Getty Images/iStockphoto
L’authentification multifacteurs bientôt obligatoire ?
L’évolution du paysage du travail moderne et des menaces cyber a permis à certaines organisations d’exiger une protection par authentification multifactorielle. D’autres les rejoindront-elles ?
L’essor du travail à distance et du travail hybride a entraîné une augmentation de l’utilisation de l’authentification à facteurs multiples (MFA) sur le lieu de travail et dans les environnements grand public, ce qui a conduit certaines organisations à exiger cette technologie pour certains utilisateurs et comptes.
Si diverses formes de MFA existent depuis des décennies, pour les services bancaires en ligne par exemple, leur utilisation dans les réseaux d’entreprise s’est considérablement accrue au cours des dernières années. Depuis le début de la pandémie, le travail à distance est devenu monnaie courante dans presque tous les secteurs.
Les nouvelles technologies sont l’un des facteurs qui contribuent le plus à la nécessité de la MFA. Helen Patton, conseillère CISO chez Cisco et ancienne CISO de l’université d’État de l’Ohio, a décrit comment la propagation des appareils mobiles a rendu l’authentification et la gestion des identités beaucoup plus difficiles : « au cours des 20 dernières années environ, les problèmes se sont multipliés à mesure que notre technologie devenait de plus en plus distante », analyse Helen Patton.
Helen PattonConseillère CISO, Cisco
Et de rappeler qu’au « début des années 90, il fallait utiliser sa carte d’entreprise pour entrer dans un bureau et s’asseoir à un poste de travail équipé d’une machine appartenant à l’organisation et gérée par elle. Parce que vous étiez dans le bureau sur leur appareil, physiquement sur leur réseau, nous disions : “oui, ce doit être Helen, parce que c’est trop pénible de faire autrement” ».
Aujourd’hui, avec de nombreux employés qui travaillent depuis leur domicile ou l’endroit de leur choix, il est encore plus important de pouvoir vérifier qui accède à quoi sur le réseau de l’entreprise. En outre, les cybercriminels s’efforcent de plus en plus d’obtenir les informations d’identification des employés, soit par le biais de courriels d’hameçonnage et d’autres attaques, soit en les achetant sur des places de marché du dark web ou sur Telegram.
Par exemple, il y a eu de nombreux cas où des acteurs malveillants ont tenté d’obtenir un accès par le biais d’identifiants VPN d’employés qu’ils avaient achetés ou volés. L’augmentation des menaces a conduit le président Joe Biden à signer, en mai 2022, un décret imposant l’utilisation de la MFA dans les agences fédérales américaines. L’adoption de la MFA est également une recommandation fréquente dans les avis des fournisseurs de solutions de cybersécurité et des organismes gouvernementaux tels que l’Agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA).
Selon Helen Patton, la banalisation des cybermenaces (en particulier des groupes de ransomware), associée à la forte augmentation du travail à distance, a mis l’accent sur la MFA : « l’évolution de la technologie, l’évolution du type d’acteurs malveillants auxquels nous devons faire face, l’évolution de la manière dont nous gérons les paiements ; tous ces éléments nous ont amenés à avoir besoin d’une utilisation meilleure et plus omniprésente de la MFA ».
Aaron Goldsmid, vice-président de la sécurité des comptes chez Authy, fournisseur de MFA, estime que la pandémie a également mis en évidence l’importance de la MFA pour les consommateurs.
La pandémie a entraîné une accélération du passage du physique au numérique et, en fin de compte, a renforcé le mouvement « mobile-first », estime-t-il : « les consommateurs ont trouvé de nouvelles façons d’effectuer des opérations en ligne (par exemple, effectuer des opérations bancaires, acheter des produits alimentaires, commander des plats à emporter) et ont souvent eu besoin de créer un nouveau compte pour effectuer des opérations commerciales. IBM a constaté que la dépendance des consommateurs à l’égard des canaux numériques s’est considérablement accrue pendant la pandémie, les individus créant en moyenne 15 nouveaux comptes en ligne au cours de cette période. Un nouveau problème est alors apparu : le risque de fraude au moment de l’inscription ».
