Julien Mousqueton : « la question n’est plus s’il faut mettre en œuvre la MFA, mais quelle MFA »
CTO de Computacenter et créateur du site ransomware.live, Julien Mousqueton évoque pour LeMagIT le rôle de la MFA dans la sécurisation des accès au système d’information, désormais « must have ».
Dans un monde hyperconnecté, la sécurité des informations personnelles ou professionnelles ainsi que leur accès sont devenus une priorité absolue. Les cyberattaques et les violations de données sont une réalité quotidienne et il est essentiel de mettre en place des mesures de protection efficaces. Dans le domaine des accès, l’identification à facteurs multiples fait consensus.
Au moins 2 facteurs d’authentification différents
Julien Mousqueton, Chief Technology Officer de Computacenter, définit ce qu’est exactement l’authentification à facteurs multiples : « il s’agit d’une méthode de sécurité qui exige plusieurs preuves d’identité avant d’autoriser l’accès à un système d’information, à une donnée ou à une application ».
Contrairement à une authentification simple basée sur le couple login/mot de passe, la MFA combine au moins 2 facteurs d’authentification sur les 3 types existants. Le premier est le facteur de connaissance, c’est-à-dire quelque chose que l’utilisateur connaît. Il s’agit principalement du mot de passe ou d’un code pin, mais aussi la réponse à une question secrète. « Le facteur de connaissance est le plus couramment utilisé, mais aussi le plus vulnérable aux attaques, que ce soit par phishing ou par force brute », souligne l’expert.
Le second facteur est lié à la possession ; un dispositif qui est alloué à l’utilisateur. Il s’agit bien souvent du smartphone qui permet de recevoir des codes SMS à usage unique et durée de validité limitée ou d’une application d’authentification sur le téléphone. Dans certains cas, l’entreprise peut lui fournir une clé de sécurité matérielle comme une YubiKey ou encore une carte à puce : « l’avantage du facteur de possession est d’ajouter une couche de sécurité supplémentaire qui implique d’avoir un objet physique en sa possession ».
Enfin, le troisième facteur est le facteur d’inhérence, quelque chose que l’on est. Cela peut être une empreinte digitale, la reconnaissance faciale ou, plus récemment, de la reconnaissance vocale : « ce facteur est basé sur une caractéristique biométrique qui est unique, ce qui rend la falsification extrêmement compliquée. Il faut mettre en œuvre 2 facteurs minimum, mais il est préférable d’aller vers 3 facteurs. C’est ce que l’on retrouve aujourd’hui assez fréquemment dans les solutions de MFA ».
Attention à tenir compte du choix des utilisateurs
Lorsqu’on souhaite déployer la MFA à l’échelle d’une entreprise, une erreur consiste à vouloir imposer à tous les utilisateurs les mêmes facteurs d’authentification. Certains n’ont pas de smartphone professionnel et ne peuvent utiliser une application d’authentification. L’entreprise peut alors offrir le choix entre recevoir un SMS, mettre en œuvre une application mobile ou bien recevoir un code sur un token hardware : « offrir un tel choix va faciliter l’adoption de la MFA par les utilisateurs. Dans certains contextes, certains facteurs ne sont pas possibles. Dans certains endroits, on ne capte pas de réseau cellulaire, les téléphones peuvent être interdits, etc. C’est pour cela qu’il est toujours intéressant de laisser aux utilisateurs le choix de la méthode d’authentification ».
« Dans certains contextes, certains facteurs ne sont pas possibles. [...] C’est pour cela qu’il est toujours intéressant de laisser aux utilisateurs le choix de la méthode d’authentification ».
Julien MousquetonCTO de Computacenter et créateur du site ransomware.live
L’entreprise peut mettre en œuvre plusieurs méthodes d’authentification et il est nécessaire de réfléchir à comment mettre en place différents niveaux d’authentification multifacteurs, en fonction du contexte de l’utilisateur et du contexte géopolitique. Ainsi, faut-il mettre en œuvre la MFA lorsque l’utilisateur est connecté au réseau interne de l’entreprise ? Si le site est déjà sécurisé et que l’utilisateur a déjà dû badger pour entrer, la MFA est-elle réellement utile ?
À l’opposé, si l’utilisateur se connecte à 3 heures du matin, il peut être pertinent d’activer la MFA s’il ne s’agit pas d’un horaire habituel. De même, est-ce que le directeur technique a besoin d’accéder au système financier de son entreprise ?
Le type de terminal peut aussi entrer en ligne de compte, selon qu’il s’agit d’un smartphone, d’une tablette ou d’un PC. Julien Mousqueton résume l’approche à adopter : « la notion de risque est importante. Il y a le risque géopolitique. L’entreprise peut aussi être visée par une campagne ciblée de phishing, il peut être intéressant d’augmenter les critères de MFA et ajouter un troisième facteur. Ainsi, lors d’une période sensible comme ont pu l’être les Jeux olympiques, les risques d’attaque par Supply Chain sur les principaux sponsors augmentent. Pendant cette période, on peut augmenter le niveau de MFA ».
