IOT & Cyber

Cybersécurité : quels sont les moyens d’authentification ?

9 février 2018

Profil linkedin de Bertrand Helfre
Bertrand Helfre
B. Helfre
Profil linkedin de Arthur Chedeville
Arthur Chedeville
A. Chedeville

Le mot de passe est devenu en quelques années un élément incontournable de notre vie quotidienne. Nous les utilisons pour protéger nos appareils (ordinateurs, tablettes, smartphones, etc…), nos données, ou encore pour restreindre l’accès aux services que nous utilisons (comptes mail, applications bancaires, etc…). Mais le mot de passe est loin d’être un moyen d’authentification totalement fiable, et constitue de ce fait un risque pour les utilisateurs.

En effet, nous devons faire face à une multitude de comptes à créer, et donc à retenir. Il est alors très courant pour un utilisateur d’utiliser toujours le même mot de passe ou de choisir un mot de passe simple, facile à retenir et à saisir. Ensuite, il est relativement simple pour un malware de ” capturer ” un mot de passe. Les keyloggers par exemple, surveillent les touches du clavier et transmettent les mots de passe saisis à l’attaquant.

L’actualité, et notamment les nombreuses attaques massives visant à compromettre des mots de passe (1 milliard de comptes Yahoo piratés, 145 millions de comptes eBay ou encore 117 millions de comptes LinkedIn, et plus récemment le géant mondial du VTC Uber avec plus 57 millions de victimes, dont au moins 600 000 chauffeurs nous le démontrent : Un simple mot de passe ne suffit plus à nous protéger.

Les réglementations (GDPR, NIS, LPM, DSP2, etc..) se sont donc durcies afin de mieux protéger les utilisateurs. Par exemple la directive sur les services de paiement (DSP2) entrée en vigueur le 13 janvier 2018, impose aux établissement bancaires une authentification forte des clients lorsque ceux-ci accèdent à leur compte de paiement en ligne, initient une opération de paiement, ou exécutent une action susceptible de comporter un risque de fraude.

Qu’est-ce que l’authentification forte ?

L’authentification forte est une méthode permettant à un utilisateur de s’identifier/authentifier auprès d’un fournisseur de services en demandant une combinaison de deux méthodes d’authentification différentes parmi :

  • Ce que l’on sait (ex : un mot de passe)
  • Ce que l’on possède (ex : le téléphone qui reçoit un mot de passe)
  • Ce que l’on est (ex : une caractéristique biométrique)

Il existe également des mécanismes d’authentification émergents qui s’appuient sur :

  • L’emplacement où vous êtes (ex : géolocalisation)
  • Les personnes que vous connaissez (ex : réseaux sociaux)
  • Ce que vous êtes en train de faire (ex : analyse comportementale)

L’authentification forte permet donc de renforcer le niveau de sécurité lors de la connexion des utilisateurs à l’accès aux services.

Techniquement, l’authentification forte est généralement implémentée au niveau d’un service centralisé appelé ” Identity Provider “ et est ensuite consommée par le ” Service Provider “ qui se charge de donner l’accès à la ressources demandée.

La communication entre les ” Identity Provider ” et les ” Service Provider ” repose sur des protocoles sécurisés permettant le transport de l’identité et des habilitations. Il existe différents protocoles tels que SAML ou OAuth permettant de garantir l’intégrité des échanges en signant numériquement les données qui sont échangées.

Quelles sont les différentes solutions d’authentification forte ?

Aujourd’hui, les mécanismes d’authentification forte les plus utilisés sont :

  • Les OTP (One-Time Password) par SMS

Ce mécanisme consiste à recevoir par SMS un mot de passe à usage unique (utilisable pour une durée déterminée) qui sera renseigné lors du processus d’authentification. Ce mécanisme est utilisé par de très nombreux établissements bancaires, notamment lors de la réalisation d’achats sur internet.

OTP graph

  • Les OTP (One-Time Password) par soft token

Ce mécanisme consiste à générer un mot de passe unique via une application sur son smartphone. Il nécessite donc que l’utilisateur installe sur son smartphone l’application contenant le soft token (il peut s’agir directement de l’application de la banque en question).

OTP graph soft

  • Les OTP (One-Time Password) par hard token

Ce mécanisme consiste à générer un mot de passe unique via un ” token physique “. Le token RSA est un exemple célèbre de hard token. Le hard token génère un mot de passe aléatoire, valable pour une durée déterminée, qui est demandé lors de l’authentification de l’utilisateur.

  • Les certificats logiciels

L’authentification par certificats repose sur une technologie de chiffrement qui permet de chiffrer (ou signer) un message sans avoir à partager de ” secret “. L’identifiant est un certificat public signé par une autorité de certification reconnue.

certif logiciel

  • La biométrie

Considérée comme une des méthodes les plus prometteuses, la biométrie est de plus en plus utilisée dans le processus d’authentification forte. On distingue quatre cas d’utilisation de la biométrie :

  • La reconnaissance digitale
  • La reconnaissance vocale
  • La reconnaissance d’iris
  • La reconnaissance faciale

biometrie

Conclusion : quelle solution d’authentification choisir ?

Le choix de la solution d’authentification forte repose sur trois principaux critères :

  • Le niveau de sécurité
  • L’expérience utilisateur
  • Le coût

Il est recommandé d’adopter une approche souple, en implémentant une méthode d’authentification basée sur le niveau de risque, et de choisir une solution qui permettra de s’adapter en cas de besoins. Cette approche offre généralement le meilleur compromis entre un niveau de sécurité élevé et une bonne expérience utilisateur.
Compte tenu de la multitude de solutions d’authentification forte, il est également recommandé d’évaluer soigneusement chacune des solutions disponibles en se posant les questions suivantes :

  • Quel est le niveau de sensibilité de mes données métier ?
  • Mes utilisateurs doivent-ils accéder à de nombreuses applications protégées par un mot de passe ?
  • Mes utilisateurs doivent-ils se connecter à distance ?

Weave accompagne ses clients dans le cadrage, la conception, le pilotage et la mise en place de solution d’authentification adaptée à leur environnement. Nous aidons nos clients à simplifier leurs accès aux applications en offrant un service d’authentification unique qui s’adapte aux besoins de sécurité. Nous centralisons dès que possible les mécanismes d’authentification et de contrôle d’accès pour mieux maîtriser les risques liés à l’accès aux ressources du SI et nous nous appliquons à mettre en place un niveau de traçabilité homogène et cohérent pour se conformer aux réglementations et répondre aux besoins des fonctions de contrôle.

Sources

Et aussi

On en parle

L’IA au service de la cybersécurité pour la détection d’anomalies

Othmane HAROURI
Pirmin Lemberger
25 février 2019
Lire la suite
SmartCity to SafeCity

De la Smart City à la Safe City

Arthur Chedeville
18 juillet 2018
Lire la suite

Nos offres sur le sujet

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse vosdonnees@weave.eu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles