L’authentification forte ou MFA, comment ça marche ?

Puisque vous lisez ces lignes, nous pouvons nous accorder sur le fait que la cybersécurité vous intéresse.
Ainsi, vous avez déjà entendu parler du type d’authentification réputé comme le plus sécurisé à ce jour, j’ai nommé : l’authentification multifactorielle.

Ce qu’on abrège en MFA en anglais pour Multifactor Authentication et qu’on qualifie d’authentification “forte” pour simplifier l’usage d’adjectifs à rallonge est un protocole prédominant dans l’environnement web actuel.

Avant de poursuivre, il est bon de rappeler que la double authentification, très utilisée, n'est pas le synonyme direct de l'authentification multifactorielle puisqu'il ne s'agit que d'un type parmi d'autres. Un prestataire de service peut choisir davantage de facteurs de connexion selon ces besoins.

Plusieurs facteurs pour montrer patte blanche

Selon les prestataires de service, différents modes d’authentification multifactorielle peuvent être utilisés.
Ils reposent tous sur une poignée d’éléments d’identification, soit sous forme d'information textuelle à taper dans le formulaire de connexion, soit sous forme de notification à valider directement pour accéder à la plateforme.

Parmi ces éléments, nous trouvons une combinaison des éléments suivants :

1. La sélection d’une question de sécurité : une question au choix de l’utilisateur requise lors de l'inscription parmi 4 ou 5 options, l’utilisateur décide de la réponse adéquate, le plus souvent à rédiger entièrement via un champ de texte libre.

Cet élément est difficile à pirater en ce qu’il nécessite à la fois de déterminer quelle question vous avez sélectionnée et quelle réponse vous lui avez assignée. Elle est efficace pour l’utilisateur puisqu’elle renvoie à des informations personnelles et anecdotiques qui sont propres à l’utilisateur donc difficilement sujettes à devinette. 

2. Le code envoyé par SMS : vous devez être en possession de votre smartphone pour consulter un code généré spécifiquement lors de votre tentative de connexion.

Cet élément requiert la possession du smartphone ou autre appareil lié au compte pour pouvoir finaliser la connexion.

3. Le code de validation temporaire : à l’instar du code reçu par SMS, il s’agit d’un code généré lorsque que vous vous authentifiez et pour lequel l’utilisation est bornée dans le temps, 15 ou 30 secondes d’utilité par exemple. Il peut être transmis par email, selon les plateformes et vos préférences de connexion.

Cet élément bénéficie des avantages du code présenté précédemment renforcé par la limite temporelle.

4. Le dispositif de connexion physique : plus rares aujourd’hui avec l’utilisation des smartphones, il existe des objets tangibles à utiliser pour finaliser une connexion. Il peut s’agir d’une clé USB personnelle, d’un petit boîtier générateur de code à 4 ou 6 chiffres ou tout autre dispositif de cet acabit.

Ce système est peut-être moins répandu aujourd'hui avec la démocratisation des smartphones, montres connectées et autres petits appareils connectés du quotidien qui peuvent aisément remplir le rôle du dispositif pour une majeure partie des usages.

5. La validation biométrique : correspondant souvent aux empreintes digitales dans l’usage.

La difficulté de reproduction d'empreintes biométriques est évidente.
(Les scanners rétinien et vocal sont des dispositifs plus répandus dans l'univers de Black Mirror que dans le nôtre mais si leur usage venait à se démocratiser, ils figureraient bien dans cette catégorie d’élément).

Pourquoi deux ou trois facteurs d'authentification valent mieux qu'un ?

Parce que le couple d'informations identifiant + mot de passe ne fait plus le poids face au nombre de cyberattaques recensées de nos jours.
Celles-ci sont suffisamment sophistiquées pour revêtir les codes de messages systèmes d'allure officielle ce qui laisse les utilisateurs vulnérables face aux vols de données.
‍
À titre d'illustration, voici quelques exemples dans la liste des stratagèmes employés pour dérober les identifiants de connexion :

• Le hameçonnage (phishing), la supercherie par email ou sms qui récolte les identifiants en se faisant passer pour un message officiel.
• Le harponnage (spear phishing), un hameçonnage ciblé visant un profil d'utilisateur à haut niveau de privilèges.
• L'ingénierie sociale, une forme de manipulation psychologique utilisée par les pirates pour amener leur victime à partager leurs informations personnelles avec eux.
• La force brute, une tentative automatisée de déduction des mots de passe.
• Le piratage de serveur, une faille qui permet d'accéder à tout ou partie des mots de passe selon le niveau de sécurité interne du système.
• La réutilisation des données volées (credential stuffing), une fois des identifiants déjà volés, il arrive que ceux-ci soient recyclés à travers divers outils permettant aux pirates de se connecter à plusieurs systèmes.

MFA, une adoption universelle unanime ?

Vous vous en doutez, malgré les bénéfices évidents de ce protocole d'authentification toutes les institutions n'y ont pas recours. Outre les ressources techniques nécessaires, le sujet de l'expérience utilisateur a fait débat.
La longueur du processus de connexion n'était en effet pas pratique pour l'usage quotidien.

Heureusement, là comme souvent, des améliorations ont été mises en place : il est par exemple possible de requérir une connexion MFA 1 fois en première connexion et valable pour une durée avec échéance, au-delà de laquelle il faudra réitérer le processus.
Il est aussi possible d'utiliser des gages de confirmation basés sur l'enregistrement d'appareils connus ou la localisation géographique pour espacer les besoins d'authentification multifactorielle.