Cybersécurité – L’authentification multifacteur
03 avril 2023Avec l’objectif de renforcer les mécanismes d’authentification et de prévenir les connexions frauduleuses, l’authentification multifacteur (MFA) est un mécanisme incontournable. Le principe est d’utiliser ce que l’on sait, ce que l’on est et ce que l’on possède en combinaison pour s’authentifier à un système. Par exemple, une authentification qui nécessite la connaissance d’un mot de passe, de l’empreinte digitale d’un doigt ainsi que d’une carte magnétique est une authentification multifactorielle.
Le but est de combiner différents éléments pour augmenter la difficulté à s’authentifier ce qui par le fait même augmente la difficulté à un acteur malicieux de s’authentifier frauduleusement. Donc, même si une personne mal intentionnée parvient à découvrir le mot de passe, il manque deux éléments pour accéder à la ressource convoitée.
Un nombre grandissant de sites Web et d’applications offrent maintenant la possibilité de configurer le MFA avec un mot de passe ainsi qu’un code unique, donc quelque chose que l’on connaît et que l’on détient. Toutefois, toutes les façons de recevoir ce code ne s’équivalent pas.
Tout d’abord, le code par courriel est définitivement mieux que rien, mais n’est pas le premier choix. En effet, une boîte de courriel peut être accédée malicieusement — en passant par le mécanisme de réinitialisation du mot de passe en autre — et recevoir un courriel peut se faire par un ordinateur, une tablette, un téléphone, etc. Donc, recevoir un courriel ne prouve pas qu’on possède l’appareil, ce qui annule le troisième principe du MFA.
Ensuite, un code reçu via un SMS est une amélioration par rapport au courriel, mais la façon dont la technologie de téléphonie est conçue, les communications peuvent être interceptées et lues par un tiers. Par ailleurs, dans les deux premiers cas, le code n’est pas crypté lorsqu’il est envoyé et peut donc être lu si intercepté. Une manière de mitiger ce risque est que le code ne soit valide que pour un temps précis.
Une manière plus robuste est d’utiliser un jeton logiciel. C’est une application de Timed-One-Time Password (TOTP) sur un téléphone intelligent. Le principe est qu’à un intervalle de temps déterminé, habituellement à chaque trente secondes, un nouveau code est affiché dans l’application et que lors de la connexion, il faut entrer le code qui s’affiche à ce moment précis.
Une méthode similaire, qui entre dans la catégorie du jeton logiciel, est celle de la Push Notification. Ceci implique également une application sur un téléphone intelligent, mais où il faut effectuer une action physique pour confirmer l’authentification, telle qu’appuyer un bouton. Cette méthode confirme que l’on possède le téléphone qui est configuré pour recevoir la notification.
Finalement, il existe le principe de jeton physique où un objet portable contient le code qui doit être utilisé pour s’authentifier. Par exemple, un engin similaire à une clé USB qui doit être inséré dans l’ordinateur possédant un bouton qu’on doit appuyer après avoir tapé le mot de passe pour confirmer l’authentification.
Toutes ces méthodes nécessitent que l’on configure et active le MFA, ce qui peut en freiner l’utilisation. Par ailleurs, une chose importante à prendre en compte lors de l’utilisation du MFA est de prévoir un mécanisme dans le cas où on perdrait l’appareil qui reçoit le 2e facteur, généralement le téléphone intelligent.
Habituellement, lors de la configuration, une dizaine de codes uniques sont affichés pour pallier ce genre de situation. Évidemment, il faut conserver ces codes ailleurs que sur le téléphone sinon ce ne sont pas seulement les pirates qui n’auront plus accès au compte ! Un gestionnaire de mot de passe est un bon outil pour conserver ces codes parce que celui-ci possède habituellement une fonctionnalité pour stocker d’autres informations que seulement des mots de passe. De plus, il est crypté, ce qui assure que les codes sont entreposés sécuritairement.
En conclusion, le MFA peut être vu comme une étape irritante du fait qu’il faut configurer les comptes et qu’il ajoute une procédure lors de l’authentification. Par le fait même, cela augmente la difficulté de la personne malicieuse qui cherche à accéder frauduleusement à des ressources. Il faut aussi tenir compte de l’irritation évitée d’avoir à récupérer l’accès à un compte compromis ou de signaler une authentification frauduleuse. C’est définitivement une solution somme toute facilement accessible pour sécuriser ses comptes personnels et professionnels.
Simon Benoit
Consultant en cybersécurité