Glossaire relatif à la confidentialité

Authentification multifacteur

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que l’authentification multifacteur ?

L’authentification multifacteur (MFA) est un processus de connexion qui nécessite plusieurs formes de preuve d’identité, souvent incluant un mot de passe, des données biométriques ou un jeton de sécurité. Lors de la connexion, une personne fournit une identité, par exemple un nom d’utilisateur ou un e-mail, puis authentifie cette identité en fournissant des informations supplémentaires comme un mot de passe. Chaque élément d’authentification est appelé un facteur. L’authentification multifacteur nécessite plus d’un facteur pour authentifier l’identité déclarée de l’individu. Une configuration d’authentification multifacteur courante est un ID utilisateur suivi d’un mot de passe, puis d’un code temporaire de 6 à 7 chiffres.

Un terme similaire est l’authentification à deux facteurs, également appelée authentification en deux étapes ou 2FA. Ce terme précise que exactement 2 facteurs sont requis, tandis que le terme plus général d’authentification multifacteur signifie que deux facteurs ou plus sont nécessaires. L’authentification multifacteur devient de plus en plus courante en tant que processus de connexion facultatif ou obligatoire. L’authentification multifacteur peut être utilisée pour se connecter à un ordinateur, déverrouiller un appareil mobile, ou se connecter à un compte ou une application. L’authentification multifacteur est particulièrement courante lors de la connexion à un compte sur un appareil précédemment non utilisé pour accéder à ce compte.

Pourquoi l’authentification multifacteur est-elle populaire ?

Des habitudes de sécurité laxistes et des outils de piratage améliorés ont affaibli la sécurité du processus de connexion traditionnel d’un ID utilisateur et d’un mot de passe. Face à tant d’ID et de mots de passe à retenir, les utilisateurs ont souvent tendance à utiliser une adresse e-mail pour un ID, et à réutiliser des mots de passe pour plusieurs connexions. Cela facilite le piratage des comptes, en particulier avec les méthodes de piratage plus avancées actuelles et les méthodes d’ingénierie sociale.

Les facteurs supplémentaires requis par une connexion d’authentification multifacteur ajoutent de la complexité et rendent plus difficile de percer les couches de sécurité. Un pirate peut apprendre l’ID d’un utilisateur (surtout si c’est une adresse e-mail), et peut acquérir un mot de passe stocké par le biais d’une violation de données, d’un hameçonnage (phishing), ou d’un décryptage de mot de passe. Mais si le pirate n’a pas accès à la source du facteur supplémentaire (par exemple, s’il ne peut pas obtenir le code à 6 chiffres envoyé au téléphone mobile du propriétaire du compte), alors il ne pourra pas terminer le processus de connexion. De plus en plus de propriétaires de bases de données et de fournisseurs de services comptent sur l’authentification multifacteur pour sa sécurité améliorée contre l’accès non autorisé aux comptes.

Comment fonctionne l’authentification multifacteur ?

Pour être la plus efficace possible, les facteurs doivent être de types différents ou provenir de sources différentes. Utiliser deux mots de passe n’est pas beaucoup plus sûr que d’en utiliser un seul. Une violation de données qui contient un mot de passe aura très probablement le second mot de passe également.

Les facteurs sont généralement divisés en trois catégories :

  • Quelque chose que vous savez. C’est généralement un mot de passe ou un code PIN mémorisé.
  • Quelque chose que vous avez. Souvent un générateur de jeton ou une application sur votre appareil mobile, ou un message SMS envoyé à votre appareil.
  • Quelque chose que vous êtes. Souvent votre empreinte digitale ou un scan de votre visage.

Les combinaisons de ces types d’authentification (savoir + avoir, savoir + être, avoir + être) sont plus difficiles à pirater ou à voler. Quelqu’un pourrait être capable de voler un mot de passe, mais pas une empreinte digitale. Et s’ils n’ont pas votre téléphone portable, ils ne peuvent pas recevoir les codes d’authentification envoyés.

Types d’authentification multifacteur

Mot de passe à usage unique (OTP)

Ce processus d’authentification multifacteur est familier à beaucoup de gens. Il nécessite que l’utilisateur entre un code de 6 à 7 chiffres envoyé à son téléphone portable, par e-mail ou par message vocal. Cela relève du type de facteur « en possession de »; par exemple, cela suppose que l’utilisateur légitime détient le téléphone recevant le code texté ou enregistré vocalement. Ces codes ne sont souvent valides que pour une durée limitée, peut-être 10 à 20 minutes. L’expiration diminue la probabilité que le code soit deviné avant qu’il ne soit obsolète.

Recevoir un OTP par texto a quelques inconvénients :

  • Les SMS non sécurisés peuvent être interceptés.
  • Le hameçonnage (phishing) est un problème. Les utilisateurs peuvent être dupés en fournissant un OTP lorsqu’un pirate envoie un SMS ou un e-mail en prétendant être l’organisation avec laquelle vous tentez de vous connecter. Par exemple, le pirate tentant de se connecter en utilisant un ID et un mot de passe volés pourrait envoyer un texte avec un lien vers un site web falsifié. Le faux site web collectera l’OTP que l’utilisateur saisit sans le savoir, puis le pirate pourra utiliser le code sur le vrai site web.
  • Un appareil mobile volé avec une mauvaise sécurité personnelle peut mettre les SMS entre les mains du voleur.
  • Vous avez besoin d’un appareil mobile et d’une bonne connexion Internet pour recevoir le texto avec le code.
  • Un attaquant peut convaincre votre fournisseur de services mobiles de transférer votre numéro vers une nouvelle carte SIM (souvent appelé une « attaque par échange de module SIM »).

