Qu’est-ce que l’authentification à deux facteurs (A2F) ?
L’authentification est un aspect de plus en plus vital de la cybersécurité moderne. À mesure que le paysage des menaces évolue, de nouvelles tactiques sophistiquées sont mises en œuvre, notamment l’authentification à deux facteurs (A2F).
Lisez ce qui suit pour découvrir les principes de base de l’A2F, son fonctionnement et les raisons pour lesquelles elle est indispensable à votre infrastructure numérique.
Qu’est-ce que l’A2F ?
L’authentification à deux facteurs, ou vérification en deux étapes, est une mesure de sécurité qui exige deux formes distinctes d’identification (appelées facteurs) avant d’accorder l’accès à un système ou à un service. Le second facteur d’authentification ajoute un niveau de protection supplémentaire, rendant plus difficile l’obtention d’un accès non autorisé.
Habituellement, l’authentification des utilisateurs ne nécessite qu’une adresse électronique ou qu’un nom d’utilisateur et un mot de passe. Bien que cela implique une combinaison d’identifiants de connexion, il s’agit toujours techniquement d’un seul facteur d’authentification.
De plus, sans une bonne hygiène en matière de mots de passe, il est beaucoup trop facile pour les cybermenaces de contourner la sécurité et de compromettre un compte, une application ou une ressource en ligne. Si c’est le cas, on ne sait pas combien d’informations sensibles elles pourraient récolter.
C’est la raison pour laquelle l’authentification à deux facteurs a pris de l’importance. Elle permet non seulement d’atténuer le risque de violation des données, mais aussi de protéger les employés et les consommateurs contre l’usurpation d’identité et d’autres menaces.
Quels sont les facteurs de l’A2F ?
Un facteur d’authentification est un identifiant unique associé à un utilisateur spécifique. La plupart des systèmes A2F utilisent deux des trois facteurs d’authentification traditionnels :
- Facteur lié à la connaissance : quelque chose que seul l’utilisateur connaît, comme un mot de passe, un code PIN ou la réponse à une question de sécurité.
- Facteur lié à la possession : quelque chose que seul l’utilisateur pourrait avoir, comme une clé de sécurité, un appareil mobile ou une carte d’identité.
- Facteur lié aux données personnelles : quelque chose que seul l’utilisateur peut être. En tant que forme d’authentification biométrique, elle utilise la reconnaissance faciale, les empreintes digitales et le balayage de l’iris pour vérifier l’identité.
En plus des facteurs susmentionnés, de nombreuses solutions de pointe exploitent aujourd’hui deux nouveaux facteurs d’authentification adaptative :
- Comportement : permet d’analyser les artefacts numériques liés à des modèles de comportement. Par exemple, les systèmes A2F peuvent considérer qu’une tentative de connexion est suspecte si elle provient d’un nouveau téléphone portable plutôt que de l’appareil de confiance de l’utilisateur.
- Emplacement : ce facteur prend en compte la géographie pour l’authentification de l’utilisateur, l’analyse de l’adresse IP et la localisation GPS.
En règle générale, les organisations peuvent configurer les systèmes A2F de manière à ce qu’ils requièrent une combinaison des facteurs susmentionnés. Les utilisateurs doivent correctement soumettre les informations demandées, que ce soit de manière active ou passive, pour accéder à leur compte, service ou système en ligne.
2FA vs Authentification MFA
Pourquoi se imiter à deux facteurs alors qu’il est théoriquement possible d’agréger n’importe quel nombre d’authentificateurs ? C’est précisément l’idée qui sous-tend l’authentification multifactorielle.
L’authentification multifactorielle est une extension de l’authentification à deux facteurs, impliquant au moins deux facteurs d’authentification. En d’autres termes, la seconde est un sous-ensemble de la première.
Une différence essentielle entre les deux est que l’authentification multifactorielle peut être plus adaptative. En d’autres termes, elle peut appliquer dynamiquement la vérification par étapes, en demandant aux utilisateurs de fournir un troisième facteur d’authentification en fonction du contexte.
Bien que l’authentification à deux facteurs puisse être une mesure de sécurité efficace, l’authentification multifactorielle est souvent une solution plus complète. C’est pourquoi, selon une enquête menée auprès de professionnels de l’informatique, 83 % des entreprises exigent que leurs employés utilisent l’authentification multifactorielle pour accéder à l’ensemble de leurs ressources.
