Authentification multifacteur

Découvrez comment l'authentification multifacteur renforce la sécurité, répond aux exigences de conformité réglementaire et prend en charge une stratégie de sécurité Zero Trust

Illustration isométrique d'une femme affichant des communications mobiles, des données et des médias
Qu'est-ce que l'authentification multifacteur ?

L'authentification multifacteur (MFA) est une méthode de vérification d'identité qui oblige les utilisateurs à fournir au moins un facteur d'authentification en plus d'un mot de passe, ou au moins deux facteurs d'authentification au lieu d'un mot de passe, pour accéder à un site Web, une application ou un réseau.

Pirater plusieurs facteurs d'authentification étant plus complexe que de pirater un mot de passe unique, et parce que d'autres types de facteurs sont plus difficiles à voler ou à falsifier que les mots de passe, l'authentification multifacteur (MFA) protège mieux une entreprise contre les accès non autorisés que l'authentification à facteur unique (nom d'utilisateur et mot de passe).

La MFA est devenue un élément fondamental des stratégies de gestion des identités et des accès pour de nombreuses entreprises. Il s'agit souvent d'une méthode d'authentification obligatoire ou recommandée dans de nombreux secteurs et agences gouvernementales. La plupart des employés ou des internautes ont rencontré un sous-type de MFA, appelé authentification à deux facteurs (2FA), qui oblige les utilisateurs à fournir un mot de passe et un deuxième facteur – généralement un code d'accès envoyé vers un téléphone portable ou un e-mail – pour se connecter à un système ou site Web. Cependant, toute personne ayant déjà accédé à un guichet automatique à l'aide d'une carte bancaire et d'un numéro d'identification personnel (PIN) a utilisé une forme de MFA.


Types de facteurs d'authentification

La MFA est déconcertante pour les pirates pour deux raisons. Premièrement, il est plus difficile de pirater deux facteurs ou plus que d'en pirater un seul. Mais en fin de compte, la force de tout schéma de MFA dépend des types de facteurs d'authentification qu'un utilisateur doit fournir.

Facteurs de connaissance : quelque chose que l'utilisateur connaît

Les facteurs de connaissance sont des éléments d'information que, théoriquement, seul l'utilisateur connaîtrait, tels que les mots de passe, les codes PIN et les réponses aux questions de sécurité. Les facteurs de connaissance sont à la fois le type de facteur d'authentification le plus largement utilisé et le plus vulnérable. Les pirates peuvent obtenir des mots de passe et d'autres facteurs de connaissance par le biais d'attaques par hameçonnage, en installant des enregistreurs de frappe ou des logiciels espions sur les appareils des utilisateurs, ou en exécutant des scripts ou des robots qui génèrent et testent des mots de passe potentiels jusqu'à ce qu'ils fonctionnent.

D'autres facteurs de connaissance ne présentent pas beaucoup plus de difficultés. Les réponses à certaines questions de sécurité peuvent être déchiffrées par un pirate qui connaît l'utilisateur ou effectue des recherches sur les réseaux sociaux. D'autres peuvent être relativement faciles à deviner. Il n'est donc pas étonnant que les informations d'identification compromises soient le vecteur d'attaque initial le plus couramment exploité en 2021, selon le rapport Cost of a Data Breach 2021 d'IBM.

Une idée fausse courante est que l'exigence de deux facteurs de connaissance, tels qu'un mot de passe et la réponse à une question de sécurité, constitue une MFA. L'exigence d'un deuxième facteur de connaissance offre une sécurité supplémentaire, mais une véritable MFA nécessite l'utilisation de deux types de facteurs ou plus.

Facteurs de possession : quelque chose que l'utilisateur possède

Les facteurs de possession sont des objets physiques que les utilisateurs ont avec eux, comme un porte-clés ou une carte d'identité donnant accès à un verrou physique, un appareil mobile avec une application d'authentification installée ou une carte à puce contenant des informations d'authentification.

De nombreuses implémentations MFA utilisent une méthode appelée « Authentification par téléphone comme jeton », dans laquelle le téléphone mobile de l'utilisateur reçoit ou génère les informations dont il a besoin pour devenir un facteur de possession. Comme indiqué ci-dessus, la MFA envoie généralement un mot de passe à usage unique (OTP) sur le téléphone d'une personne par SMS, e-mail ou appel téléphonique. Toutefois, les OTP peuvent également être générés par des applications mobiles spéciales appelées applications d'authentification. De plus, certains systèmes d'authentification envoient des notifications push sur lesquelles les utilisateurs peuvent simplement appuyer pour confirmer leur identité.

