Qu'est-ce que l'authentification multifacteur (MFA) ?

L'authentification multifacteur vérifie plusieurs aspects de l'identité d'une personne avant de lui permettre d'accéder à une application ou à une base de données, au lieu d'en vérifier une seule. Elle est beaucoup plus sûre que l'authentification à facteur unique.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir l'authentification multifacteur (MFA)
  • Découvrez pourquoi MFA est plus sécurisé que l'utilisation d'un mot de passe seul
  • Explorez les différents facteurs d'authentification d'identité

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que l'authentification multifacteur (MFA) ?

L'authentification multifacteur, ou MFA, est un moyen de vérifier l'identité de l'utilisateur qui est plus sécurisé que la combinaison nom d'utilisateur-mot de passe classique. Le MFA intègre généralement un mot de passe, mais il intègre également un ou deux facteurs d'authentification supplémentaires. L'authentification à deux facteurs (2FA) est un type d'authentification multifacteur.

Le MFA est un élément important de gestion des identités et des accès (IAM). Il est souvent implémenté dans des solutions d'authentification unique (SSO).

Quels sont les facteurs d'authentification ?

Avant d'accorder à un utilisateur l'accès à une application logicielle ou à un réseau, les systèmes de vérification d'identité évaluent les caractéristiques spécifiques à un utilisateur afin de s'assurer qu'il est bien celui qu'il prétend être. Ces caractéristiques sont également appelées « facteurs d'authentification ».

Les trois facteurs d'authentification les plus utilisés sont :

  1. Connaissances : quelque chose que l'utilisateur connaît
  2. Possession : quelque chose que l'utilisateur a
  3. Qualités inhérentes : des qualités propres à un utilisateur

Le MFA fait référence à toute utilisation de deux ou plusieurs facteurs d'authentification. Si seuls deux facteurs d'authentification sont utilisés, le MFA peut également être appelé authentification à deux facteurs (2FA) ou vérification en deux étapes. L'authentification à trois facteurs est une autre forme d'authentification multifacteur.

Quels sont des exemples concrets des trois facteurs d'authentification ?

  • Connaissance (quelque chose que l'utilisateur sait) : ce facteur renvoie à une connaissance qu'un seul utilisateur devrait posséder, comme une combinaison nom d'utilisateur et mot de passe. Les autres types de facteurs de connaissance incluent les questions de sécurité, les numéros d'identification et les numéros de sécurité sociale. Même un « handshake secret » peut être quelque chose qu'un utilisateur connaît.
  • Possession (une chose que possède l'utilisateur) : ce terme désigne la possession d'un jeton, d'un appareil ou d'une clé physique. L'exemple le plus simple de ce facteur d'authentification est l'utilisation d'une clé de maison pour entrer dans son domicile. Dans un contexte informatique, l'objet physique pourrait être une clé, un appareil USB ou même un smartphone. De nombreux systèmes MFA modernes transmettent un code temporaire au smartphone d'un utilisateur, puis l'invitent à saisir ce code pour accéder à son compte. Cette mesure permet d'établir que l'utilisateur possède un smartphone qu'aucune autre personne ne possède et d'établir son identité (à moins qu'un acteur malveillant n'ait détourné la carte SIM de l'utilisateur).
  • Qualités inhérentes (qualités propres à l'utilisateur) : ce terme désigne une propriété physique de l'utilisateur. La version la plus simple de ce facteur d'authentification est la capacité de reconnaître une personne par la vue ou au son de sa voix. Les humains utilisent continuellement cette capacité dans le cadre de leurs interactions quotidiennes. Comparer l'apparence d'une personne à la photo sur sa carte d'identité est un autre exemple de vérification des qualités inhérentes. Dans un contexte informatique, l'authentification faciale, une fonctionnalité offerte par de nombreux smartphones modernes, est un exemple de ce facteur d'authentification. Nous pouvons citer d'autres méthodes telles que l'analyse des empreintes digitales, l'analyse rétinienne et les analyses de sang.

Pourquoi le MFA est-il plus sécurisé que l'authentification à facteur unique ?

L'authentification à facteur unique est l'utilisation d'un seul des facteurs ci-dessus pour identifier une personne. Une application qui demande de saisir un nom d'utilisateur et un mot de passe est l'exemple le plus courant d'authentification à facteur unique.

Le problème de l'authentification à facteur unique est qu'une personne malveillante n'a besoin d'attaquer l'utilisateur que d'une seule façon pour se faire passer pour lui. Si quelqu'un vole le mot de passe de l'utilisateur, le compte de l'utilisateur est compromis. En revanche, si l'utilisateur implémente le MFA, une personne malveillante a besoin d'autre chose qu'un mot de passe pour accéder au compte : par exemple, elle devra probablement également voler un élément physique à l'utilisateur, ce qui s'avère beaucoup plus difficile à réaliser.

Ce problème s'applique également à d'autres formes d'authentification à facteur unique. Imaginez si les banques exigeaient uniquement l'utilisation d'une carte de débit pour retirer de l'argent (le facteur possession) au lieu de demander une carte plus un code PIN. Pour voler de l'argent sur le compte d'une personne, il suffirait à un voleur de lui dérober sa carte de débit.

Il est important de garder à l'esprit que c'est l'utilisation de facteurs différents qui sécurise l'AMF, et non les utilisations multiples du même facteur.

Supposons qu'une application invite uniquement un utilisateur à entrer un mot de passe, tandis qu'une autre application invite un utilisateur à entrer à la fois un mot de passe et une réponse à une question de sécurité. Quelle application est plus sécurisée ?

