Qu'est-ce que l'authentification multifacteur (MFA) ?
- Glossaire IAM
- Qu'est-ce que l'authentification multifacteur (MFA) ?
L'authentification multifacteur (MFA) est une mesure de sécurité qui exige des utilisateurs qu'ils fournissent plus d'une forme d'authentification pour accéder à un service ou à une application.
Définition de l'authentification multifacteur
Le principe de la MFA est d'apporter une couche supplémentaire de sécurité au-delà du traditionnel nom d'utilisateur et du mot de passe, en demandant aux utilisateurs de fournir une preuve supplémentaire de leur identité. Cette preuve supplémentaire est appelée facteur d'authentification. Il existe quatre types différents de facteurs d'authentification :
Quelque chose que l'utilisateur sait : Il peut s'agir d'un mot de passe, d'un code PIN ou de la réponse à une question de sécurité.
Quelque chose que l'utilisateur possède : Il peut s'agir d'un jeton physique, comme une carte à puce ou une clé de sécurité USB, ou d'un jeton virtuel généré par une application authentificatrice sur le smartphone de l'utilisateur. Ces jetons virtuels sont appelés mots de passe à usage unique (OTP) ou mots de passe à usage unique basés sur le temps (TOTP).
Quelque chose que l'utilisateur est : Des informations biométriques, comme une empreinte digitale, une reconnaissance faciale ou une numérisation de l'iris.
Un endroit où l'utilisateur se trouve : La situation géographique de l'utilisateur. Certaines applications et certains services ne sont accessibles qu'aux utilisateurs situés dans un secteur géographique spécifique. Ce facteur d'authentification particulier est fréquemment utilisé dans les environnements de sécurité zero trust.
Les systèmes MFA exigent des utilisateurs qu'ils fournissent au moins deux facteurs différents appartenant à deux catégories différentes. Voici un exemple pour illustrer ce point :
- Un système qui exige des utilisateurs qu'ils saisissent à la fois un mot de passe et un code PIN n'est pas qualifié de MFA, car ces deux facteurs appartiennent à la catégorie « quelque chose que l'utilisateur sait ».
- Les distributeurs automatiques de billets utilisent la MFA depuis des décennies. Ils demandent aux utilisateurs d'insérer une carte bancaire (quelque chose que l'utilisateur possède) et de saisir un code PIN (quelque chose que l'utilisateur sait).
Hormis les distributeurs automatiques de billets, la MFA est largement utilisée pour sécuriser les comptes en ligne, tels que les e-mails, les services bancaires en ligne et le stockage dans le cloud, ainsi que l'accès physique aux bâtiments et autres zones sécurisées.
Tous les facteurs d'authentification ne sont pas égaux
Certains systèmes MFA utilisent des TOTP envoyés par téléphone, SMS ou e-mail pour l'authentification. Bien que ces méthodes soient techniquement des facteurs MFA « valides », de nombreux experts en sécurité déconseillent leur utilisation car elles peuvent être facilement compromises.
Par conséquent, il est préférable d'éviter d'utiliser les e-mails, les appels téléphoniques ou les SMS pour la MFA, à moins qu'aucune autre méthode ne soit disponible. La biométrie, un jeton de sécurité physique ou une application d'authentification autonome constituent des options plus efficaces.
Quelle est la différence entre la MFA et la 2FA ?
2FA désigne l'authentification à deux facteurs. La seule différence entre 2FA et MFA est que 2FA fait référence à une méthode d'authentification qui ne requiert que deux facteurs d'authentification, alors que MFA est un terme générique qui fait référence à un système qui requiert deux facteurs d'authentification ou plus.
Par conséquent, notre exemple de distributeur de billets ci-dessus est un exemple de 2FA, mais il est également correct de parler de MFA. À l'inverse, un système qui exige que l'utilisateur insère une carte ou une clé de sécurité, saisisse un code PIN et scanne son empreinte digitale serait un système de MFA, mais pas de 2FA.
Quelle protection la MFA offre-t-elle ?
Les mots de passe compromis sont la principale cause des violations de données et des attaques par ransomware. La MFA évite les cyberattaques liées aux mots de passe en compliquant de manière exponentielle la compromission d'un compte par les attaquants. Même si un acteur malveillant parvient à obtenir un mot de passe fonctionnel, celui-ci est inutile sans le ou les facteurs d'authentification supplémentaires. Une statistique de Microsoft a révélé que la MFA peut bloquer plus de 99,9 % des attaques de compromission de comptes.
C'est pourquoi la MFA joue un rôle important dans la conformité informatique. De nombreux cadres de conformité sectorielle et réglementaire exigent des entreprises qu'elles mettent en œuvre la MFA pour sécuriser leurs systèmes internes. L'authentification multifacteur est également essentielle pour la mise en œuvre d'un cadre de sécurité zero trust, qui exige que les utilisateurs soient vérifiés explicitement.
La mise en œuvre de l'authentification multifacteur peut également contribuer à renforcer la confiance que les utilisateurs accordent à un système, car elle montre que l'entreprise prend la sécurité au sérieux et s'engage à protéger les informations des utilisateurs.
Comment puis-je mettre en œuvre l'authentification multifacteur ?
Pour les particuliers
Les particuliers ont tout intérêt à activer l'authentification à deux facteurs (2FA/MFA) sur tous les sites Web et applications qui la prennent en charge afin de protéger leurs comptes personnels contre les menaces de piratage. De nombreux sites et applications accompagnent les utilisateurs dans ce processus lors de la configuration du compte. Sinon, les utilisateurs peuvent consulter la documentation d'aide du site ou de l'application.
Évitez d'utiliser les e-mails, les SMS ou les appels téléphoniques comme facteur d'authentification, sauf si le site ou l'application ne prend pas en charge d'autres méthodes.
Pour les entreprises
Les étapes de la mise en œuvre de l'authentification multifacteur varient en fonction des besoins et des ressources spécifiques de votre entreprise. Il est recommandé de demander l'aide d'un expert en sécurité ou d'un professionnel de l'informatique si vous n'êtes pas sûr de la marche à suivre. Voici toutefois un aperçu général des étapes à suivre :
Déterminez les types de facteurs d'authentification à utiliser : Déterminez les facteurs d'authentification à utiliser en fonction de vos besoins en matière de sécurité et des ressources disponibles. N'oubliez pas de choisir au moins deux facteurs dans deux catégories différentes, et évitez d'utiliser les appels téléphoniques, les e-mails ou les SMS comme facteur d'authentification.
Choisissez une solution MFA : Il existe de nombreuses solutions commerciales et open-source pour mettre en œuvre l'authentification multifacteur. Choisissez une solution qui prend en charge les facteurs d'authentification que vous avez sélectionnés, et qui correspond à votre budget et à vos capacités techniques.
Intégrez la solution MFA à vos systèmes : Vous pouvez intégrer la solution d'authentification multifactorielle à votre système d'authentification actuel ou remplacer votre système d'authentification actuel par une solution d'authentification multifactorielle. Vous devrez peut-être modifier le code de votre application ou apporter des changements à votre infrastructure réseau.
Inscrivez les utilisateurs : Une fois que vous avez intégré la solution MFA à vos systèmes, inscrivez les utilisateurs en leur demandant de fournir les facteurs d'authentification supplémentaires demandés par la solution MFA.
Assurez le suivi et l'entretien de la solution MFA : Contrôlez régulièrement les performances et la sécurité de la solution MFA et mettez-la à jour si nécessaire pour préserver son efficacité.