Article de reference

Authentification multifactorielle

Divers jetons de sécurité matériels . À gauche et au centre, deux variantes de la YubiKey et à droite, un jeton FIDO de L’authentification multifacteurs ( AMF), également appelé...

Divers jetons de sécurité matériels . À gauche et au centre, deux variantes de la YubiKey et à droite, un jeton FIDO de d’authentification électronique qui n’autorise l’accès à un site web ou à une application qu’après avoir fourni avec succès au moins deux types de preuves (ou facteurs ) distincts à un mécanisme d’authentification . L’AMF protège les données personnelles — telles que les informations d’identification ou les actifs financiers — contre tout accès non autorisé par un tiers qui aurait pu découvrir, par exemple, un simple mot de passe .

L’utilisation de l’authentification multifacteur (MFA) a augmenté ces dernières années. Les problèmes de sécurité qui peuvent entraîner le contournement de la MFA sont les attaques par fatigue , le phishing et l’échange de carte SIM .

Les comptes pour lesquels l'authentification multifacteur est activée sont nettement moins susceptibles d'être compromis.

se connecter à une ressource informatique ( réseau , appareil ou application). La ressource exige que l'utilisateur fournisse son identité , ainsi qu'une preuve de l'authenticité de cette identité. L'authentification simple ne requiert qu'une seule preuve (facteur), généralement un mot de passe, ou parfois plusieurs preuves de même nature, comme un numéro de carte bancaire et son code de vérification (CVC). Pour une sécurité renforcée, la ressource peut exiger plus d'un facteur : l'authentification multifacteurs. L'authentification à deux facteurs requiert alors deux types de preuves.

L’utilisation de plusieurs facteurs d’authentification pour prouver l’identité d’une personne repose sur le principe qu’il est peu probable qu’un acteur non autorisé puisse fournir tous les facteurs requis pour l’accès. Si, lors d’une tentative d’authentification, au moins un des éléments est manquant ou incorrect, l’identité de l’utilisateur n’est pas établie avec une certitude suffisante et l’accès à la ressource (par exemple, un bâtiment ou des données) protégée par l’authentification multifacteurs reste bloqué. Les facteurs d’authentification d’un système d’authentification multifacteurs peuvent inclure :

Un exemple d’authentification à deux facteurs est le retrait d’argent à un distributeur automatique de billets ; seule la combinaison correcte d’une carte bancaire physiquement présente (que l’utilisateur possède) et d’un code PIN (que l’utilisateur connaît) permet d’effectuer la transaction. Deux autres exemples consistent à compléter un mot de passe contrôlé par l’utilisateur par un mot de passe à usage unique (OTP) ou un code généré ou reçu par un dispositif d’authentification (par exemple, un jeton de sécurité ou un smartphone ) que seul l’utilisateur possède.

Une application d'authentification permet l'authentification à deux facteurs différemment, en affichant un code généré aléatoirement et constamment actualisé, plutôt que d'envoyer un SMS ou d'utiliser une autre méthode. Ce code est un mot de passe à usage unique basé sur le temps ( TOTP ), et l'application d'authentification contient les éléments clés permettant la génération de ces codes.

Connaissance

phrase de passe ) et les codes PIN, plus courts et purement numériques, couramment utilisés pour accéder aux distributeurs automatiques de billets . Traditionnellement, les mots de passe sont censés être mémorisés , mais ils peuvent également être notés sur un support papier ou dans un fichier texte tenu secret.

Possession

Jeton RSA SecurID , un exemple de générateur de jetons déconnecté

Les facteurs de possession (éléments que seul l'utilisateur possède) sont utilisés pour l'authentification depuis des siècles, à l'instar de la clé d'une serrure. Le principe de base est que la clé renferme un secret partagé entre la serrure et la clé ; ce même principe sous-tend l'authentification par facteur de possession dans les systèmes informatiques. Un jeton de sécurité est un exemple de facteur de possession.

Les jetons déconnectés n'ont aucune connexion avec l'ordinateur client. Ils utilisent généralement un écran intégré pour afficher les données d'authentification générées, que l'utilisateur saisit manuellement. Ce type de jeton utilise le plus souvent un mot de passe à usage unique qui ne peut être utilisé que pour cette session spécifique.

