Qu’est-ce que l’authentification multifacteur (MFA) ?

L'authentification multifacteur (MFA) est utilisée afin de garantir que les utilisateurs dans le monde digital sont bien ceux qu’ils prétendent être en leur demandant de fournir au moins deux preuves de leur identité. Chaque preuve doit provenir d’une catégorie différente : Quelque une chose qu’ils connaissent, quelque chose qu’ils possèdent ou quelque chose qui définit leur individu.

Si l’un de ces facteurs a été compromis par un pirate informatique ou par un utilisateur non autorisé, les chances qu’un autre facteur ait également été compromis sont faibles. Ainsi, le fait de demander plusieurs facteurs d’authentification fournit un niveau supérieur d’assurance quant à l’identité de l’utilisateur.

Les mots de passe peuvent toujours régner en maître lorsqu’il s’agit de s’authentifier en ligne, mais avec le temps ils procurent de moins en moins de protection. Dès qu’un mot de passe a été volé, les pirates informatiques peuvent utiliser ces identifiants pour se connecter à des applications et à des systèmes, en contournant d’autres contrôles d’accès et en faisant énormément de dégâts. En effet, d’après le rapport d’enquête « Verizon Data Breach Investigations Report » de 2020, les identifiants de connexion volés constituent la principale tactique utilisée par les pirates informatiques pour mener leurs intrusions.

Et il existe une variété alarmante de vecteurs d’attaques dont les pirates informatiques peuvent profiter pour voler des mots de passe ou obtenir un accès, comme les attaques de phishing, les attaques par force brute, les attaques ciblant les applications web, les intrusions dans les points de vente ou encore le vol de matériel.

Malheureusement, les utilisateurs facilitent souvent la tâche aux hackers en choisissant des mots de passe faibles, en utilisant le même mot de passe pour plusieurs applications, en stockant des mots de passe dans des endroits non sécurisés et en conservant le même mot de passe pendant de longs mois. Ces pratiques permettent certes aux utilisateurs de se rappeler plus facilement leurs identifiants, mais elles invitent aussi les hackers à entrer par la grande porte.
 
L’authentification multifacteur procure une couche de protection supplémentaire à la fois pour les employés et pour les clients tout en combattant toutes ces faiblesses. Elle atténue l’effet d’entrainement des identifiants corrompus : un acteur malveillant peut voler un nom d’utilisateur et un mot de passe, mais si un autre facteur lui est demandé pour pouvoir accéder à des données critiques, pour faire une transaction ou pour se connecter à un ordinateur portable, il ne peut poursuivre son attaque.

Une récente étude réalisée par Ping Identity a révélé que les professionnels de l’informatique et de la sécurité considèrent que l’ authentification multifacteur est le contrôle de sécurité le plus efficace dont ils disposent pour protéger les données sur site et dans le cloud public. En plus de cela, plusieurs solutions de MFA disponibles sur le marché sont rapides et faciles à installer, ce qui signifie qu’une organisation peut mettre en place cette mesure de sécurité hautement efficace sans y consacrer beaucoup de temps ou d’efforts.

L’authentification multifacteur est également un excellent moyen pour permettre la mobilité dans l’entreprise, une initiative qui figure toujours parmi les priorités des entreprises qui traversent une transformation numérique. La productivité augmente lorsque les employés peuvent utiliser les appareils de leur choix pour accéder facilement et en toute sécurité à toutes les ressources dont ils ont besoin sans être bloqués au bureau. En utilisant la MFA pour se connecter aux applications de l’entreprise ou au réseau à distance avec un VPN, ils disposent d’un accès flexible et sur demande qu’ils apprécient, et les organisations peuvent s’assurer que leur réseau et leurs données sont protégés.

La MFA peut également être une exigence clé lorsqu’il est question de se conformer à certaines réglementations industrielles ou géographiques. Par exemple, la norme PCI-DSS exige que le MFA soit installé dans certaines situations pour empêcher les utilisateurs non autorisés d’accéder aux systèmes qui traitent les transactions de paiement, et le MFA peut aider les prestataires de santé à respecter le HIPAA. Il s’agit également d’un élément clé pour répondre aux exigences de renforcement de l’authentification des clients dictées par la directive PSD2 relative aux instituions financières dans l’UE.

