Page d'accueil d'OpenText.
Thèmes techniques

Qu'est-ce que l'authentification multifactorielle ?

Illustration d'éléments informatiques avec une ampoule en point de mire

Présentation

Lorsque vous accédez à une ressource protégée, vous vous authentifiez auprès d'un magasin de données avec vos informations d'identification. Il s'agit d'une identité revendiquée et d'un secret qui lui est associé. Traditionnellement, cela se fait avec un simple nom d'utilisateur et un mot de passe, et c'est la méthode d'authentification la plus courante aujourd'hui. Malheureusement, l'authentification par nom d'utilisateur/mot de passe s'est révélée très vulnérable au phishing et au piratage d'informations d'identification. Comme les mots de passe peuvent être difficiles à retenir, les gens ont tendance à choisir un mot de passe simple et à le réutiliser pour leurs différents services en ligne et dans le nuage. Cela signifie que lorsqu'un identifiant est piraté sur un service, des personnes extérieures malveillantes le testent sur d'autres services numériques personnels et professionnels. 

L'authentification multifactorielle (AMF) est conçue pour protéger contre ces menaces et d'autres types de menaces en exigeant de l'utilisateur qu'il fournisse deux méthodes de vérification ou plus avant de pouvoir accéder à une ressource spécifique telle qu'une application, un stockage de données ou un réseau privé.

Le terme "facteur" décrit les différents types ou méthodes d'authentification utilisés pour vérifier l'identité prétendue d'une personne. Les différentes méthodes sont les suivantes :

  • Quelque chose que vous connaissez - comme un mot de passe, un code PIN mémorisé ou des questions pièges.
  • Quelque chose que vous possédez - alors qu'historiquement il s'agissait d'un jeton, aujourd'hui il s'agit plus souvent d'un smartphone ou d'une clé USB sécurisée.
  • Ce que vous êtes - les données biométriques les plus courantes sont les empreintes digitales et la reconnaissance faciale ; les données biométriques telles que la voix ou d'autres technologies de reconnaissance sont moins courantes.

Authentification multifactorielle

Comment déterminer le nombre de facteurs à configurer pour une ressource protégée ?

Les exigences en matière de sécurité et de facilité d'utilisation dictent le processus utilisé pour confirmer l'identité du demandeur. L'authentification multifactorielle permet aux équipes de sécurité de répondre au contexte ou à la situation du demandeur (personne ou processus programmatique), la suppression de l'accès étant le scénario le plus courant. Au-delà de la détermination du nombre de types d'authentification requis, les services informatiques doivent également trouver un équilibre entre le coût des exigences en matière de convivialité et le coût de leur mise en œuvre.

Authentification à facteur unique (SFA)

La SFA a été et reste la solution par défaut pour sécuriser l'accès aux informations et aux installations mobiles, en ligne et autres. En raison de son omniprésence et de son faible coût, le type de SFA le plus courant est le nom d'utilisateur et le mot de passe. Néanmoins, les technologies sans mot de passe sont de plus en plus adoptées pour éviter les menaces posées par diverses attaques de phishing. Par exemple, la majorité des applications mobiles permettent l'utilisation des empreintes digitales ou de la reconnaissance faciale à la place du nom d'utilisateur et du mot de passe traditionnels. 

Aujourd'hui, les services en ligne proposés par Microsoft et Yahoo offrent une option SFA sans mot de passe, et d'autres fournisseurs tels qu'Apple et Google proposeront la même option l'année prochaine.

Parce qu'ils sont utilisés pour vérifier les identités, les jetons d'authentification doivent être protégés contre les personnes extérieures. Outre la sécurité élevée des jetons, ils sont souvent configurés pour expirer assez fréquemment, ce qui augmente leur taux de rafraîchissement. Si la mise en œuvre de jetons à durée de vie courte utilisés sous l'interface sans mot de passe renforce la sécurité, elle n'atteint pas le niveau offert par l'authentification à deux facteurs.

Authentification à deux facteurs (2FA)

Le 2FA renforce la sécurité en demandant à l'utilisateur de fournir un deuxième type (savoir, avoir, être) pour la vérification de l'identité. Une preuve d'identité peut être un jeton physique, comme une carte d'identité, et l'autre quelque chose de mémorisé, comme un défi/réponse, un code de sécurité ou un mot de passe. Un deuxième facteur élève considérablement la barre pour les malfaiteurs et autres acteurs extérieurs qui réussissent à franchir les barrières de sécurité. 

