L'authentification multifacteur vérifie plusieurs aspects de l'identité d'une personne avant de lui permettre d'accéder à une application ou à une base de données, au lieu d'en vérifier une seule. Elle est beaucoup plus sûre que l'authentification à facteur unique.
Cet article s'articule autour des points suivants :
Contenu associé
Authentification à deux facteurs
Contrôle des accès
Qu'est-ce que l'lAM ?
Passerelle web sécurisée
Qu'est-ce qu'un CASB ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
L'authentification multifacteur, ou MFA, est un moyen de vérifier l'identité de l'utilisateur qui est plus sécurisé que la combinaison nom d'utilisateur-mot de passe classique. Le MFA intègre généralement un mot de passe, mais il intègre également un ou deux facteurs d'authentification supplémentaires. L'authentification à deux facteurs (2FA) est un type d'authentification multifacteur.
Le MFA est un élément important de gestion des identités et des accès (IAM). Il est souvent implémenté dans des solutions d'authentification unique (SSO).
Avant d'accorder à un utilisateur l'accès à une application logicielle ou à un réseau, les systèmes de vérification d'identité évaluent les caractéristiques spécifiques à un utilisateur afin de s'assurer qu'il est bien celui qu'il prétend être. Ces caractéristiques sont également appelées « facteurs d'authentification ».
Les trois facteurs d'authentification les plus utilisés sont :
Le MFA fait référence à toute utilisation de deux ou plusieurs facteurs d'authentification. Si seuls deux facteurs d'authentification sont utilisés, le MFA peut également être appelé authentification à deux facteurs (2FA) ou vérification en deux étapes. L'authentification à trois facteurs est une autre forme d'authentification multifacteur.
L'authentification à facteur unique est l'utilisation d'un seul des facteurs ci-dessus pour identifier une personne. Une application qui demande de saisir un nom d'utilisateur et un mot de passe est l'exemple le plus courant d'authentification à facteur unique.
Le problème de l'authentification à facteur unique est qu'une personne malveillante n'a besoin d'attaquer l'utilisateur que d'une seule façon pour se faire passer pour lui. Si quelqu'un vole le mot de passe de l'utilisateur, le compte de l'utilisateur est compromis. En revanche, si l'utilisateur implémente le MFA, une personne malveillante a besoin d'autre chose qu'un mot de passe pour accéder au compte : par exemple, elle devra probablement également voler un élément physique à l'utilisateur, ce qui s'avère beaucoup plus difficile à réaliser.
Ce problème s'applique également à d'autres formes d'authentification à facteur unique. Imaginez si les banques exigeaient uniquement l'utilisation d'une carte de débit pour retirer de l'argent (le facteur possession) au lieu de demander une carte plus un code PIN. Pour voler de l'argent sur le compte d'une personne, il suffirait à un voleur de lui dérober sa carte de débit.
Il est important de garder à l'esprit que c'est l'utilisation de facteurs différents qui sécurise l'AMF, et non les utilisations multiples du même facteur.
Supposons qu'une application invite uniquement un utilisateur à entrer un mot de passe, tandis qu'une autre application invite un utilisateur à entrer à la fois un mot de passe et une réponse à une question de sécurité. Quelle application est plus sécurisée ?
Techniquement, la réponse est aucun des deux : les deux applications s'appuient sur un seul facteur d'authentification, le facteur connaissances. Une application qui nécessite un mot de passe et un jeton physique ou une analyse d'empreintes digitales est plus sécurisée qu'une application qui ne nécessite qu'un mot de passe et certaines questions de sécurité.
Il s'agit d'une question très contextuelle. En général, toute forme d'authentification multifactorielle sera beaucoup plus sûre que l'authentification à un seul facteur.