Techniquement, la réponse est aucun des deux : les deux applications s'appuient sur un seul facteur d'authentification, le facteur connaissances. Une application qui nécessite un mot de passe et un jeton physique ou une analyse d'empreintes digitales est plus sécurisée qu'une application qui ne nécessite qu'un mot de passe et certaines questions de sécurité.

Quelles formes d'AMF sont les plus efficaces ?

Il s'agit d'une question très contextuelle. En général, toute forme d'authentification multifactorielle sera beaucoup plus sûre que l'authentification à un seul facteur.

Cela dit, il a été démontré que certaines formes d'AMF sont vulnérables à des méthodes d'attaque sophistiquées.Dans un exemple concret , les attaquants ont envoyé aux employés des SMS de phishing pointant vers de fausses pages de connexion pour le service de signature unique de l'organisation. Si un utilisateur saisit son nom d'utilisateur et son mot de passe sur cette fausse page, les étapes suivantes se déroulent :

  1. Les attaquants ont utilisé le nom d'utilisateur et le mot de passe volés sur la véritable page de connexion de l'organisation.
  2. La vraie page de connexion a tenté de vérifier un autre facteur d'authentification — la possession — en envoyant un code temporaire au téléphone de l'utilisateur réel.
  3. Les attaquants ont redirigé l'utilisateur vers une autre fausse page, qui lui demandait de saisir le code temporaire.
  4. Si l'utilisateur l'a fait, les attaquants ont pu utiliser ce code sur la véritable page de connexion et accéder au compte.

En revanche, un autre moyen de vérification tel qu'un jeton de sécurité USB ne serait pas sensible à cette attaque particulière. Si tous les utilisateurs reçoivent des jetons de sécurité uniques à brancher sur leur ordinateur et doivent activer physiquement ces jetons pour s'authentifier, les attaquants en possession du nom d'utilisateur et du mot de passe d'une personne ne pourront pas accéder à ses comptes, à moins de lui voler son ordinateur. On pourrait dire la même chose de la vérification de l'identité à l'aide de qualités inhérentes, par exemple l'empreinte digitale ou le scan facial d'un utilisateur.

Cela signifie-t-il que les jetons de sécurité et les scans d'empreintes digitales sont plus sûrs que les mots de passe à usage unique ? Dans un contexte de phishing, oui. Mais les organisations doivent évaluer leurs risques et leurs besoins spécifiques en matière de sécurité avant de choisir une méthode MFA. Et encore une fois, toute forme d'AMF est plus sûre que l'authentification à facteur unique, et représenterait une étape importante dans le parcours de sécurité d'une organisation.

Y a-t-il d'autres facteurs d'authentification ?

Certains membres de l'industrie de la sécurité ont proposé ou mis en œuvre des facteurs d'authentification supplémentaires en plus des trois principaux énumérés ci-dessus. Ces facteurs d'authentification rarement mis en œuvre sont les suivants :

Emplacement : l'emplacement d'un utilisateur au moment de la connexion. Par exemple, si une entreprise est basée aux États-Unis et que tous ses employés travaillent aux États-Unis, une application pourrait évaluer la position GPS des employés et rejeter une connexion provenant d'un autre pays.

Heure : l'heure à laquelle un utilisateur se connecte, généralement dans le cadre de ses autres connexions et de son emplacement. Si un utilisateur se connecte depuis un pays, puis tente quelques minutes plus tard de se connecter depuis un autre pays, ces demandes sont susceptibles de ne pas être légitimes. Un système peut également rejeter les tentatives de connexion en dehors des heures normales de bureau, bien que cela ressemble davantage à une politique de sécurité qu'à un facteur d'authentification d'identité.

Si ces deux éléments sont considérés comme des facteurs d'identité supplémentaires - ce qui est sujet à débat -, l'authentification à quatre et à cinq facteurs est techniquement possible. Toutes deux relèvent de l'authentification multifactorielle.

La mise en œuvre de mesures de sécurité aussi strictes doit être mise en balance avec les conséquences pour l'utilisateur, car des mesures de sécurité trop rigoureuses incitent souvent les utilisateurs à contourner les politiques officielles.

Comment les utilisateurs peuvent-ils implémenter l'authentification multifacteur (MFA) pour leurs comptes ?

De nombreux services web grand public proposent aujourd'hui le MFA. La plupart des applications dotées du MFA proposent une double authentification (2FA) qui oblige l'utilisateur à utiliser son smartphone lorsqu'il se connecte. Il suffit d'explorer les paramètres de sécurité de chaque application pour voir s'il est possible d'activer le 2FA. De plus, Cloudflare permet à tous les utilisateurs de Cloudflare d'activer le 2FA pour leurs comptes.

Comment les entreprises peuvent-elles mettre en œuvre le MFA ?

L'utilisation d'une solution d'authentification unique (SSO) est une étape recommandée pour implémenter le MFA. Le SSO fournit un emplacement unique pour implémenter le MFA dans toutes les applications, alors que les applications individuelles ne prennent pas toutes en charge le MFA.

Cloudflare Zero Trust s'intègre aux fournisseurs SSO qui prennent en charge l'authentification à deux facteurs. Cloudflare contribue à la protection des sites web et des applications cloud des entreprises en contrôlant ce que les utilisateurs sont autorisés à faire et en appliquant des politiques de sécurité pour les employés, qu'ils travaillent à distance ou dans des environnements de bureau contrôlés.