Accueil Cybersécurité Comprendre l’authentification à deux facteurs

Comprendre l’authentification à deux facteurs

Laurent Szpirglas, Regional Sales Manager France de Ping Identity, propose cet article que nous avons trouvé utile et didactique, pour comprendre et distinguer les différents types d’authentification.

Avis d’expert

La cybersécurité ressemble parfois à un jeu sans fin du chat et de la souris, avec des pirates et des entreprises se battant pour accéder à vos systèmes d’entreprise et aux données sensibles que vous stockez, y compris les informations d’identité et les mots de passe de vos utilisateurs. Des applications bancaires en ligne aux dossiers scolaires numérisés, de plus en plus d’entreprises sécurisent les accès en mettant en œuvre une authentification à deux facteurs des utilisateurs au lieu de s’appuyer sur un simple mot de passe.

Qu’est-ce que l’authentification à deux facteurs ?

L’authentification à deux facteurs (2FA) fait référence à la double vérification de l’identité d’un utilisateur au moment de sa connexion, qui implique deux étapes uniques au cours desquelles un utilisateur saisit ses identifiants. Elle peut être mentionnée sous le nom d’authentification à deux facteurs ou d’ajout d’un code de vérification. Elle ajoute une couche de sécurité supplémentaire pour protéger le compte d’un utilisateur contre les pirates qui peuvent avoir deviné son mot de passe ou avoir volé ses identifiants initiaux.

En règle générale, l’authentification à deux facteurs implique que l’utilisateur fournisse un mot de passe, puis un second facteur d’authentification, tel qu’une empreinte digitale, un jeton ou une carte physique, ou encore un code à usage unique (OTP) envoyé à son téléphone. Ce processus est mis en place pour protéger les données sensibles et garantit que le simple fait de posséder un mot de passe ne suffit pas pour avoir accès.

Quels sont les facteurs d’authentification ?

 Il existe plusieurs facteurs d’authentification et ils se répartissent en trois catégories principales :

  • Connaissance : il s’agit de quelque chose que l’utilisateur connaît, y compris un code PIN (numéro d’identification personnel), un mot de passe ou des réponses aux questions de sécurité.
  • Possession : il s’agit de quelque chose qui appartient à l’utilisateur, y compris des jetons de sécurité, une carte d’identité ou son téléphone portable, qui peut approuver les demandes d’authentification envoyées par une application.
  • Biométrie : il s’agit de quelque chose d’inhérent à l’utilisateur même, généralement un facteur biométrique comme une empreinte digitale, une reconnaissance faciale ou une authentification vocale.

Il est important de se rappeler que l’authentification à deux facteurs repose sur deux facteurs d’authentification de catégories différentes, comme un facteur de connaissance et un facteur de possession. L’utilisation de facteurs distincts de la même catégorie (c’est-à-dire deux mots de passe ou un mot de passe et une réponse à une question secrète) ne répond pas à la définition de l’authentification à deux facteurs, car les deux appartiennent à la même famille de types d’authentification. De nombreux processus d’authentification dépendent d’un facteur de connaissance, tel qu’un mot de passe. Dans ce cas, l’authentification à deux facteurs ajoute alors un facteur de possession ou un facteur biométrique.

Une entreprise peut choisir de combiner des facteurs d’authentification d’une manière qui correspond à ses besoins. Par exemple, un développeur d’applications mobiles peut exiger un mot de passe et une empreinte digitale, car les utilisateurs accéderont à l’application sur leurs téléphones personnels. Un développeur créant des applications de main-d’œuvre accessibles via un ordinateur, en revanche, peut choisir différents facteurs.

Les entreprises peuvent également ajouter des « facteurs » de risque ou contextuels à leurs flux d’authentification, pour mieux comprendre les risques associés à chaque authentification et renforcer la sécurité ou réduire l’accès lorsque le risque est élevé. Il ne s’agit pas des informations d’identification que l’utilisateur présente pour vérifier son identité, mais plutôt des informations contextuelles telles que l’emplacement, l’heure de la journée ou même des modèles de comportement typiques qui indiquent au système d’authentification que l’accès doit être autorisé, bloqué ou examiné de plus près.

