Définition de l’authentification multifactorielle (MFA)

Pour renforcer la sécurité des comptes utilisateurs, l'authentification multifactorielle (MFA pour Multifactor Authentification) ajoute une couche de protection supplémentaire contre les pirates informatiques.

Si un pirate réussit à voler le mot de passe d'un utilisateur par techniques de phishing ou d’ingénierie sociale, il ne pourra pas s'authentifier avec succès sur un compte exigeant une authentification secondaire.

L'authentification multifactorielle offre plusieurs options, notamment la biométrie, un jeton de sécurité (PIN) ou un signal de localisation.

La formation à la cybersécurité commence ici

Votre évaluation gratuite fonctionne comme suit :

  • Prenez rendez-vous avec nos experts en cybersécurité afin qu'ils évaluent votre environnement et déterminent votre exposition aux menaces.
  • Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
  • Découvrez nos technologies en action !
  • Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.

Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.

Un représentant de Proofpoint vous contactera sous peu.

Comment fonctionne l'authentification multifactorielle ?

L'authentification multifactorielle a été introduite lorsque la puissance informatique a rendu plus rapide le forçage des mots de passe. La puissance de calcul actuelle permet à un attaquant d'envoyer des millions de tentatives d’attaques par bruteforce par seconde sur le mot de passe chiffré d'un utilisateur.

Lorsque l'informatique quantique sera enfin introduite, les mots de passe de base avec les bibliothèques de chiffrement les plus puissantes seront rendus obsolètes.

La réutilisation des mêmes mots de passe sur plusieurs systèmes constitue un autre problème lié aux flux de travail actuels en matière de mots de passe. Il est impossible pour les utilisateurs de se souvenir d'un mot de passe unique de 10 caractères sur des dizaines de systèmes, c'est pourquoi ils utilisent souvent le même mot de passe sur plusieurs plateformes.

Si un pirate peut voler le mot de passe d'un compte, il est possible pour le même pirate d'ouvrir une brèche dans plusieurs plateformes. Les coffres-forts pour mots de passe permettent aux utilisateurs de stocker plusieurs mots de passe sans les mémoriser, mais la violation d'un coffre-fort crée la même vulnérabilité.

Pour neutraliser les attaques de mot de passe par bruteforce et le phishing, la MFA a été introduite. Le mode de fonctionnement du MFA dépend de l'exigence d'authentification secondaire, mais la fonctionnalité de base est la même. Les utilisateurs reçoivent un nom d'utilisateur et un mot de passe. Ces deux composants d'authentification sont standard pour la plupart des systèmes. Lorsque la MFA est intégrée au processus, une exigence d'authentification secondaire est présentée à l'utilisateur au cours du processus de travail.

La méthode la plus courante dans les flux de travail MFA est un jeton d'accès, généralement un mot de passe à usage unique (OTP) envoyé au smartphone de l'utilisateur par messagerie texte. Un numéro d'identification personnel (PIN) envoyé au smartphone de l'utilisateur est la façon la plus courante d'ajouter la MFA au processus d'authentification. La plupart des utilisateurs ont des smartphones, c'est donc un moyen de s'assurer que les utilisateurs ne seront pas en mesure d'utiliser le système MFA.

Les facteurs d'authentification multifactorielle doivent inclure au moins deux des éléments suivants :

  • Quelque chose que l'utilisateur possède : L'utilisateur peut disposer d'une clé physique, d'une clé USB ou d'une carte bancaire pour s'identifier.
  • Quelque chose que l'utilisateur connaît : il s'agit généralement d'un mot de passe mémorisé, mais il peut s'agir de n'importe quelle entrée connue uniquement de l'utilisateur.
  • Quelque chose que l'utilisateur est : des données biométriques telles que les empreintes digitales, la voix ou l'iris de l'œil peuvent permettre de distinguer l'identité de l'utilisateur.
  • L'endroit où se trouve l'utilisateur : Les signaux provenant des dispositifs de l'utilisateur, tels que la localisation GPS, indiquent que l'utilisateur se trouve à proximité du système.

En utilisant au moins deux des facteurs d'authentification ci-dessus, les chances statistiques qu'un attaquant ait accès aux deux composants sont très faibles. Il convient toutefois de noter que le protocole utilisé pour envoyer des messages textuels à un utilisateur - le système de signalisation n° 7 (SS7) - a été piraté et que les codes PIN envoyés aux smartphones peuvent être interceptés.

Cette récente vulnérabilité du protocole SS7 a conduit les organisations à adopter d'autres méthodes d'authentification multifactorielle en utilisant des canaux de données. Des attaques d'ingénierie sociale ciblées ont été utilisées pour convaincre les utilisateurs de divulguer leur code PIN, ce qui permet aux attaquants d'accéder aux comptes des utilisateurs sans tenir compte de l'authentification multifactorielle.

