• L'authentification multifacteur (MFA) est une mesure de sécurité qui exige des utilisateurs qu'ils fournissent au moins deux facteurs de vérification pour prouver leur identité lors de l'accès à une application ou un système.
  • Les trois facteurs de l'authentification multifacteur (MFA) sont les facteurs de connaissance, les facteurs de possession et les facteurs d'inhérence.
  • Ces facteurs sont indépendants les uns des autres, ce qui signifie que si une méthode est compromise, les autres restent sécurisées. La MFA est un élément essentiel d'une stratégie de sécurité robuste car elle offre plusieurs couches de protection.

L'authentification multifacteur, ou MFA, est un type de sécurité d'accès aux comptes qui exige des utilisateurs qu'ils vérifient leur identité de deux manières ou plus pour se connecter. Cette méthode est bien plus sécurisée que l'approche traditionnelle qui ne nécessite qu'une seule méthode d'authentification, généralement un mot de passe.

La MFA élimine ce risque en demandant à l'utilisateur une preuve d'identité supplémentaire. Cela signifie que, même si un pirate découvre le mot de passe d'un utilisateur, il ne pourra pas accéder au compte car celui-ci est protégé par une deuxième couche de sécurité. Il existe trois principales méthodes de vérification utilisées dans la MFA après que l'utilisateur a saisi ses identifiants de connexion. Elles impliquent quelque chose que l'utilisateur sait (connaissance), quelque chose qu'il possède (possession) ou quelque chose qu'il est (inhérence).

Facteurs de connaissance

L'authentification basée sur la connaissance (KBA) est le premier type d'authentification où les connaissances de l'utilisateur sont utilisées. Il peut s'agir d'un code PIN, d'un mot de passe de secours ou d'une réponse à une question de sécurité. Généralement, lors de la création d'un compte, des questions de sécurité sont configurées avec leurs réponses prédéfinies. Elles sont également fréquemment utilisées pour confirmer l'identité d'un utilisateur en cas d'oubli de son mot de passe et pour l'aider à récupérer son compte.

La KBA statique est moins sûre que la KBA dynamique. Les questions de sécurité pour cette méthode d'authentification sont générées en temps réel à partir de données fréquemment mises à jour, comme les transactions de crédit. Comme un pirate aura besoin d'accéder à la base de données où les questions sont générées, il lui sera plus difficile de déterminer les réponses. Avec la KBA statique, le pirate n'aurait peut-être besoin que de connaître le nom de l'animal de compagnie de l'utilisateur.

À lire aussi: Qui est Jeff Weiner ? L'ancien PDG de LinkedIn incarne le « management compatissant »

Facteurs de possession

L'utilisation de la possession de l'utilisateur est la deuxième méthode d'authentification. Il peut s'agir d'un objet physique permettant à l'utilisateur d'entrer dans un lieu, comme une clé ou une carte à puce. Dans le domaine numérique, il s'agit généralement d'un jeton générant un mot de passe à usage unique (OTP). Voici trois exemples de facteurs de possession.

1. Codes de vérification par e-mail et SMS

Les codes de vérification envoyés par SMS ou e-mail sont sans doute la forme d'authentification la plus répandue. Malheureusement, ils sont aussi les moins sécurisés des facteurs de possession, car ils peuvent être interceptés par des acteurs malveillants. Les attaques ciblées sur les réseaux mobiles ou les boîtes e-mail sont plus faciles à exécuter qu'on ne le pense.

2. Mots de passe à usage unique basés sur le temps (TOTP)

Les TOTP sont conceptuellement similaires aux codes de vérification par e-mail et SMS, mais ils sont plus sécurisés en pratique. Cela pour deux raisons: le code est généré directement sur un appareil en possession de l'utilisateur, et le code est soumis à une limite de temps stricte avant expiration.

Sans réseau tiers impliqué et avec une fenêtre temporelle très étroite, les possibilités de violation sont bien moindres.

3. Notifications push

Les notifications push sont une version plus sophistiquée des TOTP et peuvent être facilement mises en œuvre avec des applications mobiles comme JumpCloud Protect. Au lieu de saisir un code temporaire, l'utilisateur doit simplement accepter la demande d'authentification générée directement sur son smartphone.

Ce facteur est aussi simple que d'appuyer sur un bouton et offre une meilleure expérience utilisateur que les TOTP. De plus, la MFA par notification push intègre de manière transparente un autre facteur de sécurité en exigeant que l'utilisateur s'authentifie sur son téléphone avec un code PIN, une empreinte digitale ou la reconnaissance faciale.

À lire aussi: Qui est Julia Hartz ? La PDG d'Eventbrite a créé une entreprise valant un milliard de dollars en 4 ans

Facteurs d'inhérence

Nous avons l'authentification biométrique, qui est basée sur ce que l'utilisateur est. C'est la méthode d'authentification la plus sécurisée car c'est le type de données le plus difficile à voler pour un pirate.

Contrairement à la biométrie comportementale, la biométrie physique ne peut pas être modifiée par l'utilisateur et est indépendante de tout appareil. Les facteurs biométriques physiques comprennent les empreintes digitales, la reconnaissance faciale, la reconnaissance vocale et les scans de l'iris ou de la rétine.

Dans le contexte de l'authentification, le facteur biométrique le plus courant est bien sûr l'empreinte digitale. Bien qu'il soit techniquement possible de falsifier ce facteur, cela nécessite des efforts considérables et la technologie des scanners d'empreintes digitales s'améliore continuellement. Les empreintes digitales sont généralement considérées comme une forme d'authentification très sécurisée, surtout lorsqu'elles sont combinées à d'autres facteurs.

Chacune de ces méthodes d'authentification présente des avantages et des inconvénients, et certaines sont plus adaptées à certains secteurs que d'autres. Par exemple, l'authentification par jeton SMS est simple à mettre en œuvre pour un grand nombre d'utilisateurs et convient à presque tout le monde, mais elle n'offre pas la sécurité de l'authentification biométrique. La forme d'authentification la plus sécurisée est la biométrie, mais cela signifie aussi que l'entreprise doit mettre en place des protocoles de sécurité plus stricts pour protéger les données privées de ses employés.

Vous devez prendre en compte les menaces de sécurité auxquelles votre entreprise est confrontée et utiliser ces connaissances pour déterminer le niveau de MFA requis pour sécuriser votre réseau.