s’authentifier depuis pratiquement n’importe où, de sécuriser leurs comptes et de s’y connecter plus facilement.
Alors que les organisations utilisaient initialement l’authentification multifactorielle pour les transactions financières ou d’autres situations hautement sécurisées, elles ont commencé à faire appel à l’authentification multifactorielle pour les identités des utilisateurs, qu’ils soient clients ou employés, indépendamment de l’objectif de l’application en question, afin de préserver la sécurité des informations importantes.
L’évolution de l’authentification multifactorielle a permis aux administrateurs informatiques de garder les données sensibles à l’abri de la menace croissante des pirates tout en devenant un élément naturel du processus de connexion pour les utilisateurs finaux.
Pourquoi l’authentification multifactorielle est-elle nécessaire ?
Lorsque vous n’avez qu’un seul ensemble d’informations d’identification jouant le rôle d’authentifiant, il est facile pour un pirate de voler ou manipuler les données de l’entreprise puisqu’il n’a besoin que d’un seul ensemble compromis. Cela est particulièrement vrai si le compte en question est un compte clé tel que votre compte de messagerie qui sous-tend plusieurs autres comptes.
Faiblesses inhérentes à l’utilisation des mots de passe
Les mots de passe individuels ne sont tout simplement pas assez forts à eux seuls pour protéger les données de votre entreprise et ne devraient jamais être employés seuls pour vos comptes les plus critiques tels que la messagerie, les services bancaires, etc. Voici quelques statistiques expliquant pourquoi l’authentification multifactorielle est si vitale pour protéger les ressources de l’entreprise :
- 92 % des organisations ont des informations d’identification à vendre sur le Dark Web.
- 61 % des gens réutilisent le même mot de passe ou un mot de passe similaire partout.
- “123456” et “password” étaient les deux principaux choix de mots de passe en 2018.
- 81 % des violations de données était le résultat de mots de passe faibles ou volés.
Ultimement, les services informatiques disposent de deux options pouvant résoudre ce problème. Premièrement, vous pouvez former vos utilisateurs afin qu’ils utilisent des mots de passe uniques sur chaque site et que ces mots de passe soient relativement longs (et éventuellement complexes). Cependant, la mise en œuvre de cette stratégie est difficile et implique l’octroi d’une grande confiance à vos utilisateurs.
De nombreux utilisateurs s’y conformeront, mais certains ne le feront pas, et ceux qui ne le feront pas deviendront le maillon faible du réseau informatique de votre organisation.
Une bonne hygiène des mots de passe est un élément essentiel de la formation à la sécurité, mais de nombreux administrateurs informatiques ne peuvent pas se fier uniquement à leurs utilisateurs.
Et, pour être honnête, même si vos utilisateurs finaux font tout ce qu’il faut, une faille sur un site tiers clé peut encore compromettre vos mots de passe – sans que vos utilisateurs finaux en soient responsables.
Comment l’MFA renforce la sécurité des mots de passe
L’ajout d’un second facteur limitent largement les dégâts causés par les pirates, puisque ceux-ci doivent désormais obtenir deux objets afin de passer à l’action.
En outre, l’authentification multifactorielle est de plus en plus omniprésente et facile à utiliser, ce qui réduit les problèmes avec les utilisateurs finaux. Cela rend l’authentification multifactorielle attrayante pour les organisations qui cherchent à renforcer leurs politiques de sécurité sans créer beaucoup de frais généraux supplémentaires.
Un autre point essentiel à ajouter : de nombreux utilisateurs finaux sont désormais préoccupés par leur sécurité en ligne et par ce qu’elle peut signifier pour eux, ce qui signifie qu’ils sont motivés à se protéger et protéger leurs comptes.
Quels sont les avantages et les inconvénients de l’authentification multifactorielle ?
L’authentification multifactorielle n’est pas parfaite puisqu’elle entraîne des frais supplémentaires liés à l’accueil des utilisateurs et l’administration du système. Examinons les avantages et les inconvénients de l’authentification multifactorielle.
Les avantages de l’authentification multifactorielle
- Protège les informations sensibles : Les utilisateurs constituent le point de risque numéro un d’un réseau, aussi l’authentification multifactorielle soulage-t-elle l’anxiété des utilisateurs et des administrateurs informatiques en protégeant les données contre le risque de tomber entre les mains de pirates implacables.
- Presque toujours sécurisée : Si un pirate a acquis d’une manière ou d’une autre le mot de passe d’un utilisateur pour un système, il ne peut pas y accéder, car il ne dispose pas du deuxième facteur (qui est généralement en possession de l’utilisateur ou quelque chose qu’il est).
- Ne vous empêchez pas de dormir en raison des appareils perdus : L’authentification multifactorielle basée sur les appareils (et couplée au chiffrement intégral du disque) garantit que les appareils perdus n’entraînent pas de compromission des accès ou des données.
Inconvénients de l’utilisation de l’authentification multifactorielle
- Des frictions supplémentaires : Si vous n’avez pas accès à l’appareil ou au système devant recevoir votre second facteur, et que vous n’avez pas mis en place de ressources de secours pour authentifier l’accès des utilisateurs, vous ne pouvez pas vous voir accorder l’accès à une application ou à un système particulier.
- Peut être coûteux : Traditionnellement, l’authentification multifactorielle peut être assez coûteuse si une organisation utilise une solution qui nécessite du matériel sur site et doit s’intégrer aux solutions d’identité existantes.
- Perte de temps : Le temps nécessaire pour se connecter à votre système et vérifier à l’aide d’un appareil mobile ou d’un code peut s’avérer peu pratique.
- Des incohérences : Il est difficile de mettre en œuvre l’authentification multifactorielle dans l’ensemble d’une organisation, car c’est souvent aux utilisateurs qu’il incombe de l’appliquer pleinement. Les administrateurs informatiques n’ont pas toujours un aperçu de l’utilisation de l’authentification multifactorielle par une organisation.
Lorsqu’elle est mise en œuvre correctement, l’authentification multifactorielle peut améliorer considérablement la sécurité informatique sans imposer de charge supplémentaire à l’utilisateur final.