Authentification à deux facteurs : l'implémenter pour une sécurité maximale

Il est fort probable que vous ayez déjà reçu un code SMS pour vous authentifier dans un service en ligne. Cette démarche supplémentaire de sécurisation des comptes utilisateurs correspond à un système d’authentification à deux facteurs.

Qu'est-ce que l’authentification à deux facteurs et pourquoi est-elle nécessaire ?

L’authentification à deux facteurs (2FA pour les intimes) est depuis quelques années devenue courante pour les comptes personnels comme professionnels. Comment ce système fonctionne-t-il ? Quels sont ses atouts ?

L’authentification à deux facteurs fait dorénavant figure de standard pour sécuriser les comptes des utilisateurs sur une majorité de plateformes et services en ligne. Ce mécanisme implique de s’authentifier pour accéder à son compte en deux étapes, à travers deux moyens différents, afin de pallier la faible sécurité du couple identifiant/mot de passe classique.

Chez Spendesk, l’authentification à deux facteurs a été mise en place pour tous les utilisateurs dès 2019 et chaque demande de connexion sur un nouvel appareil fait l’objet d’une demande d’authentification à deux facteurs.

De plus, en accord avec la directive européenne sur les services de paiement en ligne, Spendesk utilise également le standard 3DS (3 Dimensions Secure verification) pour autoriser toutes les transactions faites à travers la plateforme. Ce dispositif suit donc une logique qui présente à la fois les avantages d’une authentification à deux facteurs pour l’accès au compte et un degré de sécurité supplémentaire lors d’un paiement, sécurisant ainsi toutes les transactions, les demandes de remboursement, et les données personnelles des utilisateurs.

Comment fonctionne l'authentification à deux facteurs ?

L’authentification multi-facteurs se base sur la combinaison d’au moins deux des facteurs suivants (Dans le cas contraire, il s’agit simplement d’un système d’authentification à simple) : 

• Ce que que je sais, généralement votre mot de passe. 

• Ce que je possède, par exemple :   

  • votre smartphones grâce à une notification push ou un code SMS

  • une clé USB dédiée qui génère un code à usage unique pour s’authentifier

• Ce que je suis, par exemple l’authentification par voix ou par visage (comme sur les versions récentes de certains smartphones)

La sécurité apportée en combinant l'authentification de l’utilisateur par ces différents facteurs vient du fait qu’il est assez simple de voler votre mot de passe ou votre smartphone, mais qu’il est beaucoup difficile (voir impossible) de faire les deux en même temps. 

Le développement des technologies, notamment des smartphones, a permis la généralisation progressive de ces méthodes d’authentification en les rendant simples et ergonomiques pour les utilisateurs.  Là où jadis il fallait posséder une clé USB spécifique, une carte d’accès ou un autre appareil physique, une application sur smartphone ou un simple SMS suffit aujourd’hui pour pouvoir mettre en place l’authentification multifacteur.

Les entreprises les plus sensibles (comme celles ayant, par exemple, à gérer des données financières) utilisent même des mécanismes d’authentification combinant les 3 facteurs. L’authentification triple facteurs est cependant le plus souvent restreint  à des usages internes pour des fonctions sensibles.

Comme pour tout système d’information, l’authentification peut également être construite selon une infrastructure à géométrie variable. Un degré d’authentification supplémentaire peut être demandé afin d’accéder à certaines ressources ou fonctionnalités d’une application.

Les avantages de la mise en œuvre de l'authentification à deux facteurs

Cette méthode présente de nombreux avantages. Elle renforce la sécurité des comptes utilisateurs en évitant de se reposer uniquement sur un mot de passe. Dans le cas d’une fuite de données contenant des mots de passe utilisateurs, la sécurité des comptes n’est donc que faiblement compromise.

Ce faisant, en prévention (et parfois hélas en réaction) aux risques d’intrusion et de fuite de données, les services intranet ou publics doivent de munir d’un degré supplémentaire de sécurité pour leurs utilisateurs. 

L’authentification à deux facteurs répond à cette exigence en mettant en place un degré d’identification qui est plus difficilement falsifiable (bien qu’aucune méthode ne soit infaillible).

Comment configurer et utiliser l'authentification à deux facteurs pour vos comptes et services ?

En tant qu’utilisateur, mettre en place une authentification à deux facteurs peut être d’une simplicité déconcertante, c’est même le plus souvent la plateforme où le compte est hébergé qui en fait la demande. Pour les entreprises, il ne s’agit pas seulement d’une question de déontologie ou de sauvegarde de l’activité. Cette démarche fait partie des recommandations et même de la règle européenne sur la protection des données personnelles.

Pour peu que l’on fasse confiance à l’entreprise administratrice du service en ligne, il suffit la plupart du temps de renseigner son numéro de téléphone. Suite à cela, un code peut être envoyé au téléphone, qui sert ainsi lors de la connexion sur un nouvel appareil. 

Si cette dernière méthode correspond à un canal d’authentification SMS, une application mobile est tout aussi efficace pour remplir la même mission. 

Quelles vulnérabilités pour l’authentification à double facteur ?

Chaque service en ligne est susceptible de privilégier une méthode d’authentification à deux facteurs différente. La plupart des services utilisent un simple code SMS (en complément du couple identifiant / mot de passe) mais certains services d'authentification (comme Google) commencent à proposer de nouvelles méthodes. Par exemple, Google a conçu une application conçue comme second facteur d’authentification, tandis qu’Apple se base principalement sur l’authentification de vos données biométriques (reconnaissance faciale ou d’empreinte digitale). 

Le développement de ces nouvelles méthodes a pour but de toujours améliorer le niveau de sécurité et par exemple de répondre à une des principales vulnérabilités de l’authentification par SMS : le SIM Swapping. En deux mots, cette méthode de piratage informatique permet de réceptionner les codes SMS envoyés par un fournisseur de service à l’utilisateur.

Pour cette raison, la double authentification de Google se fait directement depuis l’application mobile, car il est plus difficile de la falsifier.

Ainsi, on peut constater que l’authentification à deux facteurs n’est pas infaillible. Comme toujours, chaque évolution des systèmes de sécurisation de données et ressources est prise comme un défi à relever pour les groupes de hackers (qu’ils cherchent à révéler des failles ou à les exploiter).

Quelles bonnes pratiques pour implémenter l’authentification à deux facteurs ?

On peut ainsi tirer quelques enseignements de l’usage de l’authentification à deux facteurs. 

Évaluer les besoins, les méthodes de connexion les plus fréquentes dans son entreprise mène à mettre en place la technique d’authentification la plus adaptée. Par exemple, les solutions physiques peuvent convenir aux entreprises qui privilégient un haut  niveau de sécurité et l’utilisateur de matériels spécifiques. À l’opposé, une solution de jetons logiciels présente la flexibilité nécessaire aux activités réalisables à distance par un grand nombre d’utilisateurs.

Les techniques les plus ergonomiques de 2FA font le plus souvent intervenir un smartphone comme appareil permettant de faire le lien entre une application et un utilisateur. Pour autant, la version la plus sécurisée de ce canal se porte sur l’usage d’une application dédiée et non d’un simple message SMS, qui peut, avec assez de compétences techniques, être intercepté.

Pour en savoir plus sur les méthodes d’authentification à facteurs multiples, le guide complet de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) présente toutes les recommandations pour mettre en place une telle méthode dans son entreprise.