Cela dit, il a été démontré que certaines formes d'AMF sont vulnérables à des méthodes d'attaque sophistiquées.Dans un exemple concret , les attaquants ont envoyé aux employés des SMS de phishing pointant vers de fausses pages de connexion pour le service de signature unique de l'organisation. Si un utilisateur saisit son nom d'utilisateur et son mot de passe sur cette fausse page, les étapes suivantes se déroulent :
En revanche, un autre moyen de vérification tel qu'un jeton de sécurité USB ne serait pas sensible à cette attaque particulière. Si tous les utilisateurs reçoivent des jetons de sécurité uniques à brancher sur leur ordinateur et doivent activer physiquement ces jetons pour s'authentifier, les attaquants en possession du nom d'utilisateur et du mot de passe d'une personne ne pourront pas accéder à ses comptes, à moins de lui voler son ordinateur. On pourrait dire la même chose de la vérification de l'identité à l'aide de qualités inhérentes, par exemple l'empreinte digitale ou le scan facial d'un utilisateur.
Cela signifie-t-il que les jetons de sécurité et les scans d'empreintes digitales sont plus sûrs que les mots de passe à usage unique ? Dans un contexte de phishing, oui. Mais les organisations doivent évaluer leurs risques et leurs besoins spécifiques en matière de sécurité avant de choisir une méthode MFA. Et encore une fois, toute forme d'AMF est plus sûre que l'authentification à facteur unique, et représenterait une étape importante dans le parcours de sécurité d'une organisation.
Certains membres de l'industrie de la sécurité ont proposé ou mis en œuvre des facteurs d'authentification supplémentaires en plus des trois principaux énumérés ci-dessus. Ces facteurs d'authentification rarement mis en œuvre sont les suivants :
Emplacement : l'emplacement d'un utilisateur au moment de la connexion. Par exemple, si une entreprise est basée aux États-Unis et que tous ses employés travaillent aux États-Unis, une application pourrait évaluer la position GPS des employés et rejeter une connexion provenant d'un autre pays.
Heure : l'heure à laquelle un utilisateur se connecte, généralement dans le cadre de ses autres connexions et de son emplacement. Si un utilisateur se connecte depuis un pays, puis tente quelques minutes plus tard de se connecter depuis un autre pays, ces demandes sont susceptibles de ne pas être légitimes. Un système peut également rejeter les tentatives de connexion en dehors des heures normales de bureau, bien que cela ressemble davantage à une politique de sécurité qu'à un facteur d'authentification d'identité.
Si ces deux éléments sont considérés comme des facteurs d'identité supplémentaires - ce qui est sujet à débat -, l'authentification à quatre et à cinq facteurs est techniquement possible. Toutes deux relèvent de l'authentification multifactorielle.
La mise en œuvre de mesures de sécurité aussi strictes doit être mise en balance avec les conséquences pour l'utilisateur, car des mesures de sécurité trop rigoureuses incitent souvent les utilisateurs à contourner les politiques officielles.
De nombreux services web grand public proposent aujourd'hui le MFA. La plupart des applications dotées du MFA proposent une double authentification (2FA) qui oblige l'utilisateur à utiliser son smartphone lorsqu'il se connecte. Il suffit d'explorer les paramètres de sécurité de chaque application pour voir s'il est possible d'activer le 2FA. De plus, Cloudflare permet à tous les utilisateurs de Cloudflare d'activer le 2FA pour leurs comptes.
L'utilisation d'une solution d'authentification unique (SSO) est une étape recommandée pour implémenter le MFA. Le SSO fournit un emplacement unique pour implémenter le MFA dans toutes les applications, alors que les applications individuelles ne prennent pas toutes en charge le MFA.
Cloudflare Zero Trust s'intègre aux fournisseurs SSO qui prennent en charge l'authentification à deux facteurs. Cloudflare contribue à la protection des sites web et des applications cloud des entreprises en contrôlant ce que les utilisateurs sont autorisés à faire et en appliquant des politiques de sécurité pour les employés, qu'ils travaillent à distance ou dans des environnements de bureau contrôlés.