Il semble parfois qu'il ne se passe pas un jour sans qu'une fuite de mot de passe ne compromette un compte. On comprend d'ailleurs pourquoi la communauté de la sécurité consacre autant d'énergie à vanter les mérites des mots de passe longs et uniques auprès des utilisateurs. Un mot de passe robuste est en effet l'un des moyens les plus simples d'améliorer considérablement sa posture de sécurité. Malheureusement, ces mots de passe peuvent être divulgués ou volés dans le cadre d'une attaque de phishing ou autre. Le compte est alors compromis bien avant que l'utilisateur n'en prenne conscience.
L'authentification multifacteur (MFA), parfois appelée authentification à deux facteurs (2FA), est un moyen relativement simple et efficace d'empêcher un acteur malveillant d'accéder à un compte à l'aide d'un mot de passe volé. Mais comment se fait-il qu'autant de comptes ne soient pas protégés par la MFA ?
- Certains services ne prennent tout simplement pas encore en charge la MFA.
- L'utilisateur ne sait pas qu'il peut activer la MFA sur la plateforme qu'il utilise.
- Il n'a pas pris le temps de configurer la MFA parce qu'il se pense à l'abri de toute compromission.
- Il ne veut pas devoir passer par plusieurs étapes d'authentification.
- Il ne comprend pas le risque qu'il court en se privant de la MFA.
Commençons par mieux comprendre la MFA en abordant les différents facteurs d'authentification et en explorant des exemples d'implémentation. Ce sera l'occasion de voir à quel point la MFA est rapide et facile à mettre en œuvre et à utiliser. Il n'y a aura plus d'excuses pour ne pas l'activer !
Facteurs d'authentification
Avant d'étudier le fonctionnement de l'authentification multifacteur, voyons quels sont les différents facteurs d'authentification. Nous avons tous l'habitude de saisir un mot de passe pour nous authentifier auprès d'un site web ou d'un service. Le mot de passe est la forme d'authentification la plus courante, mais il est loin d'être la seule.
Il existe trois facteurs d'authentification :
- Une information que vous connaissez, comme un mot de passe, un code PIN ou la réponse à une question de sécurité
- Un objet que vous possédez, comme une application sur votre téléphone, une clé de sécurité physique ou une carte à puce.
- Une caractéristique de ce que vous êtes, comme votre empreinte digitale, votre visage ou votre rétine.
Quelle est la différence entre la MFA, la 2SV et la 2FA ?
L'authentification multifacteur (MFA) désigne de manière générale tout processus d'authentification nécessitant au moins deux facteurs pour accéder à un service.
La vérification en deux étapes (2SV) n'est pas un type de MFA, car elle emploie deux facteurs d'authentification appartenant à la même catégorie. Elle demande par exemple un mot de passe et une question de sécurité (deux informations que vous connaissez), ou bien une empreinte digitale et la reconnaissance faciale (deux caractéristiques de ce que vous êtes).
L'authentification à deux facteurs (2FA) est une forme de MFA, et sans doute celle que vous connaissez le mieux. Contrairement à la 2SV, la 2FA exige deux facteurs d'authentification différents. Généralement, il s'agit d'un mot de passe (une information que vous connaissez) et d'un code aléatoire envoyé par SMS ou fourni par une application de mot de passe éphémère à usage unique (TOTP), consulté sur un objet que vous possédez. La 2FA peut également utiliser la biométrie (une caractéristique de ce que vous êtes) et une carte à puce (un objet que vous possédez).
SMS ou TOTP ?
L'authentification multifacteur peut employer de nombreuses combinaisons de facteurs, mais nous allons nous attarder sur l'association d'un mot de passe et d'un code aléatoire à six chiffres, car il s'agit de la forme d'authentification multifacteur la plus répandue aujourd'hui. Ces codes aléatoires à six chiffres générés, ou mots de passe à usage unique (OTP), sont envoyés par e-mail, par SMS ou par une application TOTP, souvent appelée « application d'authentification ». Pensez par exemple à Microsoft Authenticator, que vous utilisez peut-être pour vous connecter à votre compte Microsoft.
Envoyé à votre numéro de téléphone mobile, le SMS est un moyen pratique de recevoir votre OTP. Mais cette méthode n'est pas sûre à 100 % : certains pirates utilisent des techniques d'ingénierie sociale pour inciter les utilisateurs à leur révéler leur code unique. Il faut aussi savoir, même si c'est moins courant, que des pirates peuvent compromettre des portables par « échange de cartes SIM », en manipulant l'opérateur de téléphonie pour l'amener à transférer un numéro de téléphone sur leur propre carte SIM, et donc de recevoir les SMS adressés à leur victime.
Beaucoup plus difficiles à compromettre, les applications TOTP constituent donc une option plus sûre que les OTP délivrés par SMS. Ces applications génèrent toutes les trente secondes un code aléatoire à six chiffres qui permet de s'authentifier.
Si vous avez le choix entre SMS et application TOTP, optez toujours pour la deuxième. Non seulement les applications TOTP constituent l'option la plus sûre, mais elles sont également plus faciles à utiliser lorsqu'on travaille en équipe et qu'on utilise un gestionnaire de mots de passe. Mais si le service qui vous intéresse n'est pas compatible avec les applications TOTP et qu'il propose l'envoi de code par SMS, activez-le : c'est toujours préférable à l'absence de MFA.
Comment prendre un bon départ avec la MFA ?
De nombreuses applications courantes utilisent une forme ou une autre de MFA. Si ce n'est pas encore le cas, pensez à l'activer avec ces comptes fréquemment utilisés :
Si votre compte ne figure pas dans la liste ci-dessus, pensez à regarder dans les réglages s'il propose une option de MFA.
Principaux points à retenir
- La MFA utilise deux facteurs différents : ce que vous savez, ce que vous avez ou ce que vous êtes.
- La MFA est un excellent moyen d'ajouter une couche de sécurité à vos comptes.
- Lorsqu'elle est proposée, l'utilisation d'une application d'authentification TOTP est plus sûre que l'envoi de code temporaire par SMS.
- Pour commencer, consultez les réglages de vos comptes pour savoir si la MFA est disponible.
S’abonner au blog de Jamf
Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.