Les identifiants d’un utilisateur doivent provenir d’au moins deux catégories ou facteurs différents sur trois. L’authentification à double facteur, ou 2FA, est une sous-catégorie de MFA où seulement deux identifiants sont demandés, le MFA peut cependant utiliser n’importe quel nombre de facteurs.

L’exemple le plus courant de ce facteur est, évidemment, le mot de passe, mais il peut prendre la forme d’un code PIN, ou même d’une phrase, que vous seul connaissez.

Certaines organisations peuvent également mettre en place une authentification basée sur les connaissances comme des questions de sécurité (par exemple : « Quel est le nom de jeune fille de votre mère ? »). Cependant, les informations personnelles de base peuvent souvent être découvertes ou volées au moyen de quelques recherches sur Internet, du hameçonnage et de l’ingénierie sociale, ce qui en fait une méthode d’authentification qui est, à elle seule, tout sauf idéale.

Il est moins probable qu’un hacker vous ait volé votre mot de passe et quelque chose de physique, aussi ce facteur permet de confirmer que vous êtes en possession d’un objet en particulier. Cette catégorie inclut les téléphones portables, les jetons physiques, les télécommandes keyfob et les cartes à puces.

Cette authentification fonctionne de plusieurs manières en fonction de l’objet, mais certaines méthodes courantes incluent de confirmer par le biais d’une appli mobile ou par des notifications pop-up sur votre téléphone portable, en tapant un code unique généré par un jeton physique, ou en insérant une carte (par exemple dans un distributeur).

Ce facteur est généralement vérifié par une empreinte digitale sur un téléphone portable, mais inclut également tout ce qui constituerait un identifiant unique de votre personne physique : un scan de la rétine, la reconnaissance vocale ou faciale, et tout autre moyen biométrique.

Les possibilités qu’offrent ces trois catégories sont nombreuses et des mécanismes d’authentification différents peuvent être plus adaptés d’une entreprise à l’autre selon leurs besoins et leurs configurations uniques. En évaluant la force relative, le coût et les avantages informatiques et pour les utilisateurs, une organisation peut trouver la combinaison qui fonctionne le mieux pour elle et pour ses utilisateurs.

Certaines organisations peuvent vouloir mettre en place une authentification multifacteur pour tous les utilisateurs, qu’ils soient employés ou clients. Cette méthode est particulièrement efficace lorsqu’elle est associée à une solution d’authentification unique appelée single sign-on (SSO) qui supprime de nombreux mots de passe de l’équation, tout en renforçant davantage la sécurité et en améliorant l’expérience utilisateur.

Cela étant dit, certaines organisations pourraient ne pas ressentir le besoin de demander le MFA dans tous les cas. Pour optimiser le confort des employés et des clients, elles pourraient choisir de contourner le MFA dans des scénarios à bas risque, tout en exigeant une plus grande sécurité dans les situations à haut risque, pour les données particulièrement sensibles ou pour les transactions à haute valeur. Par exemple :

• Une banque pourrait autoriser un client à se connecter à son compte en ligne seulement avec un nom d’identifiant et un mot de passe, mais exiger un second facteur d’authentification avant que les transactions puissent être approuvées.

• Une organisation pourrait vouloir un niveau plus élevé d’assurance du fait qu’un employé est bien celui qu’il prétend être lorsqu’il accède à une application de RH depuis un café ou un autre emplacement hors-domaine.

• Un détaillant pourrait configurer le MFA de manière à ce qu’il s’active automatiquement lorsqu’un fournisseur se connecte à son portail depuis un nouveau terminal, pour s’assurer que ce n’est pas un hacker qui essaye de se connecter avec un mot de passe volé.

Ce type d’authentification multifacteur est dit contextuelle, adaptative, ou MFA basée sur les risques. L’intérêt d’utiliser la MFA contextuelle est qu’elle peut renforcer la sécurité uniquement lorsque celle-ci est garantie, et ces exigences ou configurations peuvent facilement changer et évoluer dans le temps.
 

Regardez la vidéo pour découvrir comment une solution MFA moderne combinée à plusieurs méthodes d’authentification et de stratégies contextuelles peut apporter une plus grande protection à votre entreprise, mais également offrir une meilleure expérience à vos employés, vos clients et vos partenaires.