Voici une liste des méthodes d'authentification les plus courantes : 

  • Mots de passe à usage unique - TOTP, HOTP, YubiKey et autres dispositifs conformes à la norme FIDO
  • Autres services hors bande - appels vocaux, push mobile
  • PKI - certificats
  • Biométrie - empreintes digitales, visage, reconnaissance vocale
  • Proximité - cartes, application mobile geo-fencing
  • Ce que vous savez - mots de passe, questions pièges
  • Références sociales

Authentification à trois facteurs (3FA) 

Ajoute un autre facteur à deux facteurs pour rendre plus difficile la falsification d'une identité déclarée. Un scénario typique consisterait à ajouter la biométrie à un nom d'utilisateur/mot de passe existant, ainsi qu'à une carte de proximité. Parce qu'elle ajoute un niveau notable de friction, elle devrait être réservée aux situations qui requièrent un niveau élevé de sécurité. Les banques peuvent trouver des situations où le 3FA a du sens, tout comme diverses agences gouvernementales. Des zones spécifiques à haut niveau de contrôle au sein d'un aéroport ou d'un hôpital sont également des zones où les équipes de sécurité ont jugé que la 3FA était nécessaire.

Où l'AMF est-elle généralement utilisée ?

Bien que de nombreuses organisations considèrent la vérification des utilisateurs comme une réflexion après coup, il est important de noter que le DBIR annuel de Verizon montre constamment que le piratage d'informations d'identification est l'une des principales stratégies d'intrusion. Ce n'est qu'une question de temps avant que la quasi-totalité des organisations ne subissent une perte d'informations sensibles qui se traduira par une perte financière tangible et une perte potentielle de confiance de la part des clients.

Ce qui rend ces tendances remarquables, c'est qu'il n'y a jamais eu d'époque où l'authentification multifactorielle est aussi pratique et abordable à mettre en œuvre qu'elle l'est aujourd'hui. Traditionnellement, les organisations ont limité leurs implémentations MFA à un petit sous-ensemble d'utilisateurs spécialisés qui travaillent avec des informations présentant un niveau de risque plus élevé pour l'entreprise. Le coût et la facilité d'utilisation ont souvent été les facteurs limitant le déploiement à grande échelle des technologies d'authentification forte. Historiquement, les méthodes d'authentification forte étaient coûteuses à l'achat, au déploiement (y compris l'inscription des utilisateurs) et à l'administration. Mais récemment, on a assisté à une série de changements radicaux dans tous les secteurs, au sein des organisations elles-mêmes, de leurs clients (ou patients, citoyens, partenaires, etc.) et de la technologie à laquelle ils ont accès.

Quelles sont les principales motivations des entreprises pour mettre en œuvre l'authentification multifactorielle ?

Bien que chaque organisation ait ses propres exigences concrètes, il existe des moteurs commerciaux de haut niveau qui sont souvent communs à toutes les organisations : 

  • La plupart des secteurs d'activité doivent se conformer à un certain type de loi sur la protection de la vie privée concernant les informations relatives aux clients, aux patients ou aux finances. En outre, les agences gouvernementales continuent de renforcer leurs politiques exigeant l'AMF pour la vérification de l'identité de l'utilisateur.
  • Travail à distance - plus que jamais, les professionnels travaillent en dehors du bureau, soit en tant que travailleurs itinérants, soit en tant qu'employés à distance. Que ce soit dans le cadre de leurs pratiques de gestion des risques ou d'une initiative de conformité couvrant les informations (client, patient, citoyen, RH, etc.) qui sont soumises à des mandats d'authentification gouvernementaux.
  • Les utilisateurs puissants et les organisations au sein desquelles ils travaillent évoluent dans un monde omniprésent et connecté, ce qui signifie que lorsque leurs informations d'identification sont violées, la vulnérabilité exposée pour leur employeur est une force irrésistible pour sécuriser leurs comptes avec l'AMF.
  • Pratiquement tout le monde a un ordinateur connecté (smartphone) dans sa poche à partir duquel il mène sa vie : médias sociaux, contenu personnalisé pour le consommateur et commerce électronique. Parce que les clients s'attendent à interagir avec les entreprises de manière numérique sur leurs appareils, les organisations poursuivent souvent une stratégie agressive en matière d'applications mobiles et ont besoin de l'AFM pour gérer leurs risques. 