Aaron Goldsmid,&VP sécurité des comptes, Authy
Certaines entreprises ont mis en place des obligations de recours à la MFA pour les utilisateurs et les employés. Aaron Goldsmid relève que d’autres gouvernements commencent déjà à mettre en œuvre des exigences en matière de MFA : « le New Jersey a adopté une législation exigeant que tous les opérateurs de jeux et de paris sportifs mettent en œuvre la 2FA, et nous pouvons nous attendre à ce que d’autres États et pays fassent de même ».
En Europe, « la directive sur les services de paiement (DSP) 2 exige une authentification forte du client pour les transactions dépassant un certain montant, afin de protéger le consommateur contre les achats frauduleux ou non autorisés ».
Avantages de la MFA
Malgré la protection offerte, l’adoption de la MFA s’est heurtée à des difficultés au fil des ans. Les consommateurs et les employés ont souvent considéré l’étape supplémentaire, consistant à recevoir un message texte ou un courrier électronique contenant un mot de passe à usage unique (OTP), comme une étape lourde et superflue du processus de connexion.
Mais certains points de vue ont pu changer au cours de la pandémie, les employés ayant adopté le travail à distance. Sumit Bahl, directeur de la sécurité de l’identité des travailleurs chez Okta, a décrit ce qu’il considère comme l’avantage d’avoir à utiliser la MFA : « je pense que la plupart des employés, si vous leur donnez la possibilité de travailler de n’importe où sur la planète et que le compromis consiste en l’utilisation d’un deuxième facteur, ils seraient à l’aise avec cela ».
Helen PattonConseillère CISO, Cisco
Et d’estimer que « si nous parlons de quelque chose qui est intégré à votre appareil mobile ou qui fonctionne de la même manière que celle pour laquelle vous devez interagir avec votre propre application bancaire mobile, nous ne parlons pas d’un grand inconvénient. Le compromis est donc là, même au niveau individuel ».
Du côté des menaces, la MFA s’est avérée efficace pour protéger les comptes et limiter les dommages potentiels liés à l’exposition des informations d’identification. Par exemple, selon Helen Patton, la MFA peut faire la différence entre des informations d’identification exposées et une véritable brèche : « vous pouvez toujours avoir un phishing où quelqu’un donne son mot de passe, mais il est peu probable qu’il donne son mot de passe et le deuxième facteur en même temps ». Certes, « aujourd’hui, nous observons des attaques de phishing qui ciblent le [second] facteur d’authentification, mais elles n’obtiennent généralement pas le mot de passe en même temps. Il est donc d’autant plus difficile pour un attaquant de pénétrer dans les systèmes que la MFA tente de protéger ».
Helen Patton estime également que la rentabilité du déploiement de la MFA est un atout majeur pour les sociétés : « lorsque l’on examine les données relatives aux entreprises, qui ont mis en place la MFA et subissent les conséquences du phishing et d’autres types de piratage, par rapport à celles qui ne l’ont pas fait, on s’aperçoit que la MFA est rentable ».
Certes, concède-t-elle, « il y a des dépenses à faire pour y parvenir. Mais même s’il y a une dépense, cela en vaut la peine, car le coût de la gestion d’un incident et de la reprise après un incident est bien plus élevé que ce que l’on paierait pour la MFA ».
L’hésitation à l’adopter
Bien que la MFA offre une protection efficace des comptes, de nombreuses organisations n’ont pas encore adhéré pleinement au concept.
Selon Helen Patton, les préoccupations relatives à l’expérience utilisateur (en particulier le temps nécessaire à l’authentification des personnes) constituent l’un des principaux points d’achoppement pour les groupes qui hésitent à l’utiliser.
« Généralement, c’est l’expérience de l’interface client et la perception d’un impact négatif qui constituent la principale objection », relève-t-elle, ajoutant que les coûts opérationnels pour soutenir un système de MFA qui fonctionne bien peuvent également être une source de préoccupation.
Le manque de convivialité des déploiements de MFA est une plainte fréquemment constatée par Sumit Bahl lors de ses échanges avec les clients par le passé : les utilisateurs se plaignaient de la fréquence à laquelle ils devaient s’authentifier ou du fait qu’ils avaient parfois besoin de leurs appareils mobiles pour le faire, alors que ces derniers étaient introuvables.