Etudes de cas
L’authentification à deux facteurs est la forme la plus omniprésente d’authentification multifactorielle, ce qui en fait une solution parfaite pour les cas d’utilisation où plusieurs personnes doivent accéder aux données. Par exemple, les applications de santé utilisent couramment l’authentification à deux facteurs parce qu’elle permet aux médecins et aux autres cliniciens d’accéder à la demande aux données sensibles des patients, souvent à partir de périphériques personnels.
Voici d’autres applications d’importance relevées dans différents secteurs :
- Finance : les banques et autres institutions financières utilisent l’authentification à deux facteurs pour se protéger contre l’usurpation d’identité et la fraude, permettant ainsi aux clients d’accéder à leurs comptes en ligne et d’effectuer des opérations bancaires mobiles en toute sécurité.
- Administrations publiques : aux États-Unis, l’authentification à deux facteurs est obligatoire pour tous les sites web fédéraux, ce qui garantit que les informations sensibles et les données des citoyens restent sous clé.
- Enseignement supérieur : les universités s’appuient sur l’authentification à deux facteurs pour sécuriser les portails des étudiants où sont stockés leurs notes, leurs emplois du temps et leurs informations personnelles.
- Réseaux sociaux : les plateformes comme Facebook et X (anciennement Twitter) proposent des services d’authentification à deux facteurs pour protéger les informations personnelles et renforcer la sécurité des comptes.
Fonctionnement de l’authentification à deux facteurs
La procédure d’authentification à deux facteurs est simple. Les spécificités peuvent varier en fonction de la méthode d’authentification, mais le processus de base est le suivant :
- Connexion : l’utilisateur saisit son nom d’utilisateur et son mot de passe.
- Demande d’authentification : si la première connexion aboutit, le système déclenche un deuxième facteur d’authentification.
- Vérification des facteurs : l’utilisateur fournit le deuxième facteur, tel qu’un jeton à usage unique ou un code d’accès généré par une application d’authentification.
- Accès accordé : si les deux facteurs sont vérifiés, l’utilisateur a accès au système. Généralement, cela ne prend que quelques secondes avec un impact quasi nul sur l’expérience de l’utilisateur.
Méthodes d’authentification à deux facteurs
Un système d’authentification à deux facteurs peut demander des facteurs d’authentification de plusieurs manières. Chacune d’entre elles présente des avantages et des inconvénients, mais toutes convergent vers une plus grande sécurité des comptes.
Examinons les méthodes d’authentification les plus courantes, leur fonctionnement et la valeur qu’elles confèrent :
Authentification par e-mail et SMS
Cette méthode envoie à l’utilisateur un code à usage unique par messagerie électronique ou sous forme de message texte sur son téléphone portable. En bref, il s’agit d’un code de vérification de 5 à 10 chiffres qui permet d’accéder à la ressource demandée s’il est saisi correctement.
L’authentification par SMS est l’une des solutions les plus pratiques et les plus conviviales. De plus, la disponibilité des appareils mobiles facilite son utilisation.
Cependant, elle est également vulnérable aux cybermenaces. Les pirates peuvent facilement intercepter les messages SMS, qui sont rarement chiffrés. De plus, si un pirate accède physiquement au téléphone portable de la victime, il peut directement consulter les codes à usage unique.
Jeton matériel
Un jeton matériel est un dispositif physique, comme une clé de sécurité, une carte à puce ou un dongle USB. Il génère dynamiquement un jeton unique, qui n’est généralement valable que pendant une durée limitée.
Lors de la connexion, l’utilisateur appuie sur un bouton du jeton, qui utilise un algorithme pour créer un code à usage unique. L’utilisateur saisit ce code de vérification dans l’invite d’authentification de son appareil ou de son application. Le serveur, au moyen du même algorithme et de la même clé de sécurité, génère son propre code à usage unique et le compare à celui saisi par l’utilisateur. S’ils correspondent, l’utilisateur est authentifié et l’accès lui est accordé. Ce processus garantit que même si un mot de passe est compromis, l’accès non autorisé est empêché sans le jeton physique.
Cependant, l’inconvénient évident est que l’authentification par jeton matériel n’est pas toujours pratique ou applicable à tous les cas d’utilisation. La mise en place et la maintenance peuvent être coûteuses, et les appareils peuvent être égarés ou volés.
