#BackToBasics : de l’identification à l’authentification forte, multifacteur et adaptative

Le dossier complet sur l’authentification forte, multifacteur ou adaptative

De l’identification à l’authentification forte

L’identification consiste à établir l’identité de l’utilisateur, il s’agit de répondre à la question « Qui êtes-vous ? ». Cette action individuelle est uniquement déclarative. En effet, si je réponds à la question par « Bonjour, je m’appelle Marc-Eric », rien ne vous prouve à ce stade que je dis vrai.

C’est là que l’authentification entre en jeu et notamment l’authentification forte qui permet à l’utilisateur d’apporter la preuve de son identité. Fournir mon prénom n’est pas suffisant, même en supposant qu’il est unique, pour garantir à mon interlocuteur que je suis bien qui je prétends être.

L’authentification intervient donc naturellement après la phase d’identification et permet de répondre à la question : « Êtes-vous réellement cette personne ? ».

Concrètement, je commence par m’identifier, « Bonjour je m’appelle Marc-Eric », et ensuite j’apporte à mon interlocuteur une preuve en m’authentifiant, « et voici ma carte d’identité».

À ce stade, mon interlocuteur peut m’accorder un degré de confiance modéré et c’est pourquoi un système qui utilise seulement un facteur d’authentification est appelé « authentification simple ».

Cependant, si je reprends mon exemple, qui vous dit que ma carte d’identité n’est pas fausse ? Si je souhaite apporter à mon interlocuteur un niveau de confiance plus élevé, je dois pouvoir fournir plusieurs preuves distinctes de mon identité. C’est le concept même de l’authentification forte qui s’applique dans le monde numérique et qui consiste à prouver qui je suis en utilisant au moins 2 facteurs distincts parmi les suivants :

  • Un facteur de propriété, c’est-à-dire un élément que je détiens comme par exemple ma carte d’identité, mon smartphone, une clé de sécurité USB (Yubikey, Winkeo, etc.), une carte à puce, etc.
  • Un facteur d’inhérence, c’est-à-dire quelque chose qui me constitue comme par exemple mon empreinte digitale, veineuse ou rétinienne, ma voix, mon visage, etc.
  • Un facteur de connaissance, c’est à dire un élément que je connais, comme par exemple un code PIN, un mot de passe ou encore le nom de jeune fille de ma mère associé à ma couleur préférée.

Cumuler plusieurs facteurs d’authentification permet de réduire le risque d’usurpation d’identité. Un attaquant peut par différents biais obtenir mon mot de passe, une copie de ma carte SIM (SIM swapping) ou une reproduction de mon empreinte digitale. Cependant, chacune de ces opérations a un coût et un certain degré de complexité. Multiplier les facteurs d’authentification permet de complexifier la tâche de l’attaquant

Authentification forte, authentification multifacteur, 2FA, quelles différences ?

De manière générale, ce sont aujourd’hui les termes d’authentification multifacteur ou MFA qui sont utilisés pour définir cette authentification forte à plusieurs facteurs. Mais on parle bien de la même chose !

J’en profite ici pour donner une liste de quelques synonymes :

  • MFA : acronyme anglais de Multi-Factor Authentification
  • 2FA : acronyme anglais de Two-Factor Authentification. On peut également trouver la version francisée 2FA pour Authentification 2 facteurs, ou Authentification double facteur. Il s’agit ici d’un procédé d’authentification forte qui limite le nombre de facteurs à 2.
  • FIDO – U2F : acronyme anglais qui signifie « Fast ID Online – Universal Second Factor ». Il s’agit d’une norme d’authentification forte à 2 facteurs qui implique le plus souvent l’usage d’un périphérique USB ou NFC. La norme FIDO – U2F a été améliorée avec la norme FIDO 2 en collaboration avec Microsoft.
  • WebAuthn : il s’agit d’un standard élaboré par le World Wide Web Consortium (W3C) et issu des spécifications FIDO 2 de l’alliance FIDO. Il propose une interface d’authentification des utilisateurs aux applications Web à l’aide de clés asymétriques et a notamment pour objectif la disparition des mots de passe.

