Qu’est-ce que l’authentification multifacteur et comment fonctionne-t-elle ?

Qu’est-ce que l’authentification multifacteur, ou MFA ? 

Lorsque vous vous connectez sur l’un de vos comptes en ligne (banque, réseaux sociaux, sites e-commerce, etc.), vous passez à travers un système d’authentification.
Autrement dit, vous prouvez au service auquel vous tentez d’accéder que vous êtes bien la personne que vous dites être. 

Les mots de passe représentent une véritable mine d’or pour les hackers qui les revendent par la suite sur le dark web.
Une des dernières entreprises ayant été la cible de ces hackers est l’entreprise américaine LastPass.
Ce gestionnaire de mots de passe américain au 33 millions d’utilisateurs a été visé par une seconde cyberattaque (la deuxième en quatre mois).
Le pirate informatique a réussi à s’introduire dans l’environnement de développement de LastPass après avoir piraté le compte de l’un des développeurs informatiques de la société. 

Cela va des banques (Caisse d’Épargne, BNP Paribas, Crédit du Nord), aux réseaux sociaux (Facebook, Instagram, YouTube), en passant par les logiciels B2B (Salesforce, HubSpot, etc.).    

Lorsque vous souhaitez vous inscrire sur une plateforme en ligne, il est désormais courant d’avoir besoin d’un facteur de sécurité (mot de passe à usage unique, empreintes digitales, etc.) supplémentaire en plus du traditionnel login / mot de passe.

Lorsque le nombre de facteurs nécessaires pour effectuer le processus d’authentification est supérieur à deux, nous parlons alors d’authentification multifacteur. 

2FA vs MFA, quelles différences ? 

L’authentification multifacteur se démocratise de plus de plus, que ce soit à travers des applications SaaS dans un domaine professionnel (ressources humaines, finance, marketing, etc.) ou bien en utilisant différents services sur le web (banque, sites de shopping, etc.). 

Il n’est désormais plus suffisant d’avoir un mot de passe robuste pour accéder à certaines applications, et nombreuses sont les sociétés à exiger une vérification supplémentaire pour s’assurer de l’identité de leurs utilisateurs.

L’authentification multifacteur est l’une des principales composantes de la gestion des identités et des accès sur internet (IAM, ou Identity and Access Management en anglais). 

Plutôt que de demander simplement un identifiant et un mot de passe, l’authentification multifacteur ajoute d’autres facteurs de vérification supplémentaires.

Lorsqu’il y a uniquement un facteur supplémentaire, on parle alors de 2FA et non de MFA.
Le 2FA est une sous-catégorie du MFA, qui, comme son nom l’indique, consiste à appliquer deux vérifications d’identité à l’utilisateur.

Comment fonctionne l’authentification multifacteur ? 

Comme évoqué, l’authentification multifacteur consiste à ajouter deux facteurs ou plus afin de vérifier l'identité d’une personne en ligne.

L’un des facteurs les plus courants est l’OTP (One Time Password). C’est un code comprenant entre 4 et 8 chiffres, généralement reçu sur un appareil en votre possession (par SMS sur votre téléphone mobile, par email, ou encore via une application dédiée comme Google Authenticator par exemple).

Avec les OTP, un nouveau code est généré à chaque fois que l’utilisateur fait une demande d’authentification auprès d’un fournisseur de service. 

Mais l’authentification multifacteur ne se limite pas à l’envoi d’un code sur un téléphone portable.

L’authentification multifacteur se base sur 3 types d’informations : 

• les choses que vous connaissez : une question secrète, un code 
• les choses que vous possédez : un smartphone, une tablette, un badge, une carte bancaire, etc. 
• les choses qui vous sont inhérentes : empreintes digitales, voix, reconnaissance faciale 

Grâce à l’authentification multifacteur, un individu ayant possession de votre identifiant et de votre mot de passe pour accéder à une plateforme (compte bancaire, sites de paris, plateformes de streaming, etc.) ne sera pas en capacité de se connecter.