Jeton logiciel
Un jeton logiciel est un code à usage unique défini selon une date ou un événement, envoyé par une application d’authentification sur l’ordinateur ou le téléphone portable de l’utilisateur. Comme le jeton matériel, cette méthode génère dynamiquement un code de vérification de courte durée.
Dans l’ensemble, il s’agit d’une procédure simple et conviviale, mais l’utilisateur doit télécharger un logiciel supplémentaire sur son appareil.
Notification push
Une notification push vérifie l’identité de l’utilisateur en envoyant une alerte directement à une application mobile sécurisée sur son appareil de confiance. Ce message contient des détails sur la tentative d’authentification, ce qui permet à l’utilisateur d’approuver ou de refuser la demande d’accès d’une simple pression de bouton.
En théorie, ce processus confirme que l’appareil enregistré dans l’application d’authentification est détenu par l’utilisateur. Les notifications push éliminent le risque d’attaques par interception (« man-in-the-middle »), ce qui garantit la sécurité du compte. Cette méthode d’authentification à deux facteurs est hautement sécurisée, mais elle dépend de la connectivité Internet.
Authentification biométrique
Enfin, il existe différentes formes d’authentification sans mot de passe, notamment la biométrie. Fondamentalement, l’authentification biométrique permet de vérifier l’identité à l’aide de caractéristiques biologiques.
Par exemple, les utilisateurs d’iPhone connaissent bien la reconnaissance faciale, qui peut être utilisée pour accéder aux informations du compte Apple ID, entre autres. D’autres systèmes ont recours à l’analyse des empreintes digitales, de l’iris ou de la rétine.
Il s’agit donc indéniablement de l’une des options d’authentification à deux facteurs les plus sûres. Non seulement elle utilise l’utilisateur comme jeton, mais elle est également très pratique et presque impossible à pirater.
En quoi l’authentification à deux facteurs est-elle importante ?
En d’autres termes, l’authentification à deux facteurs constitue une avancée majeure par rapport au statu quo. La sécurité par mot de passe n’est plus suffisante pour protéger les comptes, les sites web et les services contre les accès non autorisés.
Prenez connaissance des statistiques alarmantes suivantes :
- Plus de 24 milliards de combinaisons de noms d’utilisateur et de mots de passe circulent sur le dark web. Ce nombre a augmenté de 65 % entre 2020 et 2022 et devrait continuer à croître. Étant donné que la plupart des gens réutilisent leurs anciens mots de passe, une seule atteinte à la protection des données risque de compromettre plusieurs comptes simultanément.
- Le rapport Threat Horizons 2023 de Google a révélé que 86 % des violations impliquaient le vol d’informations d’identification. En d’autres termes, elles sont presque toujours à l’origine de cybermenaces beaucoup plus importantes et dévastatrices.
- Le rapport Data Breach Investigations 2024 de Verizon a conclu que « l’élément humain », à l’instar des mots de passe faibles, était à l’origine de 68 % des violations signalées.
Pire encore, même avec une bonne hygiène en matière de mots de passe, il suffit de peu de choses pour s’introduire dans un compte. Par exemple, les pirates peuvent facilement parcourir les réseaux sociaux pour trouver les informations personnelles nécessaires pour répondre à une question de sécurité élémentaire.
Voici la bonne nouvelle : l’authentification à deux facteurs et l’authentification multifactorielle peuvent apporter des solutions. En effet, elles permettent d’atténuer efficacement un certain nombre de cybermenaces, notamment :
- Mots de passe volés : comme mentionné ci-dessus, une mauvaise hygiène en matière de mots de passe facilite le vol d’identifiants. Le système A2F permet de s’assurer qu’un mot de passe volé n’est pas suffisant pour accéder à un compte.
- Attaques par force brute : les pirates utilisent une puissance de calcul de plus en plus accessible pour générer des mots de passe de manière aléatoire jusqu’à ce qu’ils « craquent » le code. Mais la puissance de calcul ne permet pas de pirater un deuxième facteur.
- Hameçonnage : le système A2F protège contre les accès non autorisés en cas de vol du nom d’utilisateur et du mot de passe lors d’une attaque par hameçonnage.
- Ingénierie sociale : les pirates malins utilisent de plus en plus les médias sociaux pour lancer des attaques qui incitent les utilisateurs à donner volontairement leurs informations d’identification. Mais sans le second facteur, cet effort est vain.