Pour le RSSI, la tentation est alors de pousser en faveur du plus haut niveau de protection en permanence, mais l’expérience utilisateur doit aussi être prise en compte. La notion d’accès conditionnel vise à trouver le bon équilibre entre ces positions antagonistes par définition : « l’accès conditionnel doit tenir compte du type de terminal, du réseau sur lequel se trouve l’utilisateur. Il faut vérifier que le poste dispose bien du dernier antivirus ou EDR et que celui-ci est à jour, qu’il est activé et fonctionne normalement. L’heure est aussi un critère important, de même que les habitudes de connexion, la localisation. Enfin, le contexte est très important. Même si le contexte est global, la menace reste très spécifique à chaque entreprise ».
Contrer le risque d’attaque par MFA Fatigue
La montée en puissance de la MFA dans les organisations a poussé les attaquants à imaginer un type d’attaque spécifique pour le déjouer, c’est l’attaque par MFA Fatigue ou MFA Bombing. L’utilisateur peut être inondé par des dizaines voire des centaines de demandes d’authentification par MFA. Au bout d’un moment, l’utilisateur est fatigué de cliquer sur « Non » et va finir par cliquer « Oui » pour mettre fin aux messages. L’attaquant dispose alors d’un accès au système d’information.
Plusieurs solutions techniques sont apparues pour éviter à l’utilisateur de tomber dans le piège. On peut demander à l’utilisateur de taper un nombre affiché sur le site Web : « ce n’est généralement qu’un nombre à deux chiffres. C’est à la fois rapide et peu complexe pour l’utilisateur. Cela va éviter que celui-ci clique immédiatement sur “Accepter” et ouvre la porte à l’attaquant. Lorsqu’il n’est pas facile pour l’utilisateur de taper sur un clavier, une autre méthode consiste à cliquer sur le bon chiffre parmi les 3 proposés ».
« Plusieurs solutions peuvent être exploitées en fonction des populations, des utilisateurs et du contexte. »
Julien MousquetonCTO de Computacenter et créateur du site ransomware.live
Tout l’art du chef de projet est de trouver le juste équilibre entre la sécurité, le risque et l’expérience utilisateur : « j’ai pu voir des entreprises qui imposaient des demandes de MFA pour chaque connexion et en permanence. C’est très usant pour les utilisateurs. Le risque de MFA Fatigue est très élevé. Ils cliquent, car ils en ont marre. Il faut vraiment trouver le juste milieu. Si je suis sur le même réseau et le même device et que je me suis connecté à l’application A avec de la MFA, est-il vraiment pertinent de m’obliger de passer à nouveau par la MFA pour me connecter à une application B ? ». Vraisemblablement pas. « Par contre, si une minute après l’authentification, l’utilisateur est localisé sur un autre réseau et dans un autre pays, il peut être pertinent de lui imposer la MFA à nouveau pour vérifier qu’il s’agit bien de la même personne ».
Trouver le juste milieu, c’est aussi tenir compte des contraintes de certains milieux. Dans les hôpitaux, les professionnels n’ont pas toujours les mains libres. De même, sur certains postes, le port de gants est obligatoire. Là encore, il faut trouver le dispositif qui sera le plus facilement accepté par l’utilisateur. Dans la restauration, les serveurs utilisent un jeton pour valider les commandes dans le système. La MFA ne se limite pas à une application sur téléphone mobile. Cartes à puces et token USB restent plus pertinents dans certains cas d’usage.
En 2024, la question n’est plus de savoir s’il faut mettre en place la MFA, mais de savoir quelle MFA mettre en œuvre. Choisir les facteurs d’authentification à déployer au sein d’une entreprise n’est pas un projet aussi simple qu’il n’y paraît : « plusieurs solutions peuvent être exploitées en fonction des populations, des utilisateurs et du contexte », rappelle Julien Mousqueton. « C’est une véritable étude à mener, car il ne s’agit pas seulement d’un projet IT ou de sécurité. Il faut échanger avec les métiers, tenir compte de leur façon de travailler. On pense toujours aux employés de bureau et aux télétravailleurs, mais il n’y a pas qu’eux. Il y a aussi des collaborateurs dans les entrepôts qui travaillent sur des postes moins sécurisés, car il y a beaucoup de passage. Dans certains entrepôts sécurisés, les employés n’ont pas le droit d’entrer avec leur téléphone. Dans ce cas, le token peut être intéressant ».
La mise en place de la MFA reste un projet où il faut mettre en balance d’un côté l’expérience utilisateur et le risque de l’autre.
Témoignage issu du Summit Cybersécurité BrightTalk/LeMagIT de juin 2024. Il est disponible ici dans son intégralité.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