En effet, si l’authentification multifacteur est activée, l’utilisateur sera invité à renseigner un deuxième facteur d’authentification.

Une des pratiques courantes est d’utiliser un logiciel de génération de mot de passe pour sécuriser vos connexions. 
Si l’utilisateur ne dispose pas du code généré dynamiquement par ce logiciel, il restera bloqué sur l’écran de connexion.

Il existe de nombreuses solutions de génération de mots de passe, les plus connues étant Google Authenticator, Microsoft Authenticator, Free OTP, Duo Security, Yubico, Authy… 

Pourquoi le MFA est-il important ? 

Si nous remontons quelques années en arrière, l’authentification multifacteur n’existait pas, et bien souvent les mots de passe n’avaient pas de restriction en termes de sécurité, et étaient même stockés en clair dans les bases de données utilisateurs (comme Facebook, jusqu’en 2019).

Le problème est alors que l’authentification repose sur un facteur unique. Si ce facteur unique est compromis, alors une personne mal intentionnée pourrait accéder à vos différents comptes en ligne et en exploiter les données.

Comme le souligne une étude menée par CyberNews, il y a actuellement plus de 8 milliards de mots de passe dérobés disponibles à la vente sur le dark web, ce qui représente une véritable manne financière pour les cybercriminels et un vrai danger en termes de sécurité et de business pour les entreprises. 

L’authentification multifacteur permet donc de renforcer la sécurité de l’accès à vos différents comptes.
Cela permet de rendre la vie des cybercriminels plus compliquée, car sans avoir accès à votre second ou troisième facteur d’authentification, il leur sera impossible d’accéder à votre compte.

Depuis 2019, l’authentification multifacteur est devenue une obligation pour certains établissements financiers comme les banques ou encore les prestataires de paiements dans le cadre d’opérations sensibles (ajout d’un bénéficiaire, changement d’adresse, initiation d’un virement bancaire, etc.) 

Une solution efficace, mais pas infaillible

L’authentification multifacteur possède de nombreux avantages. 

Premièrement, elle permet une diminution des fraudes et des vols d’identité par attaque de phishing (autrement dénommé hameçonnage en français), car la possession d’un mot de passe ne suffit plus.

Deuxièmement, pour les entreprises, cela permet de témoigner d’une priorité accordée à la sécurité et au traitement des données, ce qui permet de gagner en crédibilité et en sérieux auprès des clients. 

En couplant le MFA avec le Single Sign On, vous pourrez éviter à vos collaborateurs de devoir créer un nouveau mot de passe sur l’ensemble des logiciels qu’ils utilisent au quotidien pour faire leur travail.
Ces deux technologies d’authentification combinées facilitent grandement l’expérience utilisateur en facilitant la procédure de connexion, ce qui à son tour à un impact très net sur la productivité des collaborateurs. 

Enfin, l’un des avantages du MFA est également de s’adapter aux nouveaux modes de fonctionnement dans le monde du travail, notamment avec l’arrivée du télétravail suite à la pandémie.
Dans ce contexte, il est nécessaire pour les employés de pouvoir accéder de manière sécurisée aux différentes ressources de l’entreprise. Le SSO et le MFA procurent cette flexibilité et cette sécurité. 

Cependant, l’utilisation du MFA n’est pas infaillible non plus comme le révèle la récente attaque par phishing qui a touché l’un des salariés d’Uber.

En effet, les cybercriminels sont de plus en plus doués, ils pourraient par exemple vous faire parvenir un lien vers un site web fictif, similaire à un site web que vous utilisez fréquemment afin de récupérer vos identifiants de connexion. 

Si votre authentification multifacteur est basée sur votre téléphone, des limites s’imposent également : perdre son téléphone, ne plus avoir de batterie, etc., pas de réseau internet, etc. 

