Puisque vous lisez ces lignes, nous pouvons nous accorder sur le fait que la cybersécurité vous intéresse.
Ainsi, vous avez déjà entendu parler du type d’authentification réputé comme le plus sécurisé à ce jour, j’ai nommé : l’authentification multifactorielle.
Ce qu’on abrège en MFA en anglais pour Multifactor Authentication et qu’on qualifie d’authentification “forte” pour simplifier l’usage d’adjectifs à rallonge est un protocole prédominant dans l’environnement web actuel.
Avant de poursuivre, il est bon de rappeler que la double authentification, très utilisée, n'est pas le synonyme direct de l'authentification multifactorielle puisqu'il ne s'agit que d'un type parmi d'autres. Un prestataire de service peut choisir davantage de facteurs de connexion selon ces besoins.
Selon les prestataires de service, différents modes d’authentification multifactorielle peuvent être utilisés.
Ils reposent tous sur une poignée d’éléments d’identification, soit sous forme d'information textuelle à taper dans le formulaire de connexion, soit sous forme de notification à valider directement pour accéder à la plateforme.
Parmi ces éléments, nous trouvons une combinaison des éléments suivants :
Cet élément est difficile à pirater en ce qu’il nécessite à la fois de déterminer quelle question vous avez sélectionnée et quelle réponse vous lui avez assignée. Elle est efficace pour l’utilisateur puisqu’elle renvoie à des informations personnelles et anecdotiques qui sont propres à l’utilisateur donc difficilement sujettes à devinette.
Cet élément requiert la possession du smartphone ou autre appareil lié au compte pour pouvoir finaliser la connexion.
Cet élément bénéficie des avantages du code présenté précédemment renforcé par la limite temporelle.
Ce système est peut-être moins répandu aujourd'hui avec la démocratisation des smartphones, montres connectées et autres petits appareils connectés du quotidien qui peuvent aisément remplir le rôle du dispositif pour une majeure partie des usages.
La difficulté de reproduction d'empreintes biométriques est évidente.
(Les scanners rétinien et vocal sont des dispositifs plus répandus dans l'univers de Black Mirror que dans le nôtre mais si leur usage venait à se démocratiser, ils figureraient bien dans cette catégorie d’élément).
Parce que le couple d'informations identifiant + mot de passe ne fait plus le poids face au nombre de cyberattaques recensées de nos jours.
Celles-ci sont suffisamment sophistiquées pour revêtir les codes de messages systèmes d'allure officielle ce qui laisse les utilisateurs vulnérables face aux vols de données.
À titre d'illustration, voici quelques exemples dans la liste des stratagèmes employés pour dérober les identifiants de connexion :
Vous vous en doutez, malgré les bénéfices évidents de ce protocole d'authentification toutes les institutions n'y ont pas recours. Outre les ressources techniques nécessaires, le sujet de l'expérience utilisateur a fait débat.
La longueur du processus de connexion n'était en effet pas pratique pour l'usage quotidien.
Heureusement, là comme souvent, des améliorations ont été mises en place : il est par exemple possible de requérir une connexion MFA 1 fois en première connexion et valable pour une durée avec échéance, au-delà de laquelle il faudra réitérer le processus.
Il est aussi possible d'utiliser des gages de confirmation basés sur l'enregistrement d'appareils connus ou la localisation géographique pour espacer les besoins d'authentification multifactorielle.