Definition

Authentification multiple

L'authentification multiple (Multi-factor authentication en anglais ou MFA) est un système de sécurité qui fait appel à plusieurs méthodes d'authentification, à partir de différentes catégories d'informations d'identification (des preuves), pour vérifier l'identité de l'utilisateur qui souhaite se connecter ou effectuer une transaction.

Ce type d'authentification combine au moins deux informations d'identification indépendantes portant sur ce que l'utilisateur sait (son mot de passe), sur ce qu'il possède (un Token ou un smartphone) et sur ce qu'il est (une vérification biométrique).

La MFA a pour objectif de mettre en place plusieurs niveaux de protection, afin de rendre plus difficile l'accès d'une personne non autorisée à une cible telle qu'un emplacement physique, un appareil informatique, un réseau ou une base de données. Ainsi, même si le pirate parvient à déchiffrer l'un des facteurs, il lui reste encore au moins un obstacle à franchir avant d'atteindre sa cible.

L'un des plus grands problèmes du mode classique de connexion à l'aide d'un identifiant et d'un mot de passe est qu'il faut tenir à jour une base de données de ces mots de passe. Qu'elle soit chiffrée ou pas, si un pirate met la main sur cette base, il disposera d'une source lui permettant de vérifier ses hypothèses à des vitesses sans aucune autre limite que ses ressources matérielles. En d'autres termes, le déchiffrement d'une base de données de mots de passe n'est qu'une question de temps.

Avec l'augmentation des vitesses de traitement, les attaques par force brute deviennent une véritable menace. De même, d'autres progrès, tels que le cassage de mots de passe par la technologie GPGPU et les rainbow tables profitent aux pirates. Le cassage par GPGPU, par exemple, peut produire plus de 500 000 000 de mots de passe par seconde, même sur du matériel de jeu bas de gamme. Selon le logiciel, des rainbow tables permettent de déchiffrer des mots de passe alphanumériques de 14 caractères en 160 secondes environ. Et des cartes FPGA spécialisées, comme celles qu'utilisent les organismes de sécurité, multiplient ces performances par dix en ne consommant qu'une infime fraction de la puissance du GPU. Une simple base de données de mots de passe ne fait donc absolument pas le poids contre ces méthodes lorsque la cible présente un réel intérêt.

Auparavant, les systèmes MFA reposaient généralement sur une authentification à deux facteurs. Aujourd'hui, les fournisseurs utilisent de plus en plus le terme « multifacteurs » pour décrire des systèmes d'authentification exigeant plusieurs informations d'identification.

Facteurs d'authentification

Un facteur d'authentification – ou une preuve - est une catégorie d'informations servant à vérifier l'identité de l'utilisateur. Chaque facteur supplémentaire augmente l'assurance qu'une entité se livrant à une quelconque communication ou demandant l'accès à un système est bien la personne ou l'organisme qu'elle prétend être. Les trois catégories les plus courantes sont souvent appelées facteur mémoriel (ce que vous savez), facteur matériel (ce que vous possédez) et facteur corporel (ce que vous êtes).

Facteurs mémoriels : ce sont les informations qu'un utilisateur doit pouvoir fournir pour se connecter. Cette catégorie comprend les noms d'utilisateur ou identifiants, les mots de passe, les codes PIN et les réponses aux questions secrètes.

Facteurs matériels : ils désignent les éléments qu'un utilisateur doit avoir en sa possession pour se connecter, par exemple un Token, un jeton de mot de passe à usage unique (OTP), un porte-clé, un badge d'employé ou la carte SIM d'un téléphone. Pour l'authentification mobile, un smartphone fournit souvent le facteur matériel, associé à une application OTP.

Facteurs corporels : il s'agit des caractéristiques biologiques de l'utilisateur qui sont vérifiées au moment de la connexion. Cette catégorie comprend toutes les méthodes d'authentification biométrique, telles que le balayage de la rétine, le balayage de l'iris, l'analyse de l'empreinte digitale, l'identification des veines du doigt, la reconnaissance faciale, la reconnaissance vocale, la forme de la main ou celle du lobe de l'oreille.

Facteurs de lieu : la localisation actuelle de l'utilisateur est souvent suggérée comme quatrième facteur d'authentification. De nouveau, l'omniprésence des smartphones facilite l'authentification multiple dans ce cas : en effet, la plupart des smartphones sont équipés d'un GPS, qui permet de confirmer le lieu de la connexion de façon raisonnablement fiable.

Facteurs temporels : l'heure actuelle est également parfois considérée comme un quatrième, voire un cinquième facteur d'authentification. Ainsi, la vérification des identifiants d'employé par rapport à des emplois du temps peut empêcher certains types d'attaques. Par exemple, le client d'une banque ne peut pas physiquement utiliser sa carte de retrait aux Etats-Unis, puis en Russie 15 minutes plus tard. Des verrouillages logiques de ce type permettraient d'éviter de nombreux cas de fraude bancaire en ligne.

Technologies d'authentification multifacteur

Token : petits dispositifs matériels portés par l'utilisateur pour obtenir l'accès à un service réseau. Ils peuvent prendre la forme d'une carte à puce ou être intégrés dans un objet facilement transportable, tel qu'un porte-clé ou une clé USB. Les Token (ou jetons de sécurité) constituent le facteur matériel historique de l'authentification multiple. Cependant, les jetons logiciels deviennent plus courants que les dispositifs matériels.

Tokens logiciels : ces applications génèrent un code PIN de connexion à usage unique. Les jetons logiciels servent souvent pour l'authentification multiple mobile, dans laquelle c'est l'appareil lui-même (smartphone, par exemple) qui fournit le facteur matériel.

Authentification mobile : il en existe plusieurs variantes, dont les SMS et appels téléphoniques envoyés à un utilisateur en guise de méthode hors bande, les applications OTP de smartphone, les cartes SIM et cartes à puce sur lesquelles sont stockées des données d'authentification.

Méthodes d'authentification biométrique, parmi lesquelles le balayage de la rétine, le balayage de l'iris, l'analyse de l'empreinte digitale, l'identification des veines du doigt, la reconnaissance faciale, la reconnaissance vocale, la forme de la main ou celle du lobe de l'oreille.

GPS intégré aux smartphones, qui peut également fournir un facteur d'authentification par localisation.

Badges d'employé et cartes client, incluant les cartes à bande magnétique ou à puce.

Cette définition a été mise à jour en novembre 2016

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)