D'autres systèmes de solutions de MFA utilisent des jetons physiques ou des clés de sécurité matérielles dédiées. Certains jetons physiques se branchent sur le port USB d'un ordinateur et transmettent les informations d'authentification à la page de connexion. D'autres génèrent des OTP que l'utilisateur doit saisir.

Les facteurs de possession offrent plusieurs avantages par rapport aux facteurs de connaissance. Les pirates doivent avoir le facteur en leur possession au moment de la connexion pour se faire passer pour un utilisateur. Étant donné qu'ils fonctionnent sur un réseau (SMS) différent de celui de l'application (IP), un pirate aurait besoin d'intercepter deux canaux de communication différents pour voler les identifiants. Même si un pirate pouvait obtenir un OTP, il devrait l'obtenir et l'utiliser avant son expiration et ne pourrait l'utiliser qu'une seule fois.   

Mais il y a des risques. Étant donné qu'il s'agit d'objets (et généralement de petite taille), les jetons physiques peuvent être volés, perdus ou égarés.  Bien que les OTP soient plus difficiles à voler que les mots de passe traditionnels, ils sont toujours sensibles aux attaques sophistiquées par hameçonnage ou de l'homme du milieu - ou au clonage SIM, dans lequel les pirates créent une copie fonctionnelle de la carte SIM du smartphone de la victime.

Facteurs inhérents : quelque chose d'unique pour l'utilisateur en tant qu'individu

Les facteurs inhérents, également appelés facteurs biométriques, sont des caractéristiques physiques ou des traits uniques à l'utilisateur.  Les empreintes digitales, la voix, les traits du visage ou les motifs de l'iris et de la rétine d'une personne sont des exemples de facteurs inhérents. Aujourd'hui, de nombreux appareils mobiles peuvent être déverrouillés à l'aide des empreintes digitales ou de la reconnaissance faciale ; certains ordinateurs peuvent utiliser les empreintes digitales pour entrer des mots de passe afin d'accéder à des sites Web ou à des applications.

Les facteurs inhérents sont les facteurs les plus difficiles à déchiffrer. Ils ne peuvent pas être oubliés, perdus ou égarés, et ils sont extrêmement difficiles à reproduire.

Cependant, ils ne sont pas infaillibles pour autant. Si des facteurs inhérents sont stockés dans une base de données, ils peuvent être volés. En 2019, par exemple, une base de données biométrique contenant les empreintes digitales d'un million d'utilisateurs a été piratée. En théorie, les pirates pourraient voler ces empreintes digitales ou lier leurs propres empreintes digitales au profil d'un autre utilisateur dans la base de données.

Lorsque les données biométriques sont compromises, elles ne peuvent pas être modifiées rapidement ou facilement, ce qui peut empêcher les victimes d'arrêter les attaques en cours.

Facteurs comportementaux : ce que fait l'utilisateur

Les facteurs comportementaux sont des artefacts numériques qui vérifient l'identité d'un utilisateur en fonction de modèles de comportement. Exemples de facteurs comportementaux : une plage d'adresses IP ou des données de localisation à partir desquelles un utilisateur se connecte généralement à une application.

Les solutions d'authentification comportementale utilisent l'intelligence artificielle pour déterminer une ligne de base pour les modèles de comportement normaux des utilisateurs, puis elles signalent les activités anormales, telles que la connexion à partir d'un nouvel appareil, numéro de téléphone, navigateur Web ou emplacement. Les facteurs comportementaux sont également couramment utilisés dans les schémas d'authentification adaptative (également appelée authentification basée sur les risques), dans lesquels les exigences d'authentification changent lorsque le risque change - par exemple lorsqu'un utilisateur tente de se connecter à partir d'un appareil non approuvé, tente d'accéder à une application pour la première fois, ou à des données particulièrement sensibles.

Bien que les facteurs comportementaux offrent un moyen sophistiqué d'authentifier les utilisateurs, leur déploiement nécessite des ressources importantes et une certaine expertise. De plus, si un pirate accède à un appareil de confiance, il peut l'utiliser comme facteur d'authentification.


MFA sans mot de passe

Les facteurs de connaissance compromis étant le vecteur initial le plus courant des failles de cybersécurité, de nombreuses entreprises explorent l'authentification sans mot de passe. L'authentification sans mot de passe repose sur des facteurs de possession, des facteurs inhérents et des facteurs comportementaux pour vérifier les identités. L'authentification sans mot de passe permet de réduire le risque d'attaques par hameçonnage et par credential stuffing (ou bourrage d'identifiant), dans lesquelles les pirates utilisent des identifiants volés sur un système pour accéder à un autre.