Les challenges de l’authentification MFA

Le but de l’authentification multifacteur est de permettre aux utilisateurs de se connecter de manière sécurisée, sans créer trop de frictions.

Un des challenges de l’authentification MFA dans les années à venir va donc être d’être toujours plus robuste face à des cybercriminels toujours plus performants, le tout sans générer trop de complexité pour l’utilisateur final qui souhaite simplement accéder à son service en ligne.

Pour simplifier l’authentification multifacteur, il existe 3 approches distinctes : 

• MFA adaptatif 

Grâce au MFA adaptatif, le déclenchement du MFA est conditionné par un savoir détenu par l’entreprise : localisation du salarié, règles internes, appareil utilisé, etc. 

Par exemple, un VPN d’entreprise sait qu’un collaborateur pourra se connecter depuis chez lui, car il connaît le type d’appareil et la localisation du salarié, il n’y aura donc pas de MFA dans ce cas.
En revanche, si le salarié se connecte au même VPN depuis un cybercafé, le VPN ne reconnaîtra pas ce lieu et demandera donc au salarié de procéder au MFA. 

Pour synthétiser, le MFA adaptatif repose donc sur la connaissance des utilisateurs et de leurs habitudes. 

• Single Sign On 

Cette solution d’authentification permet aux utilisateurs de se connecter à un système unique, leur permettant par la suite d’accéder à un large panel d’applications. L’authentification Single Sign On enregistre l’identité d’un utilisateur dans un système unique, qui partage par la suite cette identité avec d’autres applications ayant besoin de cette identité.
L’utilisateur disposant d’un jeu unique d’identifiant et de mot de passe pour accéder à plusieurs applications, il est beaucoup plus simple d’appliquer un mot de passe robuste.
Si le mot de passe est compromis, il suffit de le changer dans le système source pour qu’il soit changé sur l’ensemble des applications.
Ce mode d’authentification est de plus en plus plébiscité par les grandes entreprises pour des raisons de sécurité et d’expérience utilisateur. 

• Authentification push 

L’authentification push est une technique d’authentification sur mobile, ou le système de sécurité d’une application émet automatiquement un code d’authentification à usage unique sur le téléphone mobile de l’utilisateur. 

Une fois l'identifiant et le mot de passe renseignés, un code est reçu sur le mobile de l’utilisateur qui a simplement besoin de le renseigner.
Pour l’utilisateur final, cette technique a pour avantage de ne pas avoir besoin de se souvenir d’un code ou d’une réponse à une question secrète, car le code reçu est généré à la volée. De plus, grâce à la fonctionnalité de saisie automatique disponible sur un grand nombre de smartphones, l’expérience utilisateur reste très fluide.

L’authentification, un enjeu de sécurité, et un enjeu business

La pratique de se connecter à une application en utilisant un identifiant et un mot de passe a longtemps été le standard.

Désormais, de nouvelles solutions d’authentification permettent d’offrir un niveau de sécurité plus élevé, le tout en garantissant une expérience utilisateur la plus fluide possible. 

Chez Cryptr, nous offrons un large catalogue de solutions d’authentification pour vous permettre de proposer la meilleure expérience d’authentification à vos utilisateurs en fonction du contexte : 

• authentification passwordless : pour se connecter sans avoir besoin de créer de mot de passe, grâce à un lien de connexion envoyé instantanément dans la boite mail 
• authentification single sign on : pour se connecter sur un logiciel SaaS avec vos identifiants d’entreprise 
• authentification multifacteur : pour sécuriser davantage vos connexions log-ins / mot de passe avec une surcouche de sécurité (OTP via SMS, QR code etc.) 
• synchronisation de répertoires : pour provisionner et provisionner automatiquement les utilisateurs
• connexion login et mot de passe traditionnel  

Pour plus d’informations sur nos différents produits d’authentification, n’hésitez pas à nous suivre sur LinkedIn, Twitter, YouTube et Instagram.