Où et comment activer le MFA pour protéger efficacement votre système informatique et vos utilisateurs ?

Jérémie Schram
WatchGuard Technologies

Dans le monde physique, l'identité est profonde et complexe. Mais en ligne, tout cela disparait.

Pour un ordinateur, vous n’êtes pas votre histoire. Vous êtes un identifiant. Vous êtes un mot de passe, un cookie de session. Vous êtes un code envoyé sur votre téléphone. Ce sont ces éléments qui servent à confirmer votre existence dans le monde numérique.

Ce qui signifie que si quelqu’un d’autre possède ces mêmes caractéristiques, le système le traitera comme vous. L’identité en ligne n’est pas qui vous êtes, mais ce que le système accepte comme preuve de vous, et c’est exactement dans cet espace que les attaquants s’infiltrent.

En effet, une fois que les attaquants peuvent se faire passer pour vous, ils obtiennent un point d’entrée qui peut leur permettre de se déplacer dans des environnements protégés et, au final, d’accéder à des données qu’ils monétisent pour alimenter une véritable économie du crime organisé.

La plupart des gens pensent que l’identité se résume à un nom d’utilisateur et un mot de passe. Mais cela revient à verrouiller la porte d’entrée avec un simple loquet. Cela peut empêcher le vent d’entrer, mais certainement pas un cambrioleur. C’est là que l’authentification multi-facteurs (MFA) entre en jeu. En vous obligeant à prouver votre identité de plusieurs façons, le MFA rend l’intrusion bien plus difficile pour un attaquant.

Les bases du MFA : qu’est-ce qu’un facteur ?

Lorsque l’on évoque l’authentification multi-facteurs, cela semble évident. Pourtant, les facteurs sont souvent mal compris. Beaucoup pensent ajouter une couche de sécurité, alors que ce n’est pas réellement le cas.

Imaginez le déverrouillage de votre téléphone :

·       Vous saisissez un code PIN : quelque chose que vous connaissez.

·       Vous scannez votre empreinte : quelque chose que vous êtes.

·       Parfois, vous validez une notification push : quelque chose que vous possédez.

Ce sont des facteurs d’authentification. Chaque facteur a une version forte et une version faible. Un PIN complexe qui change régulièrement est meilleur qu’un code à quatre chiffres utilisé partout.

Une empreinte vérifiée par le matériel sécurisé d’un iPhone moderne est meilleure qu’un schéma de déverrouillage facile à deviner sur un ancien Android.

Une clé FIDO est plus solide qu’un code SMS, lequel peut être intercepté si votre numéro est détourné.

Où le MFA fonctionne-t-il, et où il ne fonctionne-t-il pas ?

Sur les appareils mobiles

Vous êtes limité aux bases : PIN, mot de passe ou biométrie. Apple et Google n’autorisent pas d’empiler plusieurs MFA avant le déverrouillage. Le mieux : passcode fort + biométrie.

Le pire : un PIN à quatre chiffres.

En cas de vol, votre seule vraie protection est la possibilité de verrouiller ou d’effacer l’appareil à distance.

Sur les ordinateurs

Vous commencez avec les options du système (Windows Hello, Touch ID, mot de passe). Ensuite, vous pouvez ajouter un second facteur (notification push, clé matérielle).

Le meilleur : mot de passe + clé matérielle ou application d’authentification.

Le pire : mot de passe faible seul.

La réinitialisation est simple pour les mots de passe, mais plus complexe pour les jetons physiques.

Sur le Wi-Fi / réseaux internes

L’authentification repose souvent sur des certificats ou des mots de passe.

Les certificats sont plus robustes, car liés à un appareil précis, mais difficiles à révoquer.

Les mots de passe sont plus simples mais faciles à hameçonner.

Le meilleur : certificat + identifiant et mot de passe.

Le pire : un mot de passe Wi-Fi partagé sur un post-it.

Sur les VPN

Les VPN offrent le plus de flexibilité : mot de passe + push + vérification de posture du device.

Le meilleur : identité + vérification de santé de l’appareil.

Le pire : VPN avec simple mot de passe.

Sur les applications SaaS

C’est là que la flexibilité est la plus grande. Avec un fournisseur d’identités (AuthPoint, Okta…), vous pouvez empiler les facteurs : mot de passe + push + clé FIDO.

Le meilleur : mots de passe forts + MFA app-based + contrôle de conformité du device.

Le pire : un simple mot de passe, laissant la porte ouverte aux attaques par credential stuffing ou phishing.

Pourquoi activer le MFA partout est-il plus difficile qu’il n’y paraît ?

Activer le MFA, ça n’est pas aussi simple que d’appuyer sur un interrupteur. Chaque plateforme a ses limites :

·       Les téléphones n’acceptent qu’un seul facteur avant déverrouillage.

·       Les ordinateurs obligent à utiliser un de leurs facteurs internes avant d’en ajouter d’autres.

·       Les certificats sont puissants mais difficiles à révoquer.

·       Les apps SaaS sont flexibles, mais seulement avec le bon fournisseur d’identité.

L’IT doit donc réfléchir à chaque contexte de connexion, aux facteurs disponibles et à la manière de les révoquer si besoin.

Les attaquants cherchent toujours le maillon faible. Si le MFA est appliqué de manière incohérente, ils trouveront la faille — par exemple en volant un cookie pour contourner le MFA dans le cloud ou en détournant un numéro de téléphone pour intercepter des codes SMS.

Le but n’est pas la perfection, mais la couverture : chaque connexion — téléphone, ordinateur portable, Wi-Fi, VPN ou SaaS — doit comporter au moins deux contrôles forts.

Et l’IT doit pouvoir révoquer ou réinitialiser rapidement ces facteurs si nécessaire.