L’authentification multifacteur dans le cloud (cloud MFA) fournit aux entreprises une expérience sécurisée et simplifiée pour les clients et les utilisateurs. Le cloud MFA protège les applications et les données sans les coûts administratifs et matériels associés à une MFA sur site. Cette solution améliore également la productivité et la commodité tout en réduisant les risques.

Comme pour la MFA sur site, la MFA dans le cloud utilise au moins deux facteurs pour authentifier un client ou un utilisateur. Prenons l’exemple de la MFA de PingOne. Les utilisateurs peuvent choisir de s’authentifier en balayant l’écran, en tapant ou au moyen de la reconnaissance digitale ou faciale via une notification push sécurisée depuis leur appareil mobile ou à l’aide de la biométrie conforme à la norme FIDO2 sur leur ordinateur portable ou leurs clés de sécurité. Autrement, ils peuvent utiliser un code secret à usage unique qui leur est envoyé par e-mail ou par SMS pour vérifier leur identité, ou utiliser une application d’authentification TOTP tiers (comme Google Authenticator).

• Facilité d’utilisation : la MFA dans le cloud s’intègre facilement aux ressources de l’entreprise.  

• Rentabilité : contrairement à la MFA sur site, aucun achat de matériel n’est requis, ni aucun personnel pour la surveillance et l’entretien. 

• Évolutivité : la MFA dans le cloud s’adapte facilement aux besoins d’une organisation.

L’authentification multifacteur dans le cloud élimine les limites d’une MFA sur site. Avec des cybermenaces en constante évolution, le maintien d’employés informés des risques et l’investissement dans des logiciels et des matériels de pointe peut être une lourde tâche. Grâce à la MFA dans le cloud, les organisations peuvent confier ces défis à des experts afin de leur permettre de rester centrées sur leur activité principale.

Il est généralement simple pour les employés de télécharger une application ou de transporter un jeton qui peut être utilisé régulièrement pour l’authentification multifacteur au travail. Lorsqu’il s’agit de la MFA pour les clients, les choses se compliquent un peu, car ils s’attendent à des expériences rationnelles, et abandonnent rapidement les processus de connexion peu pratiques. Face à ce choix, les clients n’ont pas envie d’activer la MFA pour protéger leurs compte, même lorsque le prestataire de service le propose gratuitement.

Les organisations encouragent les clients à utiliser la MFA en expliquant comment cette solution peut non seulement améliorer la sécurité du compte sans affecter de manière significative leur expérience de connexion, mais également rationaliser leurs autres interactions (par exemple, vérifier leur identité pendant un appel au service client). Et certaines organisations rendent même la MFA disponible par le biais de leurs propres applications mobiles pour les clients, au lieu d’obliger les clients à télécharger une autre application ou à utiliser des facteurs moins sécurisés.

Une bonne stratégie de MFA permet, au moment de définir les exigences de MFA et les règles basées sur le risque, de trouver un juste milieu entre les risques encourus par des identifiants compromis et l’impact sur la productivité des employés et l’expérience client.

Les meilleures solutions de MFA modernes peuvent trouver un équilibre entre sécurité et commodité en prenant en charge plusieurs options d’authentification, en mettant en place des règles adaptatives et en les intégrant avec fluidité dans les applications existantes.

FIDO Alliance est un consortium industriel conçu pour mettre la MFA sans mot de passe à la disposition de tous les utilisateurs et des services en ligne avec lesquels ils interagissent. Compte tenu de l’ampleur des coûts associés à une faille typique, sans parler de la perte de chiffre d’affaire et des dommages résiduels à l’égard de la réputation de votre entreprise, il est risqué de compter sur des mots de passe et d’autres facteurs de connaissance tels que le KBA et les codes d’accès uniques, qui sont vulnérables aux attaques. Le standard FIDO2 constitue une manière courante pour les navigateurs et les services en ligne d’installer le MFA. Il fournit aux utilisateurs des options sans mot de passe comme des clés de sécurité, des outils biométriques et d’autres solutions basées sur les terminaux mobiles, en retirant les facteurs de connaissance (ce que vous savez) pour renforcer la sécurité pour les utilisateurs finaux et les services en ligne.
 

Regardez cette vidéo pour voir comment le standard FIDO et la MFA peuvent déjouer des attaques de hameçonnage.