Quels sont les mandats qui exigent que les organisations utilisent l'AMF pour être en conformité ?

  • Le Federal Financial Institutions Examination Council (FFIEC) a publié en octobre 2005 des orientations demandant aux banques de réévaluer leurs protocoles de connexion, considérant que l'authentification à facteur unique, lorsqu'elle est utilisée comme seul mécanisme de contrôle, est inadéquate pour les transactions à haut risque impliquant l'accès ou le mouvement de fonds, et d'améliorer l'authentification en fonction du risque de leur service. Au-delà du mandat, les institutions financières sont également soumises à des exigences élevées pour gagner la confiance de leurs clients.
  • Gramm-Leach-Bliley Act (GLBA) - Les institutions financières américaines doivent garantir la sécurité et la confidentialité des dossiers de leurs clients.
  • L'article 404 de la loi Sarbanes-Oxley (SOX) exige que le PDG et le directeur financier des sociétés cotées en bourse certifient l'efficacité des contrôles internes de l'organisation.
  • L'exigence 8.2 de la norme PCI DSS définit les exigences en matière d'authentification, dont l'AMF pour l'accès à distance à l'environnement des données du titulaire de la carte (CDE). Il recommande également les méthodes à utiliser.

Quels sont les moyens de rendre l'AMF moins intrusive pour l'utilisateur ?

Les services informatiques ont accès à quelques technologies permettant de réduire les frictions que l'AMF peut potentiellement imposer aux utilisateurs :

  • Signature unique.
  • Évaluation des risques liés à une demande d'accès.
  • Associer le meilleur type d'authentification à l'utilisateur.

Authentification unique (SSO, single sign-on)

L'authentification unique (SSO) permet à un utilisateur de s'authentifier auprès de plusieurs ressources à partir d'une seule interaction de sa part, c'est-à-dire que l'utilisateur saisit un justificatif d'identité unique à partir duquel l'infrastructure qui lui est subordonnée s'authentifie auprès de chacune des ressources protégées en son nom au cours de cette session. L'approche la plus sûre du SSO est que le moteur d'authentification utilise un ensemble unique d'informations d'identification pour chaque ressource configurée pour le SSO. Cela permet de renforcer la sécurité à un niveau élevé :

  • L'utilisateur ne connaît pas le justificatif d'identité réel de la ressource, mais seulement le justificatif d'identité utilisé fourni à la passerelle d'authentification. Cela oblige l'utilisateur à utiliser la passerelle d'authentification plutôt que de se rendre directement à la ressource. Cela signifie également que chaque ressource dispose d'un justificatif d'identité unique, de sorte que si le magasin d'identité de l'une d'entre elles est violé, cela ne compromet pas les autres. Cette approche permet aux services informatiques de se conformer aux exigences de l'AMF tout en procédant à des authentifications en série des ressources protégées.  
  • En s'appuyant sur le contexte de l'utilisateur, la technologie basée sur le risque (RBA) peut être utilisée pour invoquer l'AMF uniquement lorsque cela est nécessaire. Qu'il s'agisse de se conformer à un mandat gouvernemental ou d'appliquer la politique de gestion des risques de l'organisation, la RBA peut être utilisée pour réduire le nombre de cas où une demande d'authentification est imposée à un utilisateur. Les politiques sont généralement un mélange de lieux, d'appareils et d'heures d'accès. 

Options d'authentification à faible friction

Si les OTP/TOTP traditionnels resteront le type le plus courant d'authentification à deuxième facteur, d'autres options peuvent s'avérer plus judicieuses dans une situation donnée. Les applications mobiles "push" hors bande offrent une option à faible friction par rapport à l'OTP, car tout ce que l'utilisateur doit faire est d'appuyer sur le bouton d'acceptation. Pour les situations à plus haut risque, certaines applications push ont l'option Les applications mobiles push peuvent être configurées pour demander une empreinte digitale afin de vérifier l'identité de la personne ainsi qu'une confirmation des informations, comme un numéro, présentées sur l'ordinateur de bureau afin de vérifier que l'utilisateur possède à la fois l'ordinateur de bureau et le smartphone.

