Le mot de passe est devenu en quelques années un élément incontournable de notre vie quotidienne. Nous les utilisons pour protéger nos appareils (ordinateurs, tablettes, smartphones, etc…), nos données, ou encore pour restreindre l’accès aux services que nous utilisons (comptes mail, applications bancaires, etc…). Mais le mot de passe est loin d’être un moyen d’authentification totalement fiable, et constitue de ce fait un risque pour les utilisateurs.
En effet, nous devons faire face à une multitude de comptes à créer, et donc à retenir. Il est alors très courant pour un utilisateur d’utiliser toujours le même mot de passe ou de choisir un mot de passe simple, facile à retenir et à saisir. Ensuite, il est relativement simple pour un malware de ” capturer ” un mot de passe. Les keyloggers par exemple, surveillent les touches du clavier et transmettent les mots de passe saisis à l’attaquant.
L’actualité, et notamment les nombreuses attaques massives visant à compromettre des mots de passe (1 milliard de comptes Yahoo piratés, 145 millions de comptes eBay ou encore 117 millions de comptes LinkedIn, et plus récemment le géant mondial du VTC Uber avec plus 57 millions de victimes, dont au moins 600 000 chauffeurs nous le démontrent : Un simple mot de passe ne suffit plus à nous protéger.
Les réglementations (GDPR, NIS, LPM, DSP2, etc..) se sont donc durcies afin de mieux protéger les utilisateurs. Par exemple la directive sur les services de paiement (DSP2) entrée en vigueur le 13 janvier 2018, impose aux établissement bancaires une authentification forte des clients lorsque ceux-ci accèdent à leur compte de paiement en ligne, initient une opération de paiement, ou exécutent une action susceptible de comporter un risque de fraude.
Qu’est-ce que l’authentification forte ?
L’authentification forte est une méthode permettant à un utilisateur de s’identifier/authentifier auprès d’un fournisseur de services en demandant une combinaison de deux méthodes d’authentification différentes parmi :
- Ce que l’on sait (ex : un mot de passe)
- Ce que l’on possède (ex : le téléphone qui reçoit un mot de passe)
- Ce que l’on est (ex : une caractéristique biométrique)
Il existe également des mécanismes d’authentification émergents qui s’appuient sur :
- L’emplacement où vous êtes (ex : géolocalisation)
- Les personnes que vous connaissez (ex : réseaux sociaux)
- Ce que vous êtes en train de faire (ex : analyse comportementale)
L’authentification forte permet donc de renforcer le niveau de sécurité lors de la connexion des utilisateurs à l’accès aux services.
Techniquement, l’authentification forte est généralement implémentée au niveau d’un service centralisé appelé ” Identity Provider “ et est ensuite consommée par le ” Service Provider “ qui se charge de donner l’accès à la ressources demandée.
La communication entre les ” Identity Provider ” et les ” Service Provider ” repose sur des protocoles sécurisés permettant le transport de l’identité et des habilitations. Il existe différents protocoles tels que SAML ou OAuth permettant de garantir l’intégrité des échanges en signant numériquement les données qui sont échangées.
Quelles sont les différentes solutions d’authentification forte ?
Aujourd’hui, les mécanismes d’authentification forte les plus utilisés sont :
-
Les OTP (One-Time Password) par SMS
Ce mécanisme consiste à recevoir par SMS un mot de passe à usage unique (utilisable pour une durée déterminée) qui sera renseigné lors du processus d’authentification. Ce mécanisme est utilisé par de très nombreux établissements bancaires, notamment lors de la réalisation d’achats sur internet.
-
Les OTP (One-Time Password) par soft token
Ce mécanisme consiste à générer un mot de passe unique via une application sur son smartphone. Il nécessite donc que l’utilisateur installe sur son smartphone l’application contenant le soft token (il peut s’agir directement de l’application de la banque en question).
- Les OTP (One-Time Password) par hard token
Ce mécanisme consiste à générer un mot de passe unique via un ” token physique “. Le token RSA est un exemple célèbre de hard token. Le hard token génère un mot de passe aléatoire, valable pour une durée déterminée, qui est demandé lors de l’authentification de l’utilisateur.
-
Les certificats logiciels
L’authentification par certificats repose sur une technologie de chiffrement qui permet de chiffrer (ou signer) un message sans avoir à partager de ” secret “. L’identifiant est un certificat public signé par une autorité de certification reconnue.
-
La biométrie
Considérée comme une des méthodes les plus prometteuses, la biométrie est de plus en plus utilisée dans le processus d’authentification forte. On distingue quatre cas d’utilisation de la biométrie :
- La reconnaissance digitale
- La reconnaissance vocale
- La reconnaissance d’iris
- La reconnaissance faciale
Conclusion : quelle solution d’authentification choisir ?
Le choix de la solution d’authentification forte repose sur trois principaux critères :
- Le niveau de sécurité
- L’expérience utilisateur
- Le coût
Il est recommandé d’adopter une approche souple, en implémentant une méthode d’authentification basée sur le niveau de risque, et de choisir une solution qui permettra de s’adapter en cas de besoins. Cette approche offre généralement le meilleur compromis entre un niveau de sécurité élevé et une bonne expérience utilisateur.
Compte tenu de la multitude de solutions d’authentification forte, il est également recommandé d’évaluer soigneusement chacune des solutions disponibles en se posant les questions suivantes :
- Quel est le niveau de sensibilité de mes données métier ?
- Mes utilisateurs doivent-ils accéder à de nombreuses applications protégées par un mot de passe ?
- Mes utilisateurs doivent-ils se connecter à distance ?
Weave accompagne ses clients dans le cadrage, la conception, le pilotage et la mise en place de solution d’authentification adaptée à leur environnement. Nous aidons nos clients à simplifier leurs accès aux applications en offrant un service d’authentification unique qui s’adapte aux besoins de sécurité. Nous centralisons dès que possible les mécanismes d’authentification et de contrôle d’accès pour mieux maîtriser les risques liés à l’accès aux ressources du SI et nous nous appliquons à mettre en place un niveau de traçabilité homogène et cohérent pour se conformer aux réglementations et répondre aux besoins des fonctions de contrôle.
Sources