OTP basé sur un jeton

Un jeton de sécurité OTP peut être un logiciel installé sur l’appareil de l’utilisateur, ou un petit appareil physique possédé par l’utilisateur. Les appareils physiques sont souvent un porte-clés ou une carte intelligente; un appareil de la taille d’une carte de crédit; avec un écran LCD. L’écran fournit un nouveau code unique à intervalles réguliers (comme toutes les 30 ou 60 secondes). Les versions logicielles sont également appelées « applications d’authentification » (authenticator apps) et gagnent en popularité. Les applications d’authentification sont installées sur l’appareil de l’utilisateur (téléphone ou tablette) et fournissent un OTP, remplaçant le texto, l’e-mail ou le message vocal. Une seule application d’authentification peut gérer les codes pour plusieurs comptes de connexion.

Similaire à l’OTP par texto, l’authentification multifacteur basée sur un jeton utilise les catégories « savoir » et « avoir » de l’authentification, mais est plus sécurisée car elle évite les faiblesses des SMS OTP. L’inconvénient d’un jeton physique est qu’il peut être perdu, volé ou simplement oublié (à la maison ou dans la voiture), laissant l’utilisateur incapable de se connecter.

Clés matérielles

Les clés de sécurité matérielles sont de petits appareils physiques qui se branchent à votre ordinateur ou appareil mobile, parfois via un port USB ou une entrée d’alimentation. Certains modèles peuvent communiquer avec votre appareil sans fil. La plupart sont suffisamment petites pour être transportées sur un porte-clés lorsqu’elles ne sont pas utilisées.

Leurs avantages et inconvénients sont similaires à ceux d’un appareil OTP basé sur un jeton, mais elles peuvent gérer plus que des mots de passe à usage unique. Selon le modèle, elles peuvent également stocker et utiliser des mots de passe permanents et d’autres protocoles de sécurité pour vous. Certaines incluent des lecteurs d’empreintes digitales pour l’authentification avant l’exécution du logiciel. Les clés matérielles peuvent également être intégrées directement dans l’enclave sécurisée d’un appareil (une méthode de plus en plus courante avec le soutien généralisé des clés d’accès).

Notification push

Pour ce processus d’authentification multifacteur, la première étape consiste à se connecter comme d’habitude, en utilisant un ID et un mot de passe. Ensuite, le serveur chargé d’authentifier l’utilisateur « pousse » un message via l’application vers l’appareil choisi par l’utilisateur (généralement son téléphone portable) et demande à l’utilisateur de confirmer qu’il essaie de se connecter. Bien qu’aucune information ne soit fournie comme pour l’OTP, cela compte comme un deuxième facteur du type « en possession de » parce qu’il utilise un appareil physique (le téléphone) associé au bon utilisateur. La notification push bénéficie également de la couche de sécurité sur le téléphone ; l’utilisateur doit déverrouiller le téléphone (avec empreinte digitale, reconnaissance faciale ou code PIN) pour approuver.

Une notification push peut servir d’avertissement à l’utilisateur si une personne non autorisée tente de se connecter à son compte. Cependant, elle peut aussi être vulnérable aux attaques de hameçonnage. Un acteur malveillant peut faire envoyer plusieurs notifications push (en essayant de se connecter plusieurs fois), jusqu’à ce que l’utilisateur finisse par appuyer sur « Accepter » par frustration ou confusion. C’est ce qu’on appelle une « attaque de fatigue multifactorielle » ou « push bombing »

Meilleures pratiques pour utiliser l’authentification multifacteur

L’authentification multifacteur offre des couches de sécurité supplémentaires à vos activités en ligne. Voici quelques conseils pour profiter des avantages de l’authentification multifacteur :

  • Activez l’option d’authentification multifacteur dès que possible.
  • Si l’unique option d’authentification multifacteur disponible est le code OTP par SMS, il est recommandé de l’utiliser plutôt que de ne rien faire. Cependant, il est recommandé d’utiliser un numéro de téléphone prépayé distinct ou un numéro Google Voice uniquement pour recevoir ces codes OTP par SMS.
  • Ne partagez jamais un code à usage unique avec qui que ce soit.
  • Si vous recevez un texte ou une autre notification avec un OTP que vous n’avez pas demandé, contactez l’organisation et vérifiez vos comptes. Mais n’utilisez pas les liens non sollicités par SMS ou e-mail pour le faire ; ils pourraient être des tentatives de hameçonnage (phishing). Au lieu de cela, tapez vous-même l’adresse du site web ou utilisez un favori enregistré précédemment.
  • Évaluez soigneusement les notifications push, surtout si vous en recevez plusieurs fois. Cela indique probablement que quelqu’un essaie de pirater votre compte.
  • Lorsque c’est possible, configurez l’authentification multifacteur via une application d’authentification. Il y en a plusieurs disponibles pour n’importe quel appareil mobile. Elles sont généralement gratuites à télécharger et à utiliser.

Quel est l’avenir de l’authentification multifacteur ?

Un développement récent de l’authentification multifacteur est un processus résistant au hameçonnage appelé clé d’accès. Lorsque vous créez un compte en utilisant des clés d’accès, votre appareil ou application stockera la clé d’accès de manière sécurisée et la liera seulement au site web pour lequel elle a été initialement enregistrée. Ensuite, chaque fois que vous utiliserez ce service, votre appareil vérifiera automatiquement que vous êtes bien sur le bon site avant de vous authentifier avec la clé d’accès. Si vous cliquez par erreur sur un faux site de hameçonnage, votre appareil ne reconnaîtra pas le site web et ne pourra pas trouver la clé d’accès correcte pour se connecter. Dans ce cas, la tentative de hameçonnage est bloquée avec succès, et vous restez en sécurité.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.