Devensys Cybersecurity – The Blog

RedTeam & Pentest – SOC 24/7 & CSIRT – Sécurité Cloud & Infrastructure – Formations & Certifications.

La MFA : Un gage de sécurité

À l’heure où l’informatique fait partie intégrante de notre quotidien, la cybercriminalité prend de plus en plus d’ampleur. Les rapports d’études dévoilés par les plateformes de surveillance montrent une très forte augmentation des cyberattaques depuis les 3 dernières années. Ces actes de cybermalveillance touchent 978 millions* de personnes par an dans le monde. Hameçonnage (phishing), piratage de comptes bancaires, arnaques au faux support technique, cyberharcèlement, vol de données, rançongiciels, spams, attaques par déni de service, faux ordres de virement et virus sont les 10 infractions les plus fréquentes occasionnées par les cybercriminels. Malgré les mesures de protection (antivirus, pare-feu) ainsi que les campagnes de sensibilisation aux risques numériques, les cyberattaques sont toujours en recrudescence. Que vous soyez professionnels ou particuliers, dites stop à cette vulnérabilité, et sécurisez votre réseau. Privilégiez le mode « passwordless » et passez en mode MFA, un gage de sécurité !

Qu’est-ce que la MFA et comment fonctionne-t-elle ?

L’authentification multifacteur (MFA) est une méthode qui renforce la connexion à vos comptes, applications ou VPN, car elle nécessite au minimum deux facteurs de vérification. Aujourd’hui, l’utilisation d’un identifiant et d’un mot de passe n’est pas suffisamment fiable. 

Vos codes sont vulnérables d’autant plus si vous les choisissez faciles à retenir et que vous les réutilisez sur d’autres sites. Preuve en est cette étude de 2017 réalisée par SplashData, qui place «123456» et «password» en tête de liste des mots de passe les plus courants. Avec l’authentification forte ou MFA, votre identité est vérifiée de manière sécurisée sans mot de passe obligatoire.

Son fonctionnement repose sur l’utilisation d’au moins 2 facteurs parmi les suivants : 

  • Un facteur de connaissance, c’est-à-dire un élément que vous connaissez, comme un mot de passe ou un code PIN.
  • Un facteur de propriété, c’est-à-dire un objet en votre possession, comme mon smartphone, une clé de sécurité USB (Yubikey, Winkeo, etc.), une carte à puce, etc.
  • Un facteur d’inhérence, c’est-à-dire un élément biométrique identifiant votre personne, comme votre empreinte digitale ou la reconnaissance faciale ou rétinienne.

Quelles sont les différentes méthodes d’authentification ?

Azure Active Directory

Pour une connexion plus sécurisée, Microsoft a développé Azure Active Directory, un ensemble de services permettant la gestion des identités et des accès grâce à une base de données cloud. Pour répondre aux besoins spécifiques de chacun, Azure AD offre différentes solutions d’authentification multifacteur pour sécuriser vos applications. Vous pouvez les associer à votre système d’exploitation avec ou sans mot de passe.

  • Window Hello Entreprise
  • Application Microsoft Authenticator 
  • Clés de sécurité FIDO 2
  • Jeton matériel OATH
  • Jeton logiciel OATH
  • SMS
  • Appel vocal

En cas d’oubli de mot de passe, de perte ou de vol de support physique d’authentification (badge, clé Fido 2), de problème sur un capteur biométrique, ou de batterie sur son téléphone, il existe une option de vérification simplifiée qui permet la réinitialisation de votre mot de passe : le SSPR (Self-Service Password Reset).

Windows Hello Entreprise

Pour les professionnels, Windows Hello Entreprise est la solution idéale. Une fois configurée sur l’appareil, l’authentification est biométrique, soit par reconnaissance faciale, empreinte digitale ou scanners d’iris. Pour optimiser la précision, Windows Hello combine caméras spéciales et logiciels. L’avantage de cette technique est que les données sont stockées uniquement sur le PC de l’utilisateur. En cas de vol, il n’y a aucune possibilité de pirater les informations sans empreintes biométriques. Cette option