Par exemple, si un utilisateur s’est déjà authentifié récemment au même endroit, cela pourrait indiquer que sa demande d’accès actuelle est à faible risque. Si l’appareil d’un utilisateur se trouve dans un pays étranger et qu’il se connecte à une heure inhabituelle, cela peut indiquer qu’il se passe quelque chose de louche. Le système peut alors bloquer l’accès, même si le mot de passe fourni est correct.

Il convient de noter que la 2FA est un sous-ensemble de l’authentification multifacteur (MFA) qui implique deux facteurs ou plus. Si plus de deux facteurs sont nécessaires pour une sécurité accrue, la MFA offre la possibilité d’une autre étape d’authentification.

Comment l’authentification à deux facteurs fonctionne-t-elle ?

 L’authentification à deux facteurs est assez simple, bien que les facteurs mêmes varient en fonction de l’application. Voici un exemple typique de son fonctionnement :

  1. L’utilisateur se connecte au logiciel ou au site Internet, souvent en entrant un nom d’utilisateur et un mot de passe.
  2. Le service d’identité vérifie les informations d’identification de l’utilisateur sur la base d’une entrée dans l’annuaire d’identité de l’entreprise, créé lorsque l’utilisateur s’est inscrit pour un compte ou qu’un employé a intégré l’entreprise.
  3. Si nécessaire, le service d’identité propose ensuite la deuxième étape de connexion, en demandant un jeton de sécurité ou une empreinte digitale.
  4. L’utilisateur fournira alors le deuxième facteur requis.
  5. Une fois les deux facteurs saisis, l’utilisateur est vérifié et a accès à l’application.

Comment configurer l’authentification à deux facteurs ?

 Les entreprises peuvent configurer l’authentification à deux facteurs de différentes manières pour les clients, les employés ou les deux. Une configuration 2FA populaire est l’authentification à deux facteurs basée sur les capacités des appareils mobiles, telles que le lecteur d’empreintes digitales d’un smartphone, l’appareil photo pour la reconnaissance faciale ou le scan, ou encore le microphone pour la reconnaissance vocale. De plus, le GPS des smartphones peut également être utilisé pour la vérification de l’emplacement.

Les téléphones mobiles peuvent héberger des applications d’authentification tierces comme Google Authenticator. Android, iOS et Windows 10 ont tous une bibliothèque d’applications prenant en charge la 2FA. Lorsque l’utilisateur se connecte, l’application génère un code unique, valable pour une période définie, que l’utilisateur entre ensuite dans l’écran de connexion de l’application pour terminer le processus de vérification.

Certaines entreprises rendent l’authentification à la fois plus simple et plus sécurisée pour les clients, elles activent pour cela la 2FA à partir de leur propre application mobile personnalisée que le client est susceptible d’utiliser déjà. Cela leur permet d’envoyer des notifications push sur le téléphone de l’utilisateur sans lui faire télécharger une application distincte. L’ajout d’un appareil de confiance peut se faire en quelques étapes simples afin que les clients puissent rapidement commencer à utiliser cette fonctionnalité. Ou encore, les utilisateurs peuvent recevoir des codes d’authentification via des SMS ou des appels téléphoniques, bien que les SMS soient notoirement peu sûrs car ils sont susceptibles d’être interceptés par des tiers malveillants.

Pour la 2FA des employés, une entreprise utilisera généralement un service basé sur le cloud ou installera un logiciel qui active la 2FA dans toutes ses applications commerciales, ou parallèlement à sa single sign-on pour protéger davantage le point d’accès unique. Ce logiciel utilise souvent les appareils mobiles des employés pour l’authentification via des notifications push mobiles ou des codes d’accès SMS à usage unique, mais peut également activer d’autres types de facteurs d’authentification.

L’un de ces facteurs, plus courant pour les cas d’utilisation pour les employés que pour les cas d’utilisation des clients, est le jeton. Les jetons d’authentification sont généralement remis à un employé lorsqu’il rejoint une entreprise et celui-ci utilise le jeton pour vérifier son identité chaque fois qu’il doit se connecter. Ces jetons peuvent consister en des dispositifs physiques, comme une carte d’identité à puce, un porte-clés ou un autre petit élément programmable, ou il peut s’agir de jetons virtuels générés par le logiciel même. Ceux-ci prennent la forme de codes d’accès à usage unique ou de codes PIN qui agissent comme l’un des facteurs d’authentification. Ils sont généralement générés une fois par session de connexion et, comme il s’agit de jetons à usage unique, il est beaucoup plus difficile pour les pirates d’y accéder ou de les dupliquer.