Helen PattonConseillère CISO, Cisco
Aaron Goldsmid le constate également : « l’ajout de 2FA/MFA peut entraîner des frictions supplémentaires pour l’utilisateur final ». Et « les équipes chargées de la croissance et de l’acquisition veulent créer des flux d’utilisateurs, qui permettent aux consommateurs de s’inscrire ou d’effectuer des transactions plus rapidement, et de supprimer autant de points de friction que possible ».
Un autre problème lié à la MFA est que les formulaires courants ne sont pas totalement sécurisés. En 2017, le NIST américain a, par exemple, déconseillé la MFA par SMS et recommandé aux utilisateurs d’opter pour d’autres facteurs d’authentification. Plus récemment, des entreprises telles que Microsoft ont également supprimé la prise en charge de l’authentification à second facteur par SMS, craignant que les messages textuels contenant des OTP puissent être interceptés. Bien que de nombreux experts en sécurité estiment que l’authentification par SMS est toujours préférable à l’absence de second facteur d’authentification, de nombreux fournisseurs ont introduit des applications d’authentification dédiées pour les appareils mobiles et d’autres moyens plus sûrs pour vérifier les connexions.
L’avenir de la MFA
Alors que certains hésitent encore à utiliser la MFA, d’innombrables organisations (des entreprises technologiques aux universités publiques) ont adopté l’outil ; et des moyens plus simples d’authentifier les individus sont en train d’être mis au point. Les organisations des secteurs privé et public font évoluer le paysage de la sécurité vers le service, avec des politiques d’utilisateurs et/ou d’employés qui requièrent la MFA.
« Si l’on considère l’ensemble du secteur, les fournisseurs d’assurance cyber exigent aujourd’hui l’authentification à facteurs multiples [pour les polices d’assurance] », relève Sumit Bahl. Et c’est sans compter avec les services donnant l’exemple, qu’il s’agisse de Salesforce, Apple ou GitHub : « un changement se produit lorsque toutes ces tendances de haut niveau poussent les entreprises à penser à l’authentification à facteurs multiples ».
Jason OeltjenVice-président de la gestion des produits, Ping Identity
Alors que la MFA devient de plus en plus répandue, les fournisseurs de solutions de gestion des identités et des accès ont un objectif à long terme plus important : l’authentification sans mot de passe.
Jason Oeltjen, vice-président de la gestion des produits chez Ping Identity, estime que la transition vers l’abandon des mots de passe nécessitera plus que des facteurs d’authentification alternatifs : « pour réussir, l’authentification multifactorielle et sans mot de passe sera de plus en plus associée à l’intelligence, qui utilisera des facteurs transparents pour l’utilisateur, afin d’aider à déterminer les tentatives de connexion valides ».
Selon lui, « ces moteurs d’intelligence surveillent en permanence et peuvent reconnaître les humains par rapport aux robots, ainsi que de nombreuses autres tentatives de connexion d’acteurs malveillants, grâce à l’apprentissage automatique et à la reconnaissance des formes ».
Okta Verify, une application qui peut être installée sur un appareil mobile, est un facteur d’authentification courant pour les utilisateurs d’Okta. Sumit Bahl voit l’utilisation d’Okta Verify et de son service Fast Pass, qui met en œuvre la connexion biométrique, comme l’une des principales méthodes d’authentification. Selon Okta, 85 % de ses clients utilisent désormais Okta Verify pour leur authentification.
Helen Patton a également identifié l’authentification sans mot de passe (et plus particulièrement l’utilisation de la biométrie) comme étant le moteur de la prochaine vague de technologie MFA, grâce en partie au soutien croissant de normes telles que l’Alliance Fast Identity Online (FIDO).
« Nous assistons certainement à l’essor de la biométrie », juge-t-elle. « C’est une solution plus sûre qu’auparavant, et il existe des normes FIDO prenant en charge la biométrie matérielle qui ont été publiées. C’est sur cela que Duo et Cisco basent leur authentification sans mot de passe, et c’est sur cela que Microsoft et d’autres la basent. Les normes sont meilleures, ainsi que les données biométriques matérielles, et elles sont plus faciles à utiliser pour le consommateur ».