Un jeton de sécurité USB

Les jetons connectés sont des dispositifs physiquement reliés à l'ordinateur utilisé. Ces dispositifs transmettent automatiquement des données. Il en existe différents types, notamment les jetons USB, les cartes à puce et les étiquettes sans fil . Les jetons compatibles FIDO2 , pris en charge par la FIDO Alliance et le World Wide Web Consortium (W3C), sont de plus en plus utilisés, et leur compatibilité avec les principaux navigateurs a débuté en 2015.

Un jeton logiciel (ou jeton souple ) est un dispositif d'authentification à deux facteurs permettant d'autoriser l'accès à des services informatiques. Stockés sur un appareil électronique standard ( ordinateur de bureau , ordinateur portable , PDA ou téléphone mobile) , les jetons logiciels peuvent être dupliqués. À l'inverse, les jetons matériels contiennent des informations d'identification stockées sur un appareil dédié, ce qui les rend impossibles à dupliquer sans intervention physique. Un jeton logiciel peut ne pas être un appareil avec lequel l'utilisateur interagit directement. Généralement, un certificat X.509v3 est chargé sur l'appareil et stocké de manière sécurisée à cet effet.une carte d'accès ou un code QR affiché sur un appareil) qui sert de justificatif d'identité, et deuxièmement, d'une validation de l'identité telle que la biométrie faciale ou le scan rétinien (vérification ou authentification faciale), ou un code PIN.

Inhérent

Les facteurs inhérents (« caractéristiques de l’utilisateur ») sont des facteurs associés à l’utilisateur et sont généralement des méthodes biométriques , notamment la reconnaissance des empreintes digitales , du visage , ou de l’iris . La biométrie comportementale, comme l’analyse de la dynamique de frappe au clavier, peut également être utilisée.

Emplacement

De plus en plus, un quatrième facteur entre en jeu : la localisation physique de l’utilisateur. Connecté au réseau de l’entreprise par câble, un utilisateur peut se connecter à l’aide d’un simple code PIN. En revanche, en télétravail, une méthode d’authentification multifacteur (AMF) plus sécurisée, comme la saisie d’un code provenant d’un jeton logiciel, peut être requise. Adapter le type et la fréquence de l’AMF à la localisation de l’utilisateur permet de limiter les risques liés au télétravail.

Les systèmes de contrôle d'accès au réseau fonctionnent de manière similaire : le niveau d'accès au réseau peut dépendre du réseau spécifique auquel un appareil est connecté, par exemple Wi-Fi ou connexion filaire. Cela permet également à un utilisateur de se déplacer entre différents bureaux et de bénéficier dynamiquement

Exemple d'authentification par téléphone mobile utilisant des mots de passe à usage unique

L’authentification à deux facteurs par SMS a été développée dès 1996, lorsqu’AT&T a décrit un système d’autorisation des transactions basé sur un échange de codes via des téléavertisseurs bidirectionnels.

De nombreux fournisseurs d'authentification multifacteurs proposent l'authentification par téléphone mobile. Parmi les méthodes utilisées, on trouve l'authentification par notification push, par code QR , par mot de passe à usage unique (basé sur un événement ou sur le temps) et par SMS. Cette dernière présente toutefois des failles de sécurité. Les téléphones peuvent être clonés, les applications peuvent fonctionner sur plusieurs appareils et le personnel de maintenance peut lire les SMS. Enfin, les téléphones portables peuvent être piratés, ce qui signifie qu'ils ne sont plus la propriété exclusive de leur utilisateur.

Le principal inconvénient de l'authentification par jeton physique (clé USB, carte bancaire, clé, etc.) est que l'utilisateur doit le transporter en permanence. Les risques de perte et de vol sont importants. De nombreuses organisations interdisent l'utilisation de clés USB et d'appareils électroniques dans leurs locaux en raison des risques de logiciels malveillants et de vol de données, et la plupart des machines importantes sont dépourvues de ports USB pour la même raison. Les jetons physiques ne sont généralement pas adaptés à une utilisation à grande échelle, nécessitant souvent un nouveau jeton pour chaque nouveau compte et système. L'acquisition et le remplacement de ces jetons engendrent des coûts. De plus, il existe des conflits inhérents et des compromis inévitables entre facilité d'utilisation et sécurité.

