Heroes image

Authentification Multi-Facteur (MFA)

Featured image

Image générée par IA1

J’ai déjà écrit des articles sur les bonnes pratiques de mots de passe (ici et une version junior) ainsi qu’une description des gestionnaires de mots de passe.

Pourquoi tant de mots sur les mots de passe ? Tout simplement parce que nous apercevons que ce n’est pas une valeur sûre. Et ce pour différentes raisons :

  • Les mauvaises pratiques de mots de passe : trop facile à deviner ou à retrouver ;
  • Les personnes malveillantes qui vont observer quand vous le tapez (je fais notamment référence à de petits logiciels espions qui enregistrent ce que vous tapez) ;
  • L’hameçonnage ou phishing ;
  • Et surtout, tout dépend de la sécurité du site ou de l’application sur lequel vous le tapez.

Vous pourrez respecter toutes les bonnes pratiques que je vous ai énoncées, en allant à l’extrême, si le site en face n’est pas bien sécurisé, tout ça ne sert à rien. Et parole de développeur côtoyant quotidiennement des développeurs, la sécurité n’est pas toujours leur point fort.

Je ne vais pas rentrer dans le détail mais sachez que si un site vous envoie votre mot de passe par email lors de votre inscription, lorsque vous cliquez sur “J’ai oublié mon mot de passe” ou pire, vous l’envoie par courrier postal (oui, ça existe, j’ai déjà eu le cas), je n’ai qu’un mot : FUYEZ ! : s’il est capable de vous retrouvez votre mot de passe, c’est que les pirates le pourront aussi. (Et ça explique l’utilité d’avoir un mot de passe différent par site)

Même si l’authentification sans mot de passe commence à apparaître, cela reste loin d’être une généralité alors il faut bien trouver un moyen pour sécuriser cela et c’est tout l’objet de cet article : l’authentification multi-facteur.

Qu’est-ce que l’Authentification Multi-Facteur (MFA 2) ?

On parle plus généralement d’authentification à deux facteurs mais le principe est le même : il s’agit de mettre en œuvre plusieurs méthodes de sécurité pour vérifier votre identité.

L’objectif principal de la MFA est d’ajouter une couche de sécurité significative au-delà du simple nom d’utilisateur et mot de passe. Même si un attaquant parvient à dérober votre mot de passe, il aura toujours besoin du deuxième (ou troisième) facteur d’authentification pour accéder à votre compte, ce qui rend l’accès non autorisé beaucoup plus difficile.

Est-ce que c’est quelque chose de nouveau ? Pas du tout.

Vous vous rappelez le premier film Mission Impossible (de 1996) avec Tom Cruise et Jean Reno ? Il y a une scène où ils doivent exfiltrer des données d’un ordinateur ultra sécurisé dans une pièce hautement sécurisée. L’opérateur doit passer une porte qui s’ouvre avec son empreinte vocale, passer devant un vigile puis le scanner rétinien, insérer son badge dans l’ordinateur et enfin saisir son mot de passe : c’est un exemple de MFA.

(Même si Tom Cruise arrive à voler les données au final, sinon, il n’y aurait pas de film, ça reste un système bien sécurisé)

Les trois catégories de facteurs d’authentification :

Ces facteurs d’authentification sont regroupés en trois catégories, assez faciles à retenir :

  1. Ce que vous savez : Il s’agit généralement d’un élément d’information que seul l’utilisateur est censé connaître.

  2. Ce que vous avez : C’est un objet physique ou un appareil que seul l’utilisateur est censé posséder.

  3. Ce que vous êtes : Il s’agit d’une caractéristique biométrique unique à l’utilisateur.

Pour qu’une authentification soit considérée comme multi-facteur, elle doit obligatoirement mettre en œuvre au moins deux de ces catégories. Si vous tapez 3 mots de passe différents, un code PIN que vous connaissez puis répondez à la question secrète “Quel prénom du chien de la cousine de votre ami(e) d’enfance ?”, vous n’utilisez que le facteur Ce que vous savez, donc ça reste du mono-facteur.

Comment fonctionne la MFA en pratique ?

Avant de décrire les différentes solutions, voici le processus de l’authentification lorsque vous activez cette MFA.

  1. Comme d’habitude, vous allez fournir votre identifiant ou adresse email, puis vous saisirez votre mot de passe.
  2. Au lieu d’accéder au site directement, on va vous demander le second facteur (que vous aurez préalablement enregistré) pour prouver votre identité.

Sans cette seconde preuve, normalement le site vous refusera l’accès.

Quels sont les moyens courants ?

Laissons de côté la catégorie Ce que vous savez car c’est déjà ce que vous utilisez : les mots de passe, les codes PIN, les questions secrètes …

Je tiens à rappeler que ce facteur d’authentification ne fonctionne que si vous êtes le seul à connaître le secret.