La reconnaissance faciale devient rapidement l'authentification biométrique de choix. Le faible niveau de friction de Windows Hello, qui s'améliore au fil du temps, offre une expérience pratique à l'utilisateur. La principale difficulté réside dans le fait que Windows Hello ne fonctionne pas bien dans les différentes situations d'éclairage. Cette incapacité à reconnaître les visages en fonction de l'éclairage peut être gérée par des enregistrements faciaux supplémentaires. Plus récemment, certaines applications mobiles offrent la possibilité d'enregistrer les motifs de l'iris dans les yeux d'une personne. Utilisées ensemble (visage, empreintes digitales, iris), les options d'authentification biométrique placent la barre de sécurité assez haut pour qu'une personne extérieure puisse la franchir. Les méthodes biométriques constituent également une excellente option pour les organisations qui recherchent un moyen peu contraignant de se protéger contre les attaques par hameçonnage.

La reconnaissance vocale a gagné en popularité dans le secteur des services financiers. Les institutions l'apprécient parce qu'il est entièrement passif pour les clients lorsqu'ils parlent avec un représentant du service. Le représentant est informé de la vérification de l'identité du client. Ils utilisent la reconnaissance vocale en lieu et place des questions pièges pour les clients qui ont souvent du mal à se souvenir des réponses correctes à ces questions. Dans ce cas, la sécurité et la convivialité sont optimisées.

FIDO/FIDO2 sont des options intéressantes lorsque les utilisateurs se déplacent entre plusieurs appareils. Ce qui fait de FIDO une option d'authentification attrayante, c'est en partie le large soutien des fournisseurs et l'importance qu'ils accordent à la facilité d'utilisation. FIDO a connu un succès notable dans les universités qui accueillent un grand nombre d'étudiants utilisant toute une série de services numériques. FIDO permet la portabilité de l'authentification sans mot de passe sur différents appareils et plateformes.

Le profilage des gestes du smartphone est un type d'analyse comportementale qui effectue une analyse heuristique de la manière dont le propriétaire manipule et interagit physiquement avec son appareil. Les résultats sont des notes de confiance basées sur les schémas gestuels de suivi. Au fil du temps, le profilage gagne en confiance et développe la fidélité du geste. Bien qu'il ne soit pas suffisamment puissant pour constituer la forme principale de vérification de l'identité, le profilage gestuel pourrait être une méthode appropriée utilisée en conjonction avec d'autres types d'authentification.

En quoi NetIQ est-il différent des autres solutions MFA ?

Les équipes chargées de la sécurité mettent souvent en œuvre le logiciel d'appui fourni avec l'authentification qu'elles adoptent. Cela semble bien fonctionner jusqu'à ce que l'on achète des appareils différents qui nécessitent une implémentation logicielle différente, créant ainsi un autre silo. Dans les grandes organisations, il est tout à fait possible d'avoir plusieurs silos de technologies sans mot de passe utilisées pour l'authentification multifactorielle ou pour satisfaire à d'autres exigences d'authentification. La faiblesse de cette situation est que chaque silo d'authentification a son propre ensemble de politiques. La mise à jour de ces multiples magasins de règles nécessite une charge administrative plus importante et présente le risque d'avoir des règles inégales.

OpenText™ NetIQ™ Advanced Authentication est conçu pour répondre aux besoins d'authentification multifactorielle des plus grandes entreprises. Son approche fondée sur des normes offre une architecture ouverte, exempte des risques de verrouillage des fournisseurs. Le cadre prend en charge une variété d'appareils et de méthodes supplémentaires, mais il peut également être élargi au fur et à mesure que de nouvelles technologies sont mises sur le marché.

Indépendamment de la plateforme (web, mobile, client), AA fournit également un support prêt à l'emploi pour les plateformes et les applications les plus courantes. En plus de servir de moteur de politique centrale pour les authentifications à l'échelle de l'entreprise, AA offre également un moteur basé sur le risque pour contrôler quand l'AMF est invoquée ainsi que pour contrôler quels types d'authentification sont proposés selon les différents niveaux de risque. En plus de son propre moteur intégré, AA s'intègre à NetIQ Access Manager qui fournit un ensemble robuste d'options d'authentification unique et de mesures de risque qui peuvent être utilisées dans le cadre d'une gestion adaptative de l'accès.

Produits associés

OpenText™ NetIQ™ Advanced Authentication

Activez l'authentification multifactorielle et sans mot de passe pour une protection simple à l'échelle de votre entreprise.

OpenText™ NetIQ™ Access Manager

Assurez une authentification unique et un contrôle d'accès sur l'ensemble des plateformes mobiles, cloud et historiques.

Voir tous les produits apparentés

Comment pouvons-nous vous aider ?

Notes de bas de page