L'authentification à deux facteurs par téléphone mobile et smartphone offre une alternative aux dispositifs physiques dédiés. Pour s'authentifier, les utilisateurs peuvent utiliser leurs codes d'accès personnels (connus uniquement de l'utilisateur) ainsi qu'un code d'accès dynamique à usage unique, généralement composé de 4 à 6 chiffres. Ce code peut être envoyé par SMS ou généré par une application dédiée. Dans les deux cas, l'avantage de l'utilisation d'un téléphone mobile réside dans l'absence de besoin de jeton supplémentaire, les utilisateurs ayant généralement leur téléphone sur eux en permanence.

Malgré la popularité de la vérification par SMS, des experts en sécurité l'ont publiquement critiquée , et en juillet 2016, un projet de directive du NIST américain proposait de la déconseiller comme méthode d'authentification . Un an plus tard, le NIST a réintégré la vérification par SMS comme canal d'authentification valide dans la version finale de la directive

Dès 2011, Duo Security proposait des notifications push pour l'authentification multifacteur (MFA) via une application mobile. En 2016 et 2017 respectivement, Google et Apple ont commencé à proposer l'authentification à deux facteurs avec notifications push comme méthode alternative.

La sécurité des jetons de sécurité transmis par SMS dépend entièrement de la sécurité opérationnelle de l'opérateur mobile et peut être facilement compromise par des écoutes téléphoniques ou le clonage de la carte SIM par les agences de sécurité nationale.

Avantages :

  • Aucun jeton supplémentaire n'est nécessaire car il utilise des appareils mobiles qui sont (généralement) transportés en permanence.
  • Comme ils changent constamment, les mots de passe générés dynamiquement sont plus sûrs à utiliser que les informations de connexion fixes (statiques).
  • Selon la solution choisie, les codes d'accès utilisés sont automatiquement remplacés afin de garantir la disponibilité permanente d'un code valide ; les problèmes de transmission/réception n'empêchent donc pas les connexions.

Inconvénients :

  • Les utilisateurs restent vulnérables aux attaques de phishing. Un attaquant peut envoyer un SMS contenant un lien vers un site web contrefait , identique en apparence au site officiel : il s’agit d’une attaque de type « homme du milieu » . L’attaquant peut alors obtenir le code d’authentification, le nom d’utilisateur et le mot de passe.
  • Un téléphone mobile n'est pas toujours disponible : il peut être perdu, volé, avoir une batterie déchargée ou être tout simplement hors service. En particulier, la perte d'appareils non liée à un incident de sécurité constitue une faiblesse majeure pour l'adoption à grande échelle de l'authentification multifacteur (par rapport à la perte d'un appareil sans utilisation de cette méthode). Les solutions apportées à cette faiblesse complexifient souvent davantage l'adoption de l'authentification multifacteur.
  • Malgré leur popularité croissante, certains utilisateurs peuvent ne même pas posséder d'appareil mobile et s'offusquer d'être tenus d'en posséder un comme condition d'utilisation de certains services sur leur ordinateur personnel.
  • Le système SS7 sous-jacent à l'itinérance des téléphones mobiles présente des vulnérabilités, et les messages SMS peuvent être redirigés vers des attaquants.
  • La réception des téléphones portables n'est pas toujours disponible ; de vastes zones, notamment en dehors des villes, ne sont pas couvertes.
  • Le clonage de carte SIM permet aux pirates d'accéder aux connexions des téléphones mobiles. Les attaques par échange de carte SIM et les attaques d'ingénierie sociale contre les opérateurs mobiles ont permis de remettre des cartes SIM dupliquées à des criminels.
  • Les messages texte envoyés aux téléphones mobiles par SMS ne sont pas sécurisés et peuvent être interceptés par des intercepteurs IMSI . Ainsi, des tiers peuvent voler et utiliser le jeton. de l'industrie des cartes de paiement (PCI DSS) , exigence 8.3, impose l'utilisation de l'authentification multifacteur (MFA) pour tout accès réseau distant provenant de l'extérieur du réseau vers un environnement de données de carte (CDE). À partir de la version 3.2 de la PCI DSS, l'utilisation de la MFA est obligatoire pour tout accès administratif au CDE, même si l'utilisateur se trouve sur un réseau de confiance.

    Union européenne

    La deuxième directive sur les services de paiement exige une « authentification forte du client » sur la plupart des paiements électroniques dans l’ Espace économique européen depuis le 14 septembre 2019.

