Qu'est-ce que l'authentification multifacteur (MFA) ?

L'authentification multifacteur vérifie plusieurs aspects de l'identité d'une personne avant de lui permettre d'accéder à une application ou à une base de données, au lieu d'en vérifier une seule. Elle est beaucoup plus sûre que l'authentification à facteur unique.

Share facebook icon linkedin icon twitter icon email icon

Authentification multifacteur

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir l'authentification multifacteur (MFA)
  • Découvrez pourquoi MFA est plus sécurisé que l'utilisation d'un mot de passe seul
  • Explorez les différents facteurs d'authentification d'identité

Qu'est-ce que l'authentification multifacteur (MFA) ?

L'authentification multifacteur, ou MFA, est un moyen de vérifier l'identité de l'utilisateur qui est plus sécurisé que la combinaison nom d'utilisateur-mot de passe classique. Le MFA intègre généralement un mot de passe, mais il intègre également un ou deux facteurs d'authentification supplémentaires. L'authentification à deux facteurs (2FA) est un type d'authentification multifacteur.

Le MFA est un élément important de gestion des identités et des accès (IAM). Il est souvent implémenté dans des solutions d'authentification unique (SSO).

Quels sont les facteurs d'authentification ?

Avant d'accorder à un utilisateur l'accès à une application logicielle ou à un réseau, les systèmes de vérification d'identité évaluent les caractéristiques spécifiques à un utilisateur afin de s'assurer qu'il est bien celui qu'il prétend être. Ces caractéristiques sont également appelées « facteurs d'authentification ».

Les trois facteurs d'authentification les plus utilisés sont :

  1. Connaissances : quelque chose que l'utilisateur connaît
  2. Possession : quelque chose que l'utilisateur a
  3. Qualités inhérentes : des qualités propres à un utilisateur

Le MFA fait référence à toute utilisation de deux ou plusieurs facteurs d'authentification. Si seuls deux facteurs d'authentification sont utilisés, le MFA peut également être appelé authentification à deux facteurs (2FA) ou vérification en deux étapes. L'authentification à trois facteurs est une autre forme d'authentification multifacteur.

Quels sont des exemples concrets des trois facteurs d'authentification ?

  • Connaissance (quelque chose que l'utilisateur sait) : ce facteur renvoie à une connaissance qu'un seul utilisateur devrait posséder, comme une combinaison nom d'utilisateur et mot de passe. Les autres types de facteurs de connaissance incluent les questions de sécurité, les numéros d'identification et les numéros de sécurité sociale. Même un « handshake secret » peut être quelque chose qu'un utilisateur connaît.
  • Possession (une chose que possède l'utilisateur) : ce facteur fait référence à la possession d'un jeton physique, d'un appareil ou d'une clé. L'exemple le plus élémentaire de ce facteur d'authentification est d'utiliser une clé physique pour entrer chez soi. Dans un contexte informatique, l'objet physique peut être un porte-clés à télécommande (transpondeur), un périphérique USB ou même un smartphone.
    De nombreux systèmes MFA modernes envoient un code temporaire au téléphone d'un utilisateur et lui demandent de saisir le code pour accéder à leur compte. Cela prouve que l'utilisateur possède un téléphone que personne d'autre ne possède et permet d'établir son identité (à moins qu'un attaquant n'ait détourné la carte SIM de l'utilisateur).
  • Qualités inhérentes (des qualités qui sont propres à l'utilisateur) : elle se réfèrent à une propriété physique du corps. La version la plus élémentaire de ce facteur d'authentification est la capacité de reconnaître quelqu'un en le voyant ou au son de sa voix. Les humains utilisent constamment cette capacité dans leurs interactions quotidiennes. Comparer l'apparence de quelqu'un à la photo de sa carte d'identité est un autre exemple de vérification des qualités inhérentes.
    Dans un contexte informatique, l'identification faciale, une fonctionnalité offerte par de nombreux smartphones modernes, est un exemple de ce facteur d'authentification. Citons d'autres méthodes telles que le scan des empreintes digitales, le scan de la rétine et les analyses de sang.

Pourquoi le MFA est-il plus sécurisé que l'authentification à facteur unique ?

L'authentification à facteur unique est l'utilisation d'un seul des facteurs ci-dessus pour identifier une personne. Une application qui demande de saisir un nom d'utilisateur et un mot de passe est l'exemple le plus courant d'authentification à facteur unique.

