Qu’est-ce que la 2FA (authentification à deux facteurs) ?

La plupart des gens connaissent les systèmes de sécurité 2FA par SMS. Dans ce cas, une application envoie un code numérique sur le téléphone portable de l’utilisateur lors de la connexion. L'utilisateur doit entrer à la fois son mot de passe et le code pour continuer. Il ne suffit pas de saisir l’un ou l’autre pour l’authentification.

La 2FA est la forme la plus courante d’ authentification à étapes (MFA), qui fait référence à toute méthode d’authentification dans laquelle les utilisateurs doivent fournir plus d’un facteur d’authentification pour prouver leur identité. 

Bien que la 2FA soit souvent associée à des systèmes informatiques, elle peut également protéger les actifs physiques et les emplacements. Par exemple, un bâtiment à accès restreint peut obliger les personnes à présenter un badge d’identification et à scanner leur empreinte digitale pour entrer.

Selon l'IBM Rapport sur le coût d’une violation de données, les identifiants compromis provoquent 10 % des violations de données. Les mots de passe sont relativement faciles à voler pour les acteurs de la menace par le biais d’attaques par hameçonnage, logiciels espions ou attaques par force brute.

L'authentification à deux facteurs permet de renforcer la sécurité du compte en exigeant un deuxième facteur. Non seulement les pirates informatiques doivent voler deux identifiants pour s'introduire dans un système, mais le deuxième facteur est souvent difficile à pirater. Les deuxièmes facteurs courants comprennent les empreintes digitales et la biométrie, les clés de physical security et les codes d’accès expirés.

Les facteurs d'authentification sont les identifiants que les utilisateurs fournissent pour vérifier leur identité. Les systèmes d’authentification à deux facteurs utilisent plusieurs types de facteurs d’authentification, tandis que les véritables systèmes 2FA utilisent deux facteurs de deux types différents. 

Utiliser deux types de facteurs différents est considéré comme plus sûr que d'utiliser deux facteurs du même type, car les pirates doivent utiliser des méthodes différentes pour pirater chacun d'eux.

Par exemple, les pirates informatiques peuvent voler le mot de passe d’un utilisateur en installant un logiciel espion sur son ordinateur. Pourtant, ce logiciel espion ne détecterait pas les codes d'accès à usage unique sur le smartphone de l'utilisateur. Les pirates doivent trouver une autre façon d’intercepter ces messages. 
 
Voici les types de facteurs d’authentification inclus :

• Facteurs de connaissance
• Facteurs de possession
• Facteurs inhérents 
• Facteurs comportementaux

Il s’agit d’une information que, théoriquement, seul l’utilisateur connaît. le mot de passe étant le facteur de connaissance le plus courant. Les numéros d’identification personnels (NIP) et les réponses aux questions de sécurité sont également courants.

Dans la plupart des implémentations de 2FA, un facteur de connaissance sert de premier facteur d’authentification. 

Malgré leur utilisation répandue, les facteurs de connaissance sont le type de facteur d’authentification le plus vulnérable. Les pirates peuvent obtenir des mots de passe par le biais d'attaques de phishing, de logiciels malveillants ou d'attaques par force brute dans lesquelles ils utilisent des bots pour générer et tester des mots de passe potentiels sur un compte jusqu'à ce que l'un d'entre eux fonctionne.

Les autres types de facteurs de connaissance ne représentent pas non plus un grand défi pour les cybercriminels. Les réponses à de nombreuses questions de sécurité, comme le classique « Quel est le nom de jeune fille de votre mère ? », peuvent être facilement déchiffrées grâce à des recherches simples ou à des attaques d’ingénierie sociale qui incitent les utilisateurs à divulguer des informations personnelles.

La pratique courante qui consiste à exiger un mot de passe et une question de sécurité n'est pas la vraie 2FA, car elle utilise deux facteurs du même type, à savoir deux facteurs de connaissance.

Deux facteurs de connaissance seraient un exemple de processus de validation en deux étapes. Le processus comporte deux étapes, à savoir la saisie d’un mot de passe et la réponse à une question, mais n’utilise qu’un seul type de facteur.

La vérification en deux étapes peut être plus sûre qu’un simple mot de passe, car elle nécessite deux preuves. Cependant, comme il s’agit de deux facteurs du même type, ils sont plus faciles à voler que deux types de facteurs différents.

Les facteurs de possession sont des choses qu'une personne possède. Les deux types de facteurs de possession les plus courants sont les tokens logiciels et les tokens matériels.

Les tokens logiciels prennent souvent la forme de mots de passe à usage unique (OTP). Les OTP sont généralement des codes d’accès à usage unique de 4 à 8 chiffres qui expirent au bout d’un certain temps. Les tokens logiciels peuvent être envoyés sur le téléphone d’un utilisateur par SMS, e-mail ou message vocal. Les tokens peuvent également être générés par une application d’authentification installée sur l’appareil.

Avec un token, l’appareil de l’utilisateur joue le rôle de facteur de possession. Le système 2FA suppose que seul l’utilisateur légitime a accès à toutes les informations qui sont livrées ou générées par cet appareil. 