    Inde

    En Inde, la Banque de réserve de l'Inde a rendu obligatoire l'authentification à deux facteurs pour toutes les transactions en ligne effectuées par carte de débit ou de crédit, au moyen d'un mot de passe ou d'un code à usage unique envoyé par SMS . Cette exigence a été levée en 2016 pour les transactions inférieures à 2 000 ₹ après activation de cette mesure auprès de la banque émettrice. Les prestataires tels qu'Uber ont été tenus par la banque de modifier leurs systèmes de traitement des paiements afin de se conformer à cette nouvelle authentification à deux facteurs.

    États-Unis

    Les modalités d’authentification des employés et des contractuels fédéraux aux États-Unis sont définies dans la Directive présidentielle 12 sur la sécurité intérieure (HSPD-12).

    Les normes réglementaires informatiques pour l'accès aux systèmes du gouvernement fédéral exigent l'utilisation de l'authentification multifactorielle pour accéder aux ressources informatiques sensibles, par exemple lors de la connexion à des périphériques réseau pour effectuer des tâches administratives et lors de l'accès à tout ordinateur à l'aide d'une connexion privilégiée.

    La publication spéciale 800-63-3 du NIST traite de diverses formes d'authentification à deux facteurs et fournit des conseils sur leur utilisation dans les processus métier nécessitant différents niveaux d'assurance.

    En 2005, le Conseil fédéral d'examen des institutions financières des États-Unis (FFIEC) a publié des recommandations à destination des institutions financières. Ces recommandations préconisaient la réalisation d'évaluations des risques, l'évaluation des programmes de sensibilisation des clients et le développement de mesures de sécurité pour authentifier de manière fiable les clients accédant à distance aux services financiers en ligne . Le FFIEC recommandait officiellement l'utilisation de méthodes d'authentification reposant sur plusieurs facteurs (en particulier, ce que l'utilisateur sait, possède et est) pour déterminer son identité. Suite à cette publication, de nombreux fournisseurs de solutions d'authentification ont commencé à promouvoir, à tort, les questions de sécurité, les images secrètes et d'autres méthodes basées sur la connaissance comme des solutions d'authentification « multifactorielle ». Face à la confusion engendrée et à l'adoption généralisée de ces méthodes, le FFIEC a publié, le 15 août 2006, des lignes directrices complémentaires. loi californienne sur la protection des données des consommateurs (CCPA) et la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) établissent des normes de protection des données personnelles et médicales, notamment des dispositions favorisant la mise en œuvre de l'authentification multifacteurs pour garantir un accès sécurisé et la conformité réglementaire.

    Dans le secteur de la santé, la règle de sécurité de la loi HIPAA ( Health Insurance Portability and Accountability Act ) a toujours exigé des contrôles d'accès, sans toutefois imposer explicitement l'authentification multifacteurs. Le Bureau des droits civiques du HHS (Département de la Santé et des Services sociaux) a souligné, dans ses directives d'application, que l'absence d'authentification multifacteurs avait contribué à de nombreuses violations de données de santé faisant l'objet d'enquêtes menées en vertu de la loi HIPAA. En décembre 2024, le HHS a publié un avis de proposition de réglementation visant à rendre l'authentification multifacteurs obligatoire pour toutes les entités soumises à la loi HIPAA accédant à des informations de santé électroniques protégées.

faiblesses de sécurité

Selon ses partisans, l'authentification multifacteurs pourrait réduire considérablement l'incidence des vols d'identité et autres fraudes en ligne , car le mot de passe de la victime ne suffirait plus à donner à un voleur un accès permanent à ses informations. Cependant, de nombreuses approches d'authentification multifacteurs restent vulnérables au phishing [ , aux attaques de type « homme du milieu » et aux attaques type « homme dans le navigateur » . Pour contrer les attaques de phishing, les utilisateurs ne doivent partager leurs codes de vérification avec personne , et de nombreux fournisseurs d'applications web incluent un avertissement dans un courriel ou un SMS contenant un code O2 Telefónica , opérateur de téléphonie mobile allemand, a confirmé que des cybercriminels avaient exploité des failles de sécurité du protocole SS7 pour contourner l'authentification à deux facteurs par SMS et effectuer des retraits non autorisés sur les comptes bancaires de leurs utilisateurs. Les criminels ont d'abord infecté les ordinateurs des titulaires de compte afin de dérober leurs identifiants bancaires et leurs numéros de téléphone. Ils ont ensuite acheté un accès à un faux opérateur de télécommunications et configuré une redirection du numéro de téléphone de la victime vers un appareil mobile qu'ils contrôlaient. Enfin, les attaquants se sont connectés aux comptes bancaires en ligne des victimes et ont demandé le transfert des fonds vers leurs propres comptes. Les codes d'accès envoyés par SMS ont été acheminés vers des numéros de téléphone contrôlés par les attaquants, qui ont ensuite transféré l'argent.