Le problème de l'authentification à facteur unique est qu'une personne malveillante n'a besoin d'attaquer l'utilisateur que d'une seule façon pour se faire passer pour lui. Si quelqu'un vole le mot de passe de l'utilisateur, le compte de l'utilisateur est compromis. En revanche, si l'utilisateur implémente le MFA, une personne malveillante a besoin d'autre chose qu'un mot de passe pour accéder au compte : par exemple, elle devra probablement également voler un élément physique à l'utilisateur, ce qui s'avère beaucoup plus difficile à réaliser.

Ce problème s'applique également à d'autres formes d'authentification à facteur unique. Imaginez si les banques exigeaient uniquement l'utilisation d'une carte de débit pour retirer de l'argent (le facteur possession) au lieu de demander une carte plus un code PIN. Pour voler de l'argent sur le compte d'une personne, il suffirait à un voleur de lui dérober sa carte de débit.

Il est important de garder à l'esprit que c'est l'utilisation de facteurs différents qui sécurise l'AMF, et non les utilisations multiples du même facteur.

Supposons qu'une application invite uniquement un utilisateur à entrer un mot de passe, tandis qu'une autre application invite un utilisateur à entrer à la fois un mot de passe et une réponse à une question de sécurité. Quelle application est plus sécurisée ?

Techniquement, la réponse est aucun des deux : les deux applications s'appuient sur un seul facteur d'authentification, le facteur connaissances. Une application qui nécessite un mot de passe et un jeton physique ou une analyse d'empreintes digitales est plus sécurisée qu'une application qui ne nécessite qu'un mot de passe et certaines questions de sécurité.

Y a-t-il d'autres facteurs d'authentification ?

Certains membres de l'industrie de la sécurité ont proposé ou mis en œuvre des facteurs d'authentification supplémentaires en plus des trois principaux énumérés ci-dessus. Ces facteurs d'authentification rarement mis en œuvre sont les suivants :

Emplacement : l'emplacement d'un utilisateur au moment de la connexion. Par exemple, si une entreprise est basée aux États-Unis et que tous ses employés travaillent aux États-Unis, une application pourrait évaluer la position GPS des employés et rejeter une connexion provenant d'un autre pays.

Heure : l'heure à laquelle un utilisateur se connecte, généralement dans le cadre de ses autres connexions et de son emplacement. Si un utilisateur se connecte depuis un pays, puis tente quelques minutes plus tard de se connecter depuis un autre pays, ces demandes sont susceptibles de ne pas être légitimes. Un système peut également rejeter les tentatives de connexion en dehors des heures normales de bureau, bien que cela ressemble davantage à une politique de sécurité qu'à un facteur d'authentification d'identité.

Si ces deux facteurs sont considérés comme des facteurs d'identité supplémentaires (ce qui fait débat), l'authentification à quatre facteurs et l'authentification à cinq facteurs sont techniquement possibles. Les deux relèvent de l'authentification multifacteur (la mise en œuvre de telles mesures de sécurité strictes doit être mise en balance avec les conséquences que cela entraîne pour l'utilisateur, car des mesures de sécurité trop strictes incitent les utilisateurs à contourner la politique officielle).

Comment les utilisateurs peuvent-ils implémenter l'authentification multifacteur (MFA) pour leurs comptes ?

De nombreux services web grand public proposent aujourd'hui le MFA. La plupart des applications dotées du MFA proposent une double authentification (2FA) qui oblige l'utilisateur à utiliser son smartphone lorsqu'il se connecte. Il suffit d'explorer les paramètres de sécurité de chaque application pour voir s'il est possible d'activer le 2FA. De plus, Cloudflare permet à tous les utilisateurs de Cloudflare d'activer le 2FA pour leurs comptes.

Comment les entreprises peuvent-elles mettre en œuvre le MFA ?

L'utilisation d'une solution d'authentification unique (SSO) est une étape recommandée pour implémenter le MFA. Le SSO fournit un emplacement unique pour implémenter le MFA dans toutes les applications, alors que les applications individuelles ne prennent pas toutes en charge le MFA.

Cloudflare Access s'intègre aux fournisseurs SSO qui prennent en charge la double authentification (2FA). Cloudflare Access est un produit de contrôle d'accès qui protège les sites web et les applications cloud des entreprises en contrôlant ce que les utilisateurs peuvent faire.