Un exemple d’authentification à deux facteurs

 Il existe de nombreux exemples d’authentification à deux facteurs en action, mais gardez à l’esprit que l’authentification à deux facteurs implique l’utilisation de deux facteurs, et non de deux informations d’identification de la même catégorie de facteurs. Par exemple :

  • Lors des retraits au guichet automatique, l’utilisateur utilise sa carte bancaire (facteur de possession ou de propriété) puis saisit son code PIN (facteur de connaissance).
  • Un mot de passe (connaissance) défini par l’utilisateur combiné à un authentifiant (un jeton ou un smartphone) que l’utilisateur possède, qui reçoit un code à usage unique.
  • Connexion par empreinte digitale pour les applications pour smartphone. L’utilisateur saisit son nom d’utilisateur et son mot de passe (connaissance) puis son empreinte digitale (facteur biométrique).

Quelle est la différence entre l’authentification 2FA et l’authentification multifacteur (MFA) ?

 Essentiellement, l’authentification à deux facteurs utilise exclusivement deux facteurs pour authentifier un utilisateur, tandis que l’authentification à plusieurs facteurs en implique deux ou plus. MFA est donc un terme plus large qui englobe également la 2FA, bien que les termes soient parfois utilisés de manière interchangeable.

La MFA est-elle plus sûre que la 2FA ?

 La 2FA n’est pas nécessairement moins sécurisée que la MFA, mais les entreprises qui exigent des niveaux de sécurité les plus élevés peuvent chercher à aller au-delà des deux facteurs, comme en exigeant la possession de jetons, des facteurs de connaissance et biométriques peu susceptibles d’être dupliqués. Elles peuvent également augmenter la sécurité en collectant des données contextuelles telles que l’emplacement. Si un utilisateur tente de se connecter à partir d’un emplacement non autorisé, l’accès est bloqué. Le système de sécurité peut également désactiver l’ID de connexion de l’utilisateur, le jeton ou les deux jusqu’à ce que le problème des tentatives d’accès non autorisé à l’emplacement soit résolu.

Les facteurs biométriques sont considérés comme les plus sûrs car il est peu probable que les empreintes digitales de l’utilisateur puissent être obtenues, ou que son visage ou sa voix puisse être imité pour obtenir l’accès. Cependant, si le processus est trop laborieux, les utilisateurs peuvent devenir frustrés et essayer une solution de contournement ou, dans le cas de l’authentification du client, basculer vers l’application d’un concurrent.

Quelle est la différence entre l’authentification à deux facteurs et l’authentification en deux étapes ?

 L’authentification à deux facteurs utilise une combinaison de facteurs de deux catégories différentes dans le but de réduire les risques que les deux types de facteurs soient compromis. En revanche, les processus d’authentification en deux étapes peuvent impliquer deux étapes du même type de facteur, telles que la saisie d’un mot de passe puis la réponse à une série de questions de sécurité, qui appartiennent toutes deux à la catégorie des connaissances.

Pourquoi les activités et les entreprises ont-elles besoin de la 2FA ?

 Les mots de passe trop faibles, par défaut ou volés via des attaques de phishing et autres sont toujours utilisés pour mener à bien avec succès des fraudes et des violations de données. Même les mots de passe longs et virtuellement forts peuvent finir par être compromis par l’utilisateur qui écrit ou partage le mot de passe, ou par des pirates informatiques exécutant des générateurs aléatoires, utilisant la force brute ou utilisant des attaques avec la table arc-en-ciel pour accéder aux identifiants et aux mots de passe des utilisateurs. La 2FA nécessite un autre facteur d’authentification d’une catégorie différente, de sorte que même si un mot de passe est violé, la probabilité qu’un imposteur obtienne l’accès est beaucoup plus faible.

 

Laurent Szpirglas, Regional Sales Manager France, Ping Identity