Attaque de fatigue

Une approche de plus en plus courante pour contourner l'authentification multifacteur (MFA) consiste à bombarder l'utilisateur de nombreuses demandes d'authentification, jusqu'à ce qu'il finisse par céder et en accepte une par erreur. Cette forme d' ingénierie sociale est appelée attaque par fatigue liée à l'authentification multifacteur (également appelée attaque par fatigue MFA ou bombardement MFA) et peut inclure d'autres éléments, tels que des appels se faisant passer pour le support informatique. Lorsque les applications MFA sont configurées pour envoyer des notifications push aux utilisateurs finaux, un attaquant peut envoyer un grand nombre de tentatives de connexion dans l'espoir que l'utilisateur clique au moins une fois sur « Accepter ».

En 2022, Microsoft a déployé une mesure d’atténuation contre les attaques par fatigue MFA avec son application d’authentification, en exigeant éventuellement que l’utilisateur saisisse un numéro en plus de cliquer sur « approuver ».

En septembre 2022, la sécurité d'Uber a été compromise par un membre de Lapsus$ utilisant une attaque par fatigue multifactorielle. Début 2024, un faible pourcentage de consommateurs Apple ont subi une attaque par fatigue multifactorielle causée par un pirate informatique qui a contourné la limite de requêtes et le captcha sur la page « Mot de passe oublié » d'Apple.un logiciel client par l'utilisateur pour leur fonctionnement. Certains fournisseurs proposent des packages d'installation distincts pour la connexion réseau , les identifiants d'accès Web et les identifiants de connexion VPN . Ces produits peuvent nécessiter l'installation de quatre ou cinq packages logiciels différents sur le poste client pour l'utilisation du jeton ou de la carte à puce . Cela implique la gestion des versions de ces quatre ou cinq packages, ainsi que la vérification de leur compatibilité avec les applications métier. Si l'accès peut se faire via des pages Web , il est possible de limiter les contraintes décrites ci-dessus à une seule application. Avec d'autres technologies d'AMF, comme les jetons matériels, aucune installation logicielle n'est requise de la part de l'utilisateur final. Certaines études ont démontré que des procédures de récupération d'AMF mal implémentées peuvent introduire de nouvelles vulnérabilités exploitables par des attaquants. jetons matériels est complexe sur le plan logistique. Ces jetons peuvent être endommagés ou perdus, et leur émission dans des secteurs importants comme la banque, voire au sein de grandes entreprises, doit être gérée. Outre les coûts de déploiement, l'authentification multifacteurs engendre souvent des coûts de support supplémentaires importants. Une enquête menée en 2008 par le Credit Union Journal auprès de plus de 120 coopératives de crédit américaines a analysé les coûts de support associés à l'authentification à deux facteurs. Selon ce rapport, infrastructure à clés publiques robuste ), ainsi que les banques privées, qui privilégient pour leurs clients des systèmes d'authentification multifacteurs plus accessibles et moins coûteux, comme une application installée sur leur smartphone. Malgré la diversité des systèmes disponibles, une fois déployé, un système d'authentification multifacteurs tend à perdurer au sein d'une organisation. Les utilisateurs s'habituent en effet à son utilisation et l'intègrent progressivement à leurs interactions quotidiennes avec leur système d'information.

Bien que l’on ait l’impression que l’authentification multifactorielle relève du domaine de la sécurité parfaite, Roger Grimes écrit que si elle n’est pas correctement mise en œuvre et configurée, l’authentification multifactorielle peut en fait être facilement contournée.

Histoire

Un modèle RSA SecurID plus ancien

En 2013, Kim Dotcom a affirmé avoir inventé l'authentification à deux facteurs grâce à un brevet datant de 2000 et a brièvement menacé de poursuivre en justice tous les principaux fournisseurs de services web. Cependant, l'Office européen des brevets a révoqué son brevet en raison d'un brevet américain antérieur de 1998 détenu par AT&T