Bien que les OTP basés sur le texte SMS soient parmi les facteurs de possession les plus conviviaux, ils sont également les moins sécurisés. Les utilisateurs ont besoin d’une connexion Internet ou cellulaire pour recevoir ces codes d’authentification, et les pirates peuvent utiliser des attaques de phishing sophistiquées ou d’homme du milieu pour les voler. 

Les OTP sont également vulnérables au clonage de cartes SIM, dans lequel les criminels créent une copie fonctionnelle de la carte SIM du smartphone de la victime et l’utilisent pour intercepter ses SMS.

Les applications d’authentification, telles que Google Authenticator, Authy, Microsoft Authenticator et Duo, peuvent générer des tokens sans connexion réseau. Un utilisateur associe l’application d’authentification à un service, souvent en scannant un code QR. L’application génère ensuite en permanence des mots de passe à usage unique basés sur le temps (TOTP) pour le service associé. Chaque TOTP expire au bout de 30-60 secondes, ce qui rend difficile le vol. 

Certaines applications d’authentification utilisent des push notifications plutôt que des TOTP. Lorsqu’un utilisateur se connecte à un compte, l’application envoie une push notification à son système d’exploitation iOS ou Android, sur laquelle il doit appuyer pour confirmer qu’il est à l’origine de la tentative de connexion.

Bien que les applications d’authentification soient plus difficiles à déchiffrer que les SMS, elles ne sont pas infaillibles. Les pirates peuvent utiliser des logiciels malveillants pour voler des TOTP directement auprès des authentificateurs. Ils peuvent également lancer des attaques de fatigue MFA qui consistent à inonder un appareil avec des push notifications frauduleuses dans l’espoir que la victime confirme accidentellement. 

Les tokens matériels sont des dispositifs dédiés, tels que des porte-clés, des cartes d’identité ou des dongles, qui fonctionnent comme des clés de sécurité. Certains tokens matériels se connectent au port USB d’un ordinateur et transmettent les informations d’authentification à la page de connexion. D’autres tokens génèrent des codes de vérification que l’utilisateur peut saisir manuellement lors du prompt.

Bien que les tokens matériels soient difficiles à pirater, ils peuvent être volés, tout comme les mobiles des utilisateurs contenant des tokens logiciels. Selon le rapport sur le coût d’une violation de données d’IBM, les appareils perdus ou volés sont à l’origine de 6 % des violations de données.

Également appelés « biométrie », les facteurs d’inhérence sont des fonctionnalités physiques ou des traits propres à l’utilisateur, telles que les empreintes digitales, les traits du visage ou les motifs rétiniens. De nombreux smartphones et ordinateurs portables sont équipés de lecteurs de reconnaissance faciale et d’empreintes digitales intégrés et de nombreuses applications et sites Web peuvent utiliser ces données biométriques comme facteur d’authentification.

Si les facteurs inhérents sont les plus difficiles à appréhender, les résultats peuvent être désastreux lorsqu'ils le sont. Si un pirate informatique accède à une base de données biométriques, il peut voler ces données ou relier ses propres données biométriques au profil d'un autre utilisateur. Lorsque les données biométriques sont compromises, elles ne peuvent pas être modifiées rapidement ou facilement, ce qui rend difficile l'arrêt des attaques en cours.

Les progrès réalisés dans la génération d’images par intelligence artificielle (IA) inquiètent les experts en cybersécurité , qui craignent que des pirates informatiques n’utilisent ces outils pour tromper les logiciels de reconnaissance faciale. 

Les facteurs comportementaux sont des artefacts numériques qui vérifient l’identité d’un utilisateur en se basant sur des modèles de comportement. Citons par exemple la plage d’adresses IP typique d’un utilisateur, son emplacement habituel et sa vitesse moyenne de frappe.

Les systèmes d'authentification comportementale utilisent l'IA et le machine learning (ML) pour déterminer une base de référence pour les habitudes normales d'un utilisateur et signaler les activités anormales, telles que l'enregistrement à partir d'un nouvel appareil, d'un nouveau numéro de téléphone ou d'un nouvel emplacement.

Certains systèmes d’authentification à deux facteurs permettent aux utilisateurs d’enregistrer des appareils de confiance en tant que facteurs. Bien que l’utilisateur puisse avoir besoin de fournir deux facteurs lors de la première connexion, l’utilisation de l’appareil de confiance agit automatiquement comme le deuxième facteur à l’avenir.

Les facteurs comportementaux jouent également un rôle dans les systèmes d’authentification adaptatifs, qui modifient les exigences d’authentification en fonction du niveau de risque. Par exemple, un utilisateur peut n'avoir besoin que d'un mot de passe pour se connecter à une application depuis un iPhone de confiance sur le réseau de l'entreprise. Cet utilisateur devra peut-être ajouter un second facteur pour se connecter depuis un nouvel appareil ou un réseau inconnu. 

Tandis que les facteurs comportementaux offrent une manière sophistiquée d'authentifier les utilisateurs, ils nécessitent des ressources et une expertise importantes pour être déployés. De plus, si un pirate informatique accède à un appareil de confiance, il peut facilement se faire passer pour l'utilisateur.

