Comment l'authentification multifacteur s'est imposée dans les entreprises
S'assurer que l'utilisateur connecté est bien celui qu'il prétend être, voilà la mission de l'authentification multifacteur, appelée également MFA pour Multi Factor Authentication. Si la technologie n'est pas nouvelle, sa généralisation l'est beaucoup plus. En cause, une massification des attaques dues notamment à une explosion du digital ces dix dernières années. "Qu'il s'agisse de réaliser des opérations bancaires, des démarches d'assurance ou administratives, d'effectuer des achats en ligne ou bien d'écouter de la musique voire de regarder une série, aujourd'hui, tout se fait en ligne et bien souvent sur son smartphone", contextualise Léonard Moustacchis, directeur identité numérique chez i-Tracing.
Une tendance renforcée ces deux dernières années par la crise sanitaire qui est venue, avec le télétravail, générer une deuxième explosion : celle de la connexion à distance au système d'information de l'entreprise. Pour les pirates informatiques, cette démultiplication des points d'entrée représente une véritable opportunité, pour les services informatiques, un casse-tête, quand ce n'est pas tout simplement un cauchemar. Dans la dernière édition de son Data Breach Investigations Report (DBIR), l'opérateur américain Verizon révèle que 61% des failles de sécurité reposent sur la perte ou le vol d'identifiants.
Concilier résilience et ergonomie
La combinaison login/mot de passe, à elle seule, ne suffit plus. Dorénavant, il est fortement recommandé de l'associer à un deuxième facteur et de s'appuyer sur des technologies qui, jusqu'à il y a quelques années encore, étaient loin de cocher la case UX. Car l'enjeu - le défi ! - du multifacteur est de parvenir à trouver un équilibre entre robustesse et fluidité. "S'il faut 12 clés pour ouvrir une porte, la sécurité sera certes optimale, mais l'expérience de l'utilisateur sera fortement dégradée, au risque de le voir tout faire pour ne pas s'y soumettre", explique Nicolas Arpagian, directeur de la stratégie en cybersécurité chez Trend Micro.
Depuis les années 80 et l'apparition du système S/Key (cf. RFC 1760), l'authentification multifactorielle a longtemps été incarnée par des tokens type RSA SecurID. En 2009, certains établissements bancaires, poussés par la Commission européenne, s'y essayaient. C'est le cas notamment de Banque Populaire qui prenait exemple sur ses voisines suédoises et équipait 400 000 clients de boîtiers Xiring. Mais, trop coûteux à l'achat et à l'usage, notamment en termes d'onboarding, de maintenance et surtout en SAV (oubli d'identifiants, perte du token, etc.), ces projets ont très vite été abandonnés.
Mobiles et biométrie, facteurs fédérateurs
Pour autant, le sujet n'a pas été mis de côté. En mai 2021, la deuxième version de la Directive sur les Services de Paiement (DSP2) a imposéaux banques la mise en place de dispositifs d'authentification forte pour tous les paiements en ligne, hors cas d'exemptions. Leur utilisation s'est même étendue à d'autres services, comme l'ajout de nouveaux bénéficiaires ou la signature de documents. Portés par les progrès technologiques en matière de biométrie, de nombreux acteurs comme Okta, Cyberark, Forgerock, Trusona, Gluu, Microsoft, Google ou encore le français Inwebo, proposent des solutions clé en main et simples d'usage, qui ont su convaincre les administrateurs et susciter leur adoption par les utilisateurs. Valider une opération bancaire à partir d'un code reçu par SMS est devenu monnaie courante.
Mais la vigilance reste de mise : "les méthodes d'authentification doivent évoluer en fonction des capacités d'attaque. La présence d'agents malveillants sur les smartphones, susceptible de compromettre la sécurité de l'authentification via SMS, a conduit les banques à utiliser, pour leurs clients, des solutions d'authentification forte comme on en trouve pour gérer les accès à d'autres applications ou environnements métiers", précise Olivier Caleff, directeur cyber résilience et crise chez Erium. La confirmation ou validation d'identité se fait donc toujours à partir d'appareils enregistrés au préalable, mais via un QR code (ex : whatsapp web), la vérification d'un code à usage unique (Ex : Sharepoint, Egnyte) généré par l'application ou la reconnaissance biométrique (digitale ou faciale). Certains dispositifs conçus par des éditeurs comme Yubico s'appuient sur la spécification FIDO2 émise par la FIDO Alliance (Fast IDentity Online) pour fournir des clés USB d'authentification bon marché en vue de réaliser diverses opérations sur le web. Le MFA est entré dans les mœurs.
Le risque d'intrusion réduit de 99,9%
"L'autre facteur déterminant, et pas des moindres, dans la démocratisation de ces technologies est qu'elles adressent toutes les entreprises, quels que soient leur taille et leur secteur", analyse Olivier Caleff. Lors de la RSA Conference 2020, Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft déclarait : "Selon nos études, un compte a plus de 99,9% de chances en moins d'être compromis si vous utilisez la MFA." Reste que, dans le monde de l'entreprise, il va s'agir de passer d'une sécurisation périmétrique à une sécurisation adaptative. Le niveau de sécurité doit être en mesure de s'adapter à l'usage. "Si on prend le cas d'un utilisateur qui commence à travailler à son domicile et continue via le WiFi d'un café avant de rejoindre son bureau, il faudra que l'accès au système d'information de son entreprise soit plus ou moins durci selon le point de connexion.", illustre Léonard Moustacchis. Dans une démarche SecOps, il faudra également sensibiliser à la fois les utilisateurs, s'il s'agit d'une pratique nouvelle, et les administrateurs pour qu'ils intègrent la surveillance des usages et les journaux d'activité associés dans leur gestion opérationnelle de la sécurité et/ou leur SIEM (Security Information and Event Management). "Il y a toute une partie supervision à mettre en place et à ne pas oublier", rappelle Olivier Caleff.
Pas de passwordless sans MFA
La suppression du mot de passe n'arrive qu'en dernière instance, une fois l'ajout des briques d'authentification forte finalisé et maîtrisé. Si l'on reste sur le cas de figure du travail à distance, faire du passwordless permettrait d'activer un accès VPN privilégiant une méthode d'authentification multifacteur et donc, à terme, de se passer de mot de passe ou, tout au moins, de le rendre non visible par l'utilisateur. Car si le mot de passe doit disparaître de la vie de ce dernier, il subsiste néanmoins au sein des dispositifs MFA qui doivent, dans leur processus, les générer aléatoirement et à usage unique pour se connecter aux postes de travail ou aux contrôleurs de domaines comme Active Directory, encore conçus sur la base de login/mot de passe.
Mais, dans un cadre d'échanges machine-to-machine, le mot de passe, d'autant plus s'il est jetable, ne présente plus les mêmes risques, dès lors qu'il n'est plus du ressort de l'humain. "Dans ce cas, l'authentification est transparente, via une notification reçue sur un terminal de confiance pour s'authentifier avec la biométrie ou un code PIN. Cette expérience de "passwordless" est transposable à de nombreux cas d'usage : accès à des applications dans le cloud ou dans l'intranet, accès à des applications mobiles, accès à son PC ou son smartphone, tout cela en ayant élevé le niveau de sécurité et simplifié l'usage.", explique Olivier Perroquin, président de Inwebo.