Les termes sont certes nombreux mais ce qu’il faut surtout retenir c’est que l’authentification forte est plus que jamais un des fondamentaux pour les organisations en termes de cybersécurité, surtout à l’heure où mobilité et télétravail créent de nouveaux risques sur les systèmes d’information.

Dans son guide d’hygiène informatique, l’ANSSI* recommande d’ailleurs fortement de « Privilégier lorsque c’est possible une authentification forte » et précise qu’ « Il est vivement recommandé de mettre en œuvre une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents ».

* Source : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

L’authentification forte dans la banque (DSP2) : la clé de la confiance

Renforcer l’accès de ses utilisateurs au SI est un point clé de la conformité réglementaire dans de nombreux secteurs d’activité où les données sont sensibles.

Prenons ici l’exemple du secteur bancaire et de la directive DSP2 sur les Services de Paiement. L’un des objectifs de la directive est de protéger les consommateurs dans un contexte où les fraudes sont de plus en plus fréquentes comme l’a rappelé la FBF fin 2020. Elle rend ainsi obligatoire l’usage d’une authentification forte par exemple dans les 3 cas suivants :

  • Accéder à ses comptes de paiement en ligne ou plus simplement à son espace client. L’authentification forte devra être renouvelée à minima tous les 90 jours.
  • Réaliser un paiement en ligne de plus de 30€, ou 50€ pour les paiements sans contact, tels qu’un paiement par CB ou un virement.
  • Exécuter une action en ligne qui est susceptible d’avoir un impact ou une origine frauduleuse comme par exemple la modification de son numéro de mobile sur son espace client bancaire.

L’authentification forte et toutes ses déclinaisons évite qu’un simple mot de passe soit suffisant pour obtenir un accès aux systèmes sensibles.

Chez Ilex, nous travaillons avec de nombreux clients bancaires confrontés à de forts enjeux de sécurité et conformité, qui ont déployé l’authentification forte dans le cadre de la DSP2. C’est le cas par exemple à La Banque Postale, BNP Paribas ainsi que chez Natixis, établissement financier français de dimension internationale, avec son programme « Global Adaptive Access Platform » (GAAP). La ligne directrice du programme est de concilier sécurité, ergonomie et conformité réglementaire. Un très beau projet dont je vous recommande de lire le témoignage.

L’analyse comportementale au sein du process d’authentification : l’authentification adaptative ou l’évaluation dynamique du besoin d’authentification

Quid de l’analyse comportementale au sein du process d’authentification ?

L’analyse comportementale est un facteur d’authentification en ce sens où le comportement d’une personne va influer sur notre confiance en elle.

Plus concrètement, en associant des habitudes à un utilisateur puis en mesurant l’écart entre les habitudes et le comportement en cours lors d’une authentification, le système calculera un score qui permettra d’adapter la séquence d’authentification.

Prenons l’exemple d’un utilisateur souhaitant accéder à une application qui « normalement » requiert une authentification par mot de passe. S’il obtient un score trop faible, lié à un changement de comportement, il sera possible d’exiger une authentification forte ou même de lui refuser l’accès à la ressource.

Si l’analyse comportementale des utilisateurs peut nécessiter une phase d’apprentissage longue et continue, il est également possible pour une organisation de se baser sur des critères simples et contextuels tels que :

  • L’empreinte de l’appareil utilisé
  • Les plages horaires habituelles de connexion
  • Une liaison avec le logiciel RH pour déterminer si l’utilisateur est en congés
  • La durée de connexion
  • La connexion depuis le réseau interne de l’entreprise ou depuis l’extérieur
  • La tentative d’accès à des applications sensibles
  • Le geoprofilling ou la vérification de la position géographique de l’utilisateur. Celle-ci est très rarement exacte mais elle permet par exemple d’analyser la localisation d’un utilisateur d’une connexion à la suivante et de calculer le temps qu’il lui faudrait pour voyager entre ces deux points. Si ce temps de transport est incohérent, alors une règle peut être appliquée pour lui demander une réauthentification ou lui refuser l’accès.