Les systèmes d'authentification à deux facteurs sans mot de passe n'acceptent que les facteurs de possession, inhérents et comportementaux, aucun facteur de connaissance. Par exemple, demander à un utilisateur une empreinte digitale ainsi qu'un token physique constitue une configuration 2FA sans mot de passe.

L’authentification sans mot de passe élimine les facteurs de connaissance, car ils sont faciles à compromettre. Alors que la plupart des méthodes d'authentification à deux facteurs (2FA) actuelles utilisent des mots de passe, les experts de l'industrie prévoient un avenir où l'utilisation des mots de passe deviendra de plus en plus rare. 

Les clés d’accès, telles que celles basées sur la norme FIDO, sont l’une des formes d’authentification sans mot de passe les plus courantes. Ils utilisent la cryptographie à clé publique pour vérifier l’identité d’un utilisateur.

Selon le rapport sur le coût d’une violation de données, la compromission des identifiants et l’hameçonnage sont les deux vecteurs de cyberattaque les plus courants.. Ensemble, ils représentent environ 26 % des violations de données. Les deux vecteurs reposent souvent sur le vol des mots de passe, que les pirates peuvent ensuite utiliser pour pirater des comptes et des appareils légitimes afin de faire des ravages.

Les pirates informatiques ciblent généralement les mots de passe car ils sont relativement faciles à déchiffrer par force brute ou par tromperie. De plus, comme les gens réutilisent les mots de passe, les pirates peuvent souvent utiliser un seul mot de passe volé pour accéder à plusieurs comptes. Les conséquences d’un mot de passe volé peuvent être graves pour les utilisateurs et les organisations, entraînant le vol d’identité, le vol d’argent, le sabotage du système et plus encore.

L’authentification à deux facteurs permet de contrecarrer les accès non autorisés en ajoutant une couche de sécurité supplémentaire aux systèmes de gestion des identités et des accès (IAM). Même si les pirates peuvent voler un mot de passe, ils ont quand même besoin d’un deuxième facteur pour accéder à un compte. 

De plus, ces deuxièmes facteurs sont généralement plus difficiles à voler qu’un facteur de connaissance. Les pirates informatiques devraient falsifier les données biométriques, imiter les comportements ou voler des appareils physiques. 

Les méthodes d’authentification à deux facteurs peuvent également aider les entreprises à respecter certaines obligations de conformité. Par exemple, la norme PCI DSS (Payment Card Industry Data Security Standard) exige de manière explicite que les systèmes qui traitent des données de cartes de paiement soient protégés par une authentification multifactorielle.

D’autres réglementations, notamment la loi Sarbanes-Oxley (SOX) et le Règlement général sur la protection des données (RGPD), n’imposent pas explicitement l’utilisation de la 2FA. Cependant, la 2FA peut aider les organisations à se conformer aux normes de sécurité strictes fixées par ces lois.

Bien que l'authentification à deux facteurs soit plus solide que les méthodes d'authentification à un seul facteur, en particulier celles qui n'utilisent que des mots de passe, l'AFC n'est pas infaillible. En particulier, les pirates peuvent abuser des systèmes de récupération de compte pour contourner le 2FA et s'emparer d'un compte.

Par exemple, un pirate informatique peut se faire passer pour un utilisateur valide qui a perdu l’accès et doit réinitialiser ses identifiants. Les systèmes de récupération de compte nécessitent souvent d’autres moyens d’authentification, comme la réponse à une question de sécurité. Si la question est aussi simple que le « nom de jeune fille de la mère », le pirate peut découvrir la réponse avec un peu de recherche. Le pirate peut alors réinitialiser le mot de passe du compte, verrouillant ainsi l'utilisateur réel.  

Les pirates peuvent également compromettre un compte en accédant à un autre. Par exemple, si un pirate veut s'introduire dans un système d'entreprise sensible, il peut d'abord s'emparer du compte de courrier électronique d'un utilisateur. Ils peuvent ensuite demander une réinitialisation du mot de passe avec le système de l’entreprise, qui envoie un e-mail au compte que le pirate contrôle désormais.

La 2FA par SMS, peut-être la forme la plus courante de 2FA, peut être piratée par une ingénierie sociale sophistiquée. Le pirate peut se faire passer pour sa cible et appeler le fournisseur de téléphone de la cible, en prétendant que son téléphone a été volé et qu’il doit transférer son numéro à un nouveau. Les OTP sont ensuite envoyés au téléphone que le pirate contrôle et non au téléphone de la cible.  

Les utilisateurs peuvent se défendre contre ces attaques en s’assurant que tous leurs comptes, des comptes de messagerie aux comptes avec des fournisseurs de téléphone, nécessitent une 2FA ou une MFA forte. En mettant l’accent sur la MFA, il est plus difficile pour les pirates d’utiliser un compte pour en compromettre un autre.

Les utilisateurs peuvent également s’assurer que les facteurs d’authentification qu’ils choisissent sont difficiles à déchiffrer. Les données biométriques et les tokens de sécurité physique, par exemple, sont plus difficiles à voler que les réponses aux questions de sécurité.