Dans la catégorie “Ce que vous avez”

Vous l’avez sûrement déjà vu si vous avez enregistré votre numéro de téléphone : pour confirmer que vous êtes bien l’utilisateur légitime, on vous envoie un SMS avec un code que vous devez saisir.

Par ce biais, vous avez mis en œuvre le “Ce que vous avez” avec votre téléphone.

C’est le système le plus courant… mais peut-être le moins fiable malheureusement.

Un autre système utilisant le téléphone portable consiste à faire générer un code temporaire dans une application, valable 30 secondes ou une minute. Plusieurs applications existent : Google Authenticator est, je pense, la plue connue et la plus utilisée.

Lorsque vous activez ce système, le site va vous afficher un QR Code comme l’exemple ci-dessous et va vous demander de le scanner avec l’application. En retour, l’application va vous donner un code que vous devrez saisir pour confirmer.

Ensuite, lorsque vous vous authentifierez sur le site, il vous redemandera un nouveau code. Ouvrez l’application, un code s’affiche pour le site, vous n’avez plus qu’à le recopier.

Exemple avec Google Authenticator

Image générée par Gemini pour montrer le mécanisme de Google Authenticator

Encore une fois, ce que vous avez est votre téléphone. Il existe néanmoins de petits appareils qui peuvent être utilisé à la place de téléphone.

Dans mes préférées, il y a les Yubikeys, ce sont de simples clés USB qui fonctionnent aussi avec le NFC (le fait de coller l’objet au dos du téléphone). Très pratique et très rapide à utiliser… à condition de l’avoir sous la main au moment où vous le voulez.

Photo d'une Yubikey personnelle

Une vraie photo d’une Yubikey, pas d’IA cette fois

Avant de vous précipiter pour en acheter une, il en existe différentes versions : s’il s’agit de l’utiliser uniquement pour la MFA, restez sur les “Security Key Series” qui seront bien suffisantes. N’allez pas prendre les séries 5 et encore moins les HSM. Il existe d’autres constructeurs aussi, pour des prix similaires. Notamment Google, avec sa clé Titan.

Et la catégorie “Ce que vous êtes”

Cette catégorie va reposer sur quelque chose qui vous est propre en tant qu’individu. On va notamment parler de la biométrie.

Cela pourra être de la reconnaissance faciale (souvent avec le téléphone), les empreintes digitales (de plus en plus d’ordinateurs les intègrent) mais aussi rétiniennes si l’on veut reprendre l’exemple de Mission Impossible.

Vous l’utilisez peut-être déjà en facteur unique pour votre téléphone ou votre ordinateur, mais on le voit encore peu finalement pour les sites Internet.

Pourquoi la MFA est-elle cruciale ?

À l’ère numérique, les mots de passe seuls ne suffisent plus à protéger efficacement nos informations : j’ai déjà donné des recommandations pour améliorer leur sécurité mais si l’on considère les attaques par hameçonnage, les fuites de données et les attaques de plus en plus sophistiquées, on se rend bien compte que cela reste une maigre protection. La MFA réduit considérablement le risque de compromission des comptes, même en cas de vol de mot de passe.

Avantages de la MFA :

  • Sécurité renforcée : Protection accrue contre le vol d’identifiants. Protection contre l’hameçonnage : Même si vous tombez dans le piège d’un site d’hameçonnage, l’attaquant ne pourra pas se connecter sans le deuxième facteur.
  • Conformité réglementaire : De nombreuses réglementations exigent l’utilisation de la MFA pour protéger les données sensibles.

Il est fortement recommandé d’activer l’authentification multi-facteur sur tous les services qui la proposent, notamment pour votre messagerie, vos réseaux sociaux, vos services bancaires et vos comptes de gestionnaire de mots de passe. C’est l’une des mesures les plus efficaces que vous puissiez prendre pour améliorer votre sécurité en ligne.

Mais ne me faites pas dire ce que je n’ai pas dit : cela ne remet pas en cause les bonnes pratiques des mots de passe que j’ai évoquées dans d’autres articles ! Le but est d’avoir deux (ou plus) lignes de défense contre les attaques : en négliger une réduirait fortement la sécurité.

Comme on dit souvent, le niveau de sécurité global sera celui du maillon le plus faible.

  1. Image générée par Gemini ↩︎

  2. MFA pour Multi-Factor Authentication ↩︎

  • Humainement rédigé, corrigé par Gemini
Categories
Mot De Passe
Tags
MFA 2FA Sécurité Des Comptes Authentification Protection Des Données
Contenus associés
Gestionnaires De Mots De Passe
Tes mots de passe : Tes super-pouvoirs secrets !
Bonnes pratiques de mots de passe