C’est ce que l’on appelle l’authentification adaptative. Elle permet dans ce cas d’adapter le niveau d’authentification et de sécurité nécessaires pour accéder à chaque ressource du système d’information en fonction du contexte dans lequel se trouve l’utilisateur.

Elle s’appuie sur l’évaluation d’un risque, basée par exemple sur la détection d’une tentative d’accès depuis un nouvel équipement, une nouvelle localisation ou une plage horaire inhabituelle.

Ainsi, pour accéder à une même application ou pour utiliser un même poste de travail, l’utilisateur se verra peut-être demander des niveaux d’authentification différents, selon l’évaluation dynamique du niveau de confiance dans lequel il se trouvera.

L’authentification adaptative est une brique de sécurité essentielle car elle fonctionne en temps réel pour aider à prévenir la cyberfraude.

Ici encore, j’en profite pour donner quelques synonymes de l’authentification adaptative : authentification contextuelle, authentification basée sur le risque ou RBA (risk based authentication).

Quand mettre en place un système d’authentification forte ?

Qu’il s’agisse de répondre à des contraintes réglementaires, de renforcer la sécurité des accès au système d’information ou d’améliorer l’expérience utilisateur en se débarrassant de l’usage des mots de passe, l’authentification forte, double ou multifacteur est un excellent moyen de répondre à ces trois grands enjeux qui sont au cœur d’une stratégie IAM globale.

Cependant, l’accès au SI est un sujet complexe qui implique différentes populations d’utilisateurs, des contextes de connexion nombreux et variés, un vaste parc applicatif, etc. Il n’existe pas de moyen universel et je vous invite à lire le billet d’Olivier Morel pour aller plus loin et comprendre comment accompagner et sécuriser les usages des collaborateurs, et non les restreindre ou les modifier en leur imposant un moyen d’authentification inadapté.

La crise sanitaire que nous traversons en ce moment impose de maîtriser les identités des utilisateurs nomades et leurs habilitations sur le système d’information. Pour beaucoup d’organisations, cela reste complexe de gérer les risques cyber auxquels sont exposés leurs collaborateurs à distance, d’autant plus avec la généralisation des services Cloud par exemple. Sur ce point, l’authentification forte multifacteur (ou MFA pour Multifactor Authentication) apporte des garanties de sécurité optimales et immédiates.

Pour conclure

Je dirais que l’authentification n’a eu cesse d’évoluer pour s’adapter aux nouveaux enjeux de cybersécurité des organisations. C’est notamment une brique fondamentale aujourd’hui dans l’élaboration d’une stratégie Zero Trust. En associant les technologies d’authentification multifacteur et contextuelle, de contrôle d’accès et de gestion des habilitations, il est possible de mettre en place une vérification systématique, continue et dynamique des accès, conforme à une politique de sécurité plus agile et adaptée au contexte du monde numérique actuel.

Les entreprises qui tardent à adopter des méthodes d’authentification plus sûres et plus efficaces s’exposent à des risques en termes de protection de leurs ressources, leurs employés, leurs clients.

Ceci prend tout son sens à l’heure où l’ANSSI confirme une véritable explosion des cyberattaques en France.

J’ai l’exemple en tête de l’éditeur Cyble qui a lancé l’an dernier une alerte concernant la mise à disposition de 500.000 couples login/MDP Zoom sur le DarkWeb**. Ces identifiants ont en fait été récoltés lors de précédents piratages puis réutilisées sur Zoom (Credential stuffing). La faille venait des utilisateurs qui utilisent très souvent le même mot de passe, un mot de passe proche ou un mot de passe fabriqué selon le même algorithme. Il s’agit d’un défaut « utilisateur » très fréquent.

Ceci n’est qu’un exemple parmi tant d’autres malheureusement de vol de données qui permettent in fine d’amorcer une intrusion dans le SI.

Une authentification forte impliquant donc 2 facteurs indépendants, ou l’usage d’une authentification adaptative associée à une analyse comportementale, limite fortement ce type d’attaques.

N’attendez pas d’être attaqué pour réagir !

** Source : https://www.lemondeinformatique.fr/actualites/lire-500-000-comptes-zoom-en-vente-sur-le-darkweb-78769.html