Ämne: Autentisering à deux facteurs: l’implémenter pour une sécurité maximale
Il est fort probable que vous ayez déjà reçu un code SMS pour vous authenifier dans un service en ligne. Cette démarche supplémentaire de sécurisation des comptes utilisateurs correspond à un système d’autentisering à deux facteurs.
Qu’est-ce que l’autentification à deux facteurs et pourquoi est-elle nécessaire ?
L’autentisering à deux facteurs (2FA pour les intimes) är depuis quelques années devenue courante pour les comptes personals comme professionalnels. Kommentera ce système fonctionne-t-il ? Är det något som händer?
L’autentification à deux facteurs fait dorénavant figur de standard pour sécuriser les comptes des utilisateurs sur une majorité de plateformes et services en ligne. Ce mécanisme implique de s’authentifier pour accéder à son compte en deux étapes, à travers deux moyens différents, afin de pallier la faible sécurité du couple identifiant/mot de passe classique.
Chez Payhawk, l’autentification à deux facteurs a été mise en place pour tous les utilisateurs dès 2019 et chaque demande de connexion sur un nouvel appareil fait l’objet d’une demande d’autentification à deux facteurs.
De plus, en accord avec la direktivet européenne sur les tjänster de paiement en ligne, Payhawk utnyttja également le standard 3DS (3 dimensioner säker verifiering) pour autoriser toutes les transaktioner faites à travers la plateforme. Ce dispositif suit donc une logique qui présente à la fois les avantages d’une autentisering à deux facteurs pour l’accès au compte et un degré de sécurité supplémentaire lors d’un paiement, sécurisant ainsi toutes les transaktioner, les demandes de reboursement, et les données personnelles des utilisateurs.
L’autentification multi-facteurs se base sur la combinaison d’au moins deux des facteurs suivants (Dans le cas contraire, il s’agit simplement d’un système d’autentification à simple):
-
Ce que que je sais, généralement votre mot de passe.
-
Ce que je possède, till exempel:
-
Ce que je suis, par exemple l’autentification par voix ou par visage (comme sur les versions récentes de certains smartphones)
La sécurité apportée en combinant l’authentification de l’utilisateur par ces différents facteurs vient du fait qu’il est assez simple de voler votre mot de pass ou votre smartphone, mais qu’il est beaucoup difficile (voir impossible) de faire les deux en même temps.
Utvecklingen av teknologier, notamment för smartphones, en tillåtelse för généralisation progressiv de ces méthodes d’autentification och les rendant simples och ergonomiques pour les utilisateurs. Là où jadis il fallait posséder une clé USB spécifique, une carte d’accès ou un autre appareil physique, une application sur smartphone ou un enkel SMS suffit aujourd’hui pour pouvoir mettre en place l’autentification multifacteur.
Les entreprises les plus sensibles (comme celles ayant, par exemple, à gérer des données financières) utilisent même des mécanismes d’authentification combinant les 3 facteurs. L’autentification triple facteurs est cependant le plus souvent återhållsamhet à des usages internes pour des fonctions sensibles.
Comme pour tout système d’information, l’autentification peut également être construite selon une infrastruktur à géométrie variabel. Fn degré d’autentification supplémentaire peut être demandé afin d’accéder à surees ressources ou fonctionnalités d’une application.
Les avantages de la mise en œuvre de l’autentification à deux facteurs
Cette méthode présente de nombreux avantages. Elle renforce la sécurité des comptes utilisateurs en évitant de se reposer unika sur un mot de pass. Dans le cas d’une fuite de données contenant des mots de passe utilisateurs, la sécurité des comptes n’est donc que faiblement kompromiss.
Ce faisant, en förebyggande (et parfois hélas en réaction) aux risques d’intrusion et de fuite de données, les tjänster intranät eller offentliga doivent de munir d’un degré supplémentaire de sécurité pour leurs utilisateurs.
L’autentification à deux facteurs répond à cette exigence en mettant en place un degré d’identification qui est plus difficilement falsifierbart (bien qu’aucune méthode ne soit infaillible).
En tant qu’utilisateur, mettre en place une autentifiering à deux facteurs peut être d’une simplicité déconcertante, c’est même le plus souvent la plateforme où le compte est hébergé qui en fait la demande. Pour les entreprises, il ne s’agit pas seulement d’une question de déontologie ou de sauvegarde de l’activité. Cette démarche fait partie des rekommendationer et même de la règle européenne sur la protection des données personnelles.
Pour peu que l’on fasse confiance à l’entreprise administratrice du service en ligne, il suffit la plupart du temps de renseigner son numéro de téléphone. Suite à cela, un code peut être envoyé au téléphone, qui sert ainsi lors de la connexion sur un nouvel appareil.
Si cette dernière méthode correspond à un canal d’authentification SMS, une application mobile est tout aussi efficace pour remplir la même mission.
Quelles vulnérabilités pour l’autentification à double facteur ?
Chaque service en ligne est susceptible de privilégier une méthode d’autentification à deux facteurs différente. La plupart des services utilisent un enkel kod SMS (en complément du couple identifier / mot de passe) mais certains services d’authentification (comme Google) commencent à proposer de nouvelles méthodes. Exempelvis Google a conçu une application conçue comme second facteur d’autentification, tandis qu’Apple se base principalement sur l’autentification de vos données biométriques (reconnaissance faciale ou d’empreinte digitale).
Le développement de ces nouvelles méthodes a pour but de toujours améliorer le niveau de sécurité et par exemple de répondre à une des principales vulnérabilités de l’autentification par SMS : le SIM-byte. En deux mots, cette méthode de piratage informatique permet de réceptionner les koder SMS envoyés par un fournisseur de service à l’utilisateur.
Pour cette raison, la dubbel autentisering av Google se fait directement depuis l’application mobile, car il est plus difficile de la falsifier.
Ainsi, på peut constater que l’autentifiering à deux facteurs n’est pas infaillible. Comme toujours, chaque évolution des systèmes de sécurisation de données et ressources est pris comme un défi à relever pour les groupes de hackers (qu’ils cherchent à révéler des failles ou à les exploiter).
Quelles bonnes pratiques pour implémenter l’autentification à deux facteurs ?
På peut ainsi tirer quelques enseignements de l’usage de l’autentification à deux facteurs.
Évaluer les besoins, les méthodes de connexion les plus fréquentes dans son entreprise mène à mettre en place la technique d’autentification la plus adaptée. Till exempel, les lösningar physiques peuvent convenir aux entreprises qui privilégient un haut niveau de sécurité et l’utilisateur de matériels spécifiques. À l’opposé, une solution de jetons logiciels présente la flexibilité nécessaire aux activités réalisables à distans par un grand nombre d’utilisateurs.
Les tekniker les plus ergonomiques de 2FA font le plus souvent intervenir un smartphone comme appareil permettant de faire le lien entre une application and un utilisateur. Häll autant, la version la plus sécurisée de ce canal se porte sur l’usage d’une application dédiée et non d’un enkelt meddelande SMS, qui peut, avec assez de kompetenstekniker, être intercepté.
Pour en savoir plus sur les méthodes d’autentification à facteurs multiplar, le guide complet de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) présente toutes les recommandations pour mettre en place une telle méthode dans son entreprise.