Imaginez ce puissant processus d'authentification simplifiée, basé sur un code d'accès unique (OTP) par SMS :
- Étape 1 : Mot de passe
L'utilisateur crée et mémorise un ensemble unique de chiffres et de lettres qui sera utilisé pour accéder au système.
- Étape 2 : Possession
Après avoir saisi le mot de passe correct, une deuxième chaîne de lettres et de chiffres est envoyée au smartphone que l'utilisateur a enregistré dans la procédure.
- Étape 3 : Accès
Après avoir saisi cette deuxième chaîne, l'utilisateur peut accéder au système.
Cette méthode de connexion prend du temps et nécessite quelques étapes supplémentaires. Mais dans notre monde, les applications contiennent des informations confidentielles et personnellement identifiables. Et nous sommes dans l'obligation de les protéger.
Les mots de passe seuls ne suffisent pas. En effet, une chaîne de caractères ne doit pas être la seule mesure de sécurité qui s'oppose à une pénétration désastreuse. Les menaces actuelles sur la sécurité exigent des mesures de protection beaucoup plus robustes.
Expliquons le rôle du risque
Certaines entreprises utilisent des techniques d'authentification forte pour vérifier chaque demande de connexion. D'autres utilisent une méthode d'authentification basée sur le risque pour identifier les demandes suspectes, pour une raison ou une autre.
Pendant la demande de connexion, le système évalue :
- L’emplacement. Quelle est l'origine de la demande ?
- L'horodatage. Quand la demande de connexion a-t-elle été présentée ?
- La fréquence. Combien de fois l'utilisateur a-t-il essayé de se connecter auparavant ?
Des risques évidents peuvent apparaître. Par exemple, l'analyse peut identifier de nombreuses demandes de connexion, provenant d'un pays étranger et à une heure inhabituelle de la journée. Le système peut aussi constater des demandes répétitives, présentées par quelqu'un qui se connecte toujours depuis le même endroit et à la même heure.
Si un risque est détecté, le système peut déployer des techniques d'authentification forte, telles que des nouveaux mots de passe ou des vérifications biométriques. Si aucun risque n'est détecté, la connexion est autorisée sans aucune formalité supplémentaire pour l'utilisateur.
L'authentification forte vaut-elle la peine ?
Vous pensez peut-être que vos données sont déjà protégées et que votre entreprise a déjà pris des mesures raisonnables pour bloquer tout accès non autorisé. En réalité, des problèmes très concrets de protection des données restent à résoudre, connus ou encore cachés, dans presque tous les environnements. Dans certaines situations, les entreprises doivent démontrer qu'elles ont mis en place des techniques d'authentification forte.
FIDO Alliance défend activement l'utilisation universelle de techniques d'authentification forte, et publie ces statistiques étonnantes pour inciter à la mise en conformité :
- Les problèmes de mots de passe sont à l'origine de plus de 80 % des brèches de la sécurité.
- Jusqu'à 51 % des mots de passe ne sont pas originaux.
Une violation de données peut entraîner des pertes de revenus, ainsi que la perte de la confiance et du respect de votre clientèle. Si vos clients ne sont pas certains que vous respecterez leur travail et la confidentialité de leurs données, ils préféreront peut-être travailler avec vos concurrents.
Si vous travaillez dans le secteur financier, ou si vous acceptez des paiements de personnes résidant dans l'Union européenne, l'authentification forte est pour vous une obligation. Les règles de l'Authentification forte des consommateurs (SCA) sont en vigueur depuis 2019. Elles exigent des vérifications rigoureuses pour tous les paiements intégrés aux applications dans l'Espace économique européen (EEE).
7 types d'authentification forte
Le choix des options est très étendu. Mais tous les facteurs ne sont pas égaux. Les différents facteurs ont des degrés de protection et d'utilisation pratique variables.
Voici les types de facteurs secondaires les plus courants :
- Questions de sécurité : Les questions de sécurité sont traditionnellement utilisées pour réinitialiser les mots de passe, mais rien ne vous empêche d'ajouter des questions de sécurité comme deuxième facteur d'authentification.
Leur mise en place est simple, mais elles sont faciles à pirater ou à voler.
- Mots de passe à usage unique (OTP) : Les OTP sont plus sûrs que les questions de sécurité, car ils utilisent une catégorie d'authentification secondaire. L'utilisateur a un terminal (unité physique qui lui appartient) en plus de son mot de passe (une information qu'il connaît).
Les codes de vérification ou les OTP envoyés par SMS sont également pratiques, mais l'utilisation d'OTP traditionnels présente des risques, car des jetons ont été interceptés et compromis.
- Codes générés par une application : Un OTP logiciel utilise l'algorithme des mots de passe à usage unique et gérés sur la durée (TOTP) qui sont générés par une application tierce.
La sécurité est le critère prioritaire de la création des codes générés par des applications. Mais le risque de pénétration des smartphones est un inconvénient.
- Application d'authentification spécialisée : Au lieu d'un mot de passe à usage unique (OTP), l'utilisateur doit confirmer son identité pendant une étape affichée par une application dédiée sur son smartphone, par exemple l'application Verify by Push d'Okta.
Le jeton d'authentification est alors envoyé directement au service, ce qui renforce la sécurité en éliminant la nécessité d'un OTP saisi par l'utilisateur.
- Clé d'authentification physique : Le processus d'authentification est sécurisé par un algorithme de chiffrement asymétrique dont la clé privée ne quitte jamais le terminal. Les exemples incluent les cartes à puce à balayer et les clés USB à connecter à la demande.
La norme U2F est gérée par FIDO Alliance et prise en charge par Chrome, Firefox et Opera.
- Biométrie : L'authentification est forte car elle combine une caractéristique personnelle, une information connue et un dispositif possédé. Cette combinaison est certes difficile à pirater, mais aucune méthode n'est parfaite, et les données biométriques posent des problèmes de confidentialité..
Comme les mots de passe, les données biométriques doivent être stockées dans une base de données, qui pourrait être piratée. Et contrairement à un mot de passe, vous ne pouvez pas modifier votre empreinte digitale, votre iris ou votre rétine, en cas de pénétration de cette base de données. En outre, la mise en œuvre de ce facteur d'AMF nécessite un investissement dans des dispositifs biométriques spécialisés.
- Protocole défi-réponse chiffré : Une base de données envoie une demande d'authentification à une autre, et le destinataire doit donner la réponse appropriée. Toutes les données sont chiffrées pendant la transmission, et ne peuvent pas être piratées ou manipulées. Ces systèmes semblent complexes, mais en réalité, la communication entre l'expéditeur et le destinataire est terminée en quelques secondes.
L'un ou l'autre de ces systèmes, ou l'ensemble d'entre eux, peut vous convenir, à vous et à votre organisation. Une combinaison de plusieurs techniques différentes peut aussi s'avérer efficace.
Demandez à Okta de vous aider
Il n'est pas toujours facile de trouver le bon processus d'authentification forte et de s'assurer qu'il offre réellement la sécurité exigée par votre entreprise. Okta a la solution.Avec nos années d'expérience, nous pouvons apporter aux entreprises comme la vôtre des réponses personnalisées à ces questions complexes. Contactez-nous pour en savoir plus.
Références
« What Is FIDO »?, FIDO Alliance.
« Strong Customer Authentication », (août 2019), Financial Conduit Authority.
« Challenge Response Authentication Protocol ». (novembre 2018), Medium.