Bien que l'authentification sans mot de passe supprime ce qui est largement considéré comme le maillon le plus faible de la chaîne de vérification d'identité, elle est toujours sensible aux vulnérabilités des facteurs de possession, inhérents et comportementaux. Les entreprises peuvent atténuer ces vulnérabilités en mettant en œuvre une approche dans laquelle les utilisateurs doivent fournir plusieurs types d'identifiants sans facteur de connaissance. Par exemple, demander à un utilisateur une empreinte digitale et un jeton physique constituerait une MFA sans mot de passe.


MFA et conformité réglementaire

Face au nombre croissant de cyberattaques, les gouvernements et les agences gouvernementales ont commencé à exiger l'authentification MFA pour les systèmes qui traitent des données sensibles. En 2020, l'IRS (Internal Revenue Service) a imposé la MFA pour les fournisseurs de systèmes de préparation des déclarations de revenus en ligne. Le décret exécutif de 2021 du président Joseph Biden sur l'amélioration de la cybersécurité du pays a exigé la MFA pour toutes les agences fédérales. Un mémorandum de suivi exige que tous les systèmes de la sécurité nationale, du ministère de la Défense et de la communauté du renseignement mettent en œuvre la MFA d'ici le 18 août 2022.

Plusieurs réglementations de l'industrie, notamment la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS), exigent spécifiquement la MFA pour les systèmes qui gèrent les données des cartes de crédit et des cartes de paiement. De nombreuses autres réglementations, notamment la Sarbanes-Oxley (SOX) et l'HIPAA, recommandent fortement la MFA pour assurer la conformité. Certaines réglementations à l'échelle de l'État ont imposé la MFA pendant des années. Les entreprises qui n'ont pas respecté le règlement 23 NYCRR Part 500 publié par le département des services financiers de l'État de New York (NYDFS) en 2017 ont été passibles d'amendes pouvant atteindre 3 millions de dollars lien externe à ibm.com.


MFA et authentification unique

L'authentification unique (SSO) est une méthode d'authentification permettant aux utilisateurs d'accéder à plusieurs applications et services connexes via un ensemble d'identifiants. Dès lors qu'un utilisateur se connecte une première fois, et une solution SSO authentifie son identité et génère un jeton d'authentification de session. Ce jeton fait office de clé de sécurité de l'utilisateur pour diverses applications et bases de données interconnectées.

Afin d'atténuer le risque de s'appuyer sur un seul ensemble d'identifiants de connexion pour plusieurs applications, les entreprises ont généralement besoin d'une authentification adaptative pour l'authentification unique. L'authentification unique adaptative applique la fonctionnalité d'authentification adaptative aux schémas d'authentification unique. Si un utilisateur présente un comportement anormal lors d'une tentative de connexion via SSO ou lors de sa session authentifiée par SSO, il lui sera demandé de fournir des facteurs d'authentification supplémentaires. Des exemples de comportement anormal peuvent inclure la connexion via un VPN non reconnu ou l'accès à une application ou à des données non reconnues par le jeton d'authentification de session de l'utilisateur.

Les architectures de cybersécurité

Zero Trust dans lesquelles l'identité d'un utilisateur n'est jamais fiable et toujours vérifiée, utilisent souvent une combinaison d'authentification unique et de MFA adaptatives à des fins d'authentification. En vérifiant en permanence l'identité de l'utilisateur tout au long de la session et en demandant des facteurs d'authentification supplémentaires en fonction du risque, l'authentification unique et la MFA adaptatives renforcent la gestion des accès sans entraver l'expérience utilisateur.


Solutions connexes

Gestion des identités et des accès (IAM)

Connectez chaque utilisateur au niveau d'accès adéquat à l'aide de la solution IBM Security® Verify IAM.


Authentification unique

Centralisez le contrôle d'accès pour les applications cloud et sur site.


Authentification avancée

Ne vous limitez pas à l'authentification et optez pour des options d'authentification sans mot de passe ou multifacteur.


Accès adaptatif

Protégez les utilisateurs et les actifs avec une authentification basée sur les risques et assistée par l'IA avec IBM Security Verify.


Solutions IAM cloud

Infusez IAM cloud avec un contexte étendu d'authentification basée sur les risques afin de permettre un accès fluide et sécurisé.


IBM Security Verify Trust

Insufflez de la confiance en matière de risque dans les systèmes IAM pour fournir une authentification plus intelligente avec le logiciel IBM Security Verify Trust.


Solutions Zero Trust

Découvrez des solutions de sécurité adaptées à chaque utilisateur, chaque appareil et chaque connexion.


Solutions de gestion des appareils mobiles (MDM)

Visibilité, gestion et sécurité pour les points de terminaison et les utilisateurs