Authentification à deux facteurs et Zero Trust
L’authentification forte est un élément essentiel de la gestion des identités et des accès (GIA) et, par conséquent, de l’architecture « Zero Trust ». L’authentification à deux facteurs peut aider les entreprises à mettre en œuvre une stratégie Zero Trust en appliquant rigoureusement la vérification de l’identité, en basant les décisions d’accès non seulement sur le rôle ou les autorisations de l’utilisateur, mais aussi sur l’appareil, le comportement, l’emplacement, entre autres.
Mise en œuvre de l’authentification à deux facteurs : conseils et bonnes pratiques
Vous envisagez de passer à l’authentification à deux facteurs ? Voici quelques étapes clés à garder à l’esprit :
1. Choisir les bons facteurs d’authentification
Même au sein de chaque type d’authentificateur, il existe de nombreuses options différentes parmi lesquelles choisir, sans compter que de nouvelles technologies sont constamment mises au point. Comment choisir les facteurs à utiliser pour votre protocole A2F ?
Voici quelques questions pour vous aider à faire le bon choix :
- Souhaitez-vous que l’authentification soit transparente pour l’utilisateur ?
- Souhaitez-vous que l’utilisateur soit muni d’un dispositif physique ou s’authentifie en ligne ?
- Souhaitez-vous que le site Web s’authentifie également auprès de l’utilisateur ?
- Dans quelle mesure les informations que vous protégez sont-elles sensibles et quel est le risque associé ?
- L’accès physique (lien) aux bureaux, laboratoires ou autres zones fait-il partie de vos exigences en tant qu’utilisateur ?
Chez Entrust, nous prenons en charge la plus large gamme d’authentificateurs de sécurité pour l’authentification à deux facteurs, ce qui vous permet de choisir la meilleure option pour répondre à vos besoins de sécurité et les cas d’utilisation. Plus important encore, Entrust peut fournir des conseils d’experts pour vous aider à sélectionner la ou les bonnes options et simplifier votre passage à l’authentification à deux facteurs de haute sécurité.
2. Définir une stratégie en faveur de l’expérience de l’utilisateur (UX)
Bien que l’authentification à deux facteurs soit généralement un flux de travail transparent, la dernière chose que vous souhaitez, c’est d’imposer à vos utilisateurs des étapes supplémentaires compliquées. L’expérience utilisateur est particulièrement importante pour l’intégration du numérique, car un processus fastidieux peut dissuader les clients d’ouvrir un compte.
Recherchez une solution d’authentification à deux facteurs conciliant sécurité, rapidité et ergonomie.
3. Protéger votre infrastructure d’authentification à deux facteurs
Veillez à ce que les communications impliquant la transmission de codes ou de jetons d’authentification à deux facteurs soient chiffrées à l’aide de protocoles de chiffrement sécurisés, tels que Transport Layer Security (TLS).
4. Envisager l’authentification adaptative
En fonction du cas d’utilisation, vous pouvez avoir besoin d’une solution plus robuste, à plusieurs facteurs. L’authentification adaptative, ou vérification progressive basée sur le risque, est un moyen dynamique de confirmer l’identité. En tant que méthode tenant compte du contexte, elle adapte le niveau et le type d’authentification requis en fonction du risque perçu.
Par exemple, l’authentification multifactorielle adaptative peut n’exiger qu’un nom d’utilisateur et un mot de passe si toutes les conditions semblent normales. Mais si la connexion provient d’une adresse IP anormale, elle peut émettre des exigences de niveau supérieur, comme un code de vérification à usage unique. Elle concilie sécurité et commodité, permettant aux utilisateurs légitimes d’accéder aux ressources avec un minimum de friction, tout en appliquant des mesures plus strictes en cas d’activités suspectes.
Renforcer la sécurité avec Entrust
Entrust Identity, notre portefeuille GIA unifié, peut fournir la base dont votre organisation a besoin pour réaliser une architecture Zero Trust efficace. Grâce à notre suite d’outils de sécurité, vous pouvez tirer parti des solutions suivantes :
- Identity as a Service : solutions GIA basées sur le cloud avec authentification multifactorielle antiphishing, authentification sans mot de passe et authentification unique.
- Identity Enterprise : fonctionnalités GIA sur site avec authentification de haut niveau de la main-d’œuvre et des consommateurs, y compris l’émission de cartes à puce.
- Identity Essentials : Solution d’authentification multifacteurs (MFA) rapide et rentable qui permet aux organisations basées sur Windows de jouir d’une approche de confiance zéro.