Zffoto - stock.adobe.com
Authentification multifacteur : une approche parfois pesante mais tellement bénéfique
L’authentification à facteurs multiples (MFA) n’est pas toujours bien accueillie par les utilisateurs. Son impact au quotidien n’est pas négligeable. Mais ses bénéfices apparaissent trop grands pour être ignorés.
C’était mi-août. Jake Williams, fondateur de Rendition Infosec, affichait sa frustration : « pour accéder à mon compte, j’ai demandé à mon administrateur de supprimer l’authentification à facteurs multiples (MFA) afin que je puisse faire ce que j’avais à faire. Lorsque nous l’avions réactivée après coup, nous avions déjà perdu près d’une heure de travail ».
Alors pour lui, c’est une évidence à prendre en compte : la MFA a bien un coût. Mais Jake Williams est-il pour autant opposé à l’authentification à facteurs multiples ? Loin s’en faut.
Now I know I'm ranting here, but don't tell me there's no cost to MFA. To access my account, I just hit up my admin and had him remove the MFA requirement for my account so I can get stuff done. By the time we re-enable it later, we'll be nearly an hour of lost work time. https://t.co/OspWTMbbSe
— Jake Williams (@MalwareJake) August 15, 2019
Durant l’été 2018, déjà, le fondateur de Rendition Infosec le soulignait : « mettre en œuvre l’authentification à facteurs multiples présente un impact négatif sur la productivité ». Mais dans la foulée, il l’assurait : « je pense complètement que l’authentification à double facteur (2FA) en vaut la peine ». La question étant alors celle de la « friction », de la gêne occasionnée.
La diversité dans la MFA ne manque pas. Mais de fait, toute les approches ne se valent pas. L’an passé, Kevin Beaumont soulignait ainsi que si l’authentification supplémentaire par SMS ou appel téléphonique présente des limites connues, qui lui valent d’être régulièrement décriée, y compris par le très sérieux Nist lui-même, elle présente l’avantage considérable de la simplicité.
Plus tôt cette année, Alex Stamos, RSSI de Facebook, le soulignait : « la 2FA par SMS est un vaccin qui sauve des millions de détournements de comptes par an ». Pour lui, se faire piéger par un détournement de SMS, « c’est comme être frappé par une arme biologique ciblée ». Alors pour Jake Williams, c’est bien simple : il s’agit avant tout de modèle de menace et « la plupart des utilisateurs sont littéralement bien mieux [protégés] avec un SMS [en 2FA] qu’avec uniquement un mot de passe ». Chez Dragos, spécialiste de la sécurité des systèmes industriels, Joe Slowik ne dit pas autre chose : « La MFA basée sur le SMS est-elle parfaite ? Bien sûr que non… mais toujours meilleure que rien du tout ». Et pour x0rz, « parfois, il ne s’agit pas d’atteindre la sécurité ultime (qui n’existe pas), mais de relever le niveau suffisamment pour décourager la plupart des acteurs malveillants ». Et cela toujours en tenant compte de son modèle de menace. Et Microsoft abonde dans ce sens.
Dans le courant de l’été, Melanie Maynes, responsable du marketing produit de Microsoft Security, se faisait l’écho d’une note commandée par l’éditeur à l’institut Sans soulignant l’importance de l’authentification à facteurs multiples. Pour Melanie Maynes, c’est bien simple : « la MFA peut bloquer 99,9 % des attaques de compromission de compte ». Et cela recouvre également les fraudes à l’e-mail d’entreprise (BEC, ou Business email compromise), qui recouvrent notamment certaines fraudes au président. Ce qui n’a rien de négligeable : selon l’assureur AIG, les BEC comptent pour 23 % des demandes d’indemnisation reçues en 2018 dans le cadre de ses contrats d’assurance cyber.