Qu’est-ce que l’authentification multifacteur (MFA) et comment fonctionne-t-elle ?

L’authentification multifacteur (MFA) est une méthode d’authentification dans laquelle l’utilisateur doit fournir au minimum deux facteurs de vérification pour accéder à une ressource de type application, compte en ligne ou VPN. La MFA est une composante essentielle à la base de toute politique de gestion des accès et des identités (IAM, pour Identity and Access Management) se voulant solide. Au lieu de se contenter d’un nom d’utilisateur et d’un mot de passe, la MFA exige un ou plusieurs facteurs de vérification supplémentaires, ce qui réduit la probabilité qu’une cyberattaque puisse réussir.

Le principal avantage de la MFA est d’améliorer la sécurité de votre entreprise en exigeant à vos utilisateurs de fournir plus qu’un nom d’utilisateur et un mot de passe pour s’identifier. Les noms d’utilisateur et les mots de passe sont importants, mais ils sont vulnérables aux attaques par force brute et peuvent être volés par des tiers. Le recours à un facteur MFA de type empreinte numérique ou clé matérielle renforce la garantie que votre entreprise est protégée des cybercriminels.

La MFA exige des informations de vérification supplémentaires (facteurs). L’un des facteurs MFA les plus courants que rencontrent les utilisateurs sont les mots de passe à usage unique (OTP, pour One-Time Password). Les OTP sont ces codes comportant de 4 à 8 chiffres que vous recevez souvent par e-mail, SMS ou certaines applications mobiles. Avec les OTP, un nouveau code est généré de façon périodique ou à chaque fois qu’une demande d’authentification est envoyée. Le code est généré à partir d’une valeur initiale attribuée à l’utilisateur lorsqu’il s’inscrit pour la première fois et d’un autre facteur qui peut être un compteur incrémenté ou une valeur temporelle.

La plupart des méthodes d’authentification MFA reposent sur l’un des trois types d’information suivants :

1. Éléments que vous connaissez (connaissance), comme un mot de passe ou un code PIN
2. Objets dont vous disposez (possession), comme un badge ou un smartphone
3. Éléments qui vous constituent (inhérence), comme des empreintes digitales biométriques ou la reconnaissance vocale

Les exemples d’authentification multifacteur incluent la combinaison de ces éléments pour authentifier :

Connaissance

• Réponses à des questions de sécurité personnelles
• Mot de passe
• OTP (peut couvrir à la fois la connaissance et la possession, vous connaissez l’OTP et vous devez disposer de quelque chose pour l’obtenir, par exemple votre téléphone)

Possession

• OTP générés par applications de smartphone
• OTP envoyés par SMS ou e-mail
• Badges d’accès, périphériques USB, cartes à puce ou porte-clés ou clés de sécurité
• Jetons logiciels et certificats

Inhérence

• Empreintes digitales, reconnaissance faciale, analyse de la voix, de la rétine ou de l’iris ou autre donnée biométrique
• Analyse comportementale

Au fur et à mesure que la MFA intègre l’apprentissage automatique et l’intelligence artificielle (IA), les méthodes d’authentification deviennent plus sophistiquées, avec notamment les suivantes :

Authentification basée sur l’emplacement

La MFA basée sur l’emplacement vérifie généralement l’adresse IP de l’utilisateur et, si possible, sa géolocalisation. Ces informations peuvent simplement servir à bloquer l’accès de l’utilisateur si les informations relatives à son emplacement ne correspondent pas à ce qui est indiqué sur une liste blanche, ou bien peuvent être utilisées comme un moyen d’authentification supplémentaire qui s’ajoute à d’autres facteurs tels que le mot de passe ou l’OTP pour confirmer l’identité de cet utilisateur.

Authentification adaptative ou basée sur les risques

L’authentification adaptative, également appelée authentification basée sur les risques, constitue un autre sous-ensemble de MFA. Ce mode d’authentification analyse les facteurs supplémentaires en tenant compte du contexte et du comportement lors de l’authentification, et utilise souvent ces valeurs pour attribuer un niveau de risque associé à la tentative de connexion. Par exemple :

• À partir d’où l’utilisateur essaie-t-il d’accéder aux informations ?
• Quand essayez-vous d’accéder aux informations d’entreprise ? Pendant ou en dehors des heures de travail ?
• Quel type d’appareil est utilisé ? Est-ce le même que celui utilisé hier ?
• La connexion se fait-elle via un réseau privé ou public ?

Le niveau de risque est calculé en fonction des réponses à ces questions et peut être utilisé pour déterminer si un utilisateur sera invité ou non à fournir un facteur d’authentification supplémentaire, ou même s’il sera autorisé ou non à se connecter. Voilà pourquoi ce type d’authentification est aussi appelé authentification basée sur les risques.

Lorsque l’authentification adaptative est en place, un utilisateur qui se connecte à partir d’un café tard le soir, une activité inhabituelle pour lui, devra peut-être saisir un code envoyé par SMS à son téléphone, en plus de fournir son nom d’utilisateur et son mot de passe. En revanche, s’il se connecte à partir du bureau chaque jour à 9 h, il devra simplement fournir son nom d’utilisateur et son mot de passe.

Les cybercriminels passent leur temps à essayer de voler vos informations. Votre première ligne de défense contre cette menace est de mettre en place une stratégie de MFA efficace. Un solide plan de sécurité des données permettra à votre entreprise de gagner du temps et de faire des économies à l’avenir.

La MFA et l’authentification à deux facteurs (2FA, pour Two-Factor Authentication) sont souvent considérées comme la même chose. La 2FA est en réalité un sous-ensemble de la MFA puisque la 2FA restreint le nombre de facteurs requis à seulement deux facteurs, tandis que la MFA peut exiger plus de deux facteurs.

Avec l’avènement du Cloud Computing, la MFA est devenue encore plus nécessaire. Avec le transfert des systèmes dans le cloud, les entreprises ne peuvent plus utiliser comme facteur de sécurité le fait qu’un utilisateur se trouve physiquement sur le même réseau qu’un système. Il faut mettre en place une sécurité supplémentaire pour s’assurer que ceux qui accèdent au système n’ont pas de mauvaises intentions. Dans la mesure où les utilisateurs accèdent à ces systèmes à tout moment et en tout lieu, la MFA peut permettre de vérifier qu’ils sont bien qui ils prétendent être, en les invitant à fournir des facteurs d’authentification supplémentaires qui sont plus difficiles à imiter ou à déchiffrer par force brute pour les hackers.

Beaucoup de systèmes cloud fournissent leurs propres offres de MFA, comme AWS ou le produit Office 365 de Microsoft. Par défaut, Office 365 utilise Azure Active Directory (AD) comme système d’authentification, ce qui implique certaines limites. Par exemple, vous n’avez que quatre options de base concernant le type de facteur d’authentification supplémentaire à disposition : Microsoft Authenticator, authentification par SMS, par la voix, et jeton OAuth. Il est aussi possible que vous deviez augmenter vos dépenses de licences, en fonction des types d’options dont vous souhaitez disposer, et selon que vous voulez ou non contrôler exactement quels utilisateurs doivent utiliser la MFA.

Les solutions Identity as a Service (IDaaS) telles que OneLogin offrent bien d’autres méthodes d’authentification MFA en ce qui concerne les facteurs d’authentification forte. Elles s’intègrent aussi plus facilement aux applications autres que celles de l’écosystème Microsoft.