L’authentification multifacteur, vraie alternative aux jetons de sécurité physiques ?
Longtemps, les responsables de la sécurité des données en entreprise ont considéré les systèmes basés sur des jetons de sécurité physiques (hardware tokens) comme la solution d’authentification offrant le meilleur niveau de sécurité. Basés sur deux facteurs d’authentification et sur le principe du mot de passe à usage unique (OTP) changeant toutes les minutes, ils étaient réputés très difficiles voire impossibles à prendre en défaut.
Toutefois, la lourdeur de leur administration (gestion de la livraison des jetons, gestion du cycle de vie), jointe à leur coût total d’acquisition, ont limité leur déploiement à grande échelle, les réservant souvent à des usages et des utilisateurs à facteur de risque élevé (top management, transactions bancaires, etc.).
En outre, leur adoption a été freinée par une relative complexité d’utilisation (très courte validité des codes), s’ajoutant à quelques alertes de sécurité. Malgré ces imperfections, les jetons de sécurité physiques sont encore largement utilisés en tant que solution d’authentification forte dans de nombreuses grandes entreprises. Mais plusieurs facteurs peuvent aujourd’hui inciter ces organisations à remettre ce choix en cause.
Les jetons physiques sont bien adaptés lorsque tous les utilisateurs travaillent dans les locaux de l’entreprise, mais beaucoup moins lorsqu’ils sont souvent en mobilité, et ont besoin d’accéder à leurs données à distance. La distribution et la gestion des jetons physiques devient alors plus complexe et ouvre la voie à des risques de sécurité. La croissance accélérée du télétravail provoquée par la pandémie actuelle a bien sûr accentuée ce phénomène.
En effet, l’usage quotidien des smartphones par la grande majorité de la population dans les pays développés permet le déploiement de solutions MFA sur une très grande échelle, à la fois par les employés et les clients des entreprises. Ce qui supprime le besoin de fournir un équipement supplémentaire et élimine les coûts liés au déploiement et à la maintenance des jetons physiques. D’autre part, l’intégration dans les smartphones de fonctions de lecture biométrique permet de les utiliser comme des terminaux de confiance avec un haut niveau de sécurité.
A noter que d’autres équipements – ordinateurs par exemple respectant la nouvelle norme FIDO et intégrant des fonctions biométriques telles que Windows Hello ou Apple TouchID, de plus en plus présents sur le marché, peuvent également servir de terminaux de confiance dans une solution d’authentification forte, en complément des smartphones.
Enfin, en associant sur un smartphone l’envoi d’une notification en push et une lecture biométrique au sein d’un processus d’authentification multifacteur, l’utilisateur bénéficie d’une expérience à la fois plus simple et plus pratique que lors de l’emploi de jetons physiques.
Soit faire coexister deux solutions d’authentification multifacteur, l’existante basée sur des jetons physiques, et une nouvelle basée sur l’utilisation des smartphones ou d’autres ordinateurs à la norme FIDO, ce qui leur permettra une migration progressive.
Soit, si une authentification multifacteur est devenue nécessaire et obligatoire pour tous les accès de leurs utilisateurs, de standardiser d’emblée l’usage des smartphones et équipement à lecture biométrique, en abandonnant l’usage des systèmes basés sur des jetons physiques.