En raison de la vulnérabilité du protocole SS7, de nombreuses entreprises utilisant l'authentification multifactorielle ont opté pour l'envoi d'OTP par le biais de canaux de données. Le courrier électronique est une option, mais il laisse l'utilisateur vulnérable en cas de piratage de ses comptes de courrier électronique.

L'utilisation d'authentificateurs installés sur l'appareil de l'utilisateur est une meilleure option. Les authentificateurs affichent des codes PIN que l'utilisateur peut saisir dans le système d'authentification, ce qui constitue la deuxième étape de l'authentification multifactorielle.

La biométrie est une option beaucoup plus sûre que l'utilisation de codes PIN, car cette étape d'authentification secondaire ne peut pas être interceptée. Cette méthode présente toutefois des inconvénients. Les systèmes biométriques sont coûteux et n'ont pas été perfectionnés, ce qui les rend difficiles à intégrer dans les systèmes des utilisateurs et des entreprises.

Les systèmes biométriques sont devenus beaucoup moins chers et leur adoption est plus répandue (par exemple, les smartphones), mais ils ne peuvent toujours pas être intégrés facilement dans les applications de bureau.

Pourquoi l’authentification multifactorielle est-elle importante ?

La MFA a été introduite lorsque le phishing et l'ingénierie sociale sont devenus les principales méthodes de cyberattaque. Les emails de phishing contenant des liens malveillants, des keyloggers et des demandes d'informations d'identification privées constituent un grave problème pour les entreprises et les particuliers.

Les attaques de phishing qui aboutissent à un vol d'informations d'identification coûtent des millions aux entreprises en termes de violations de données. Elles constituent également une menace pour les particuliers. Si le processus d'authentification ne comprend pas de MFA, un attaquant disposant d'informations d'identification volées peut s'authentifier sur le compte de l'utilisateur.

Les attaquants utilisent l'ingénierie sociale pour diverses raisons, mais l'une d'entre elles est de convaincre les utilisateurs de divulguer les informations d'identification de leur compte. Un simple appel téléphonique convaincant peut permettre aux attaquants d'accéder à des comptes à privilèges élevés, ce qui peut conduire à une violation de données à grande échelle.

Dans des attaques plus avancées, un attaquant pourrait utiliser une combinaison de phishing et d'ingénierie sociale pour voler des informations d'identification.

Avec le MFA intégré dans un système d'authentification, le phishing et l'ingénierie sociale sont en grande partie neutralisés. Un pirate pourrait phishing les informations d'identification de l'utilisateur, mais il n'aurait pas accès à la méthode d'authentification secondaire.

Il peut aussi faire de l'ingénierie sociale pour amener un utilisateur à divulguer les informations d'identification de son compte, mais là encore, les attaquants n'ont pas accès aux informations de la deuxième méthode d'authentification.

L'utilisation de méthodes d'authentification secondaires est généralement efficace, mais les attaquants contournent parfois la MFA en utilisant l'ingénierie sociale. Les attaquants qui ciblent des personnes spécifiques les appellent après avoir volé des informations d'identification pour convaincre l'utilisateur ciblé de fournir le code PIN MFA.

L'ingénierie sociale ne fonctionnerait pas avec la biométrie, mais la plupart des organisations utilisent un code PIN comme méthode d'authentification secondaire. Jusqu'à ce que la biométrie soit plus largement disponible, l'ingénierie sociale reste un problème avec les systèmes MFA qui utilisent des codes PIN.

Quand faut-il utiliser l’authentification multifactorielle ?

Tout site web ou système interne qui stocke et utilise des données sensibles devrait utiliser la MFA. Sans MFA ajoutée à un flux de travail d'authentification, un système accessible aux attaquants pourrait être vulnérable aux attaques de mot de passe par force brute et au vol d'informations d'identification.

Comme il s'agit d'une dépense supplémentaire pour les développeurs, certains systèmes qui ne stockent pas de données sensibles renoncent à la MFA.

Avant qu'un développeur ne décide que la MFA n'est pas nécessaire, il faut d'abord examiner les règles de conformité pour s'assurer qu'il n'y a pas d'infraction à la réglementation. Certaines normes réglementaires exigent la MFA sur les systèmes critiques qui stockent des données sensibles.

Tout système qui stocke des données financières, des informations personnelles identifiables (PII) ou des données de santé a besoin de la MFA pour s'authentifier sur le réseau. La MFA n'est peut-être pas nécessaire en interne, mais les administrateurs qui s'authentifient à distance peuvent avoir besoin d'utiliser la MFA pour rester en conformité.

Les options d'intégration tierce facilitent l'inclusion de l’authentification multifactorielle dans un flux de travail d'authentification. Si le système est accessible au public et qu'un attaquant pourrait s'authentifier avec des informations d'identification volées, la MFA doit être incluse dans le flux de travail.

D'autres systèmes de détection des fraudes peuvent également être utilisés pour détecter les attaques par bruteforce ou les informations d'identification volées, mais la première étape consiste à utiliser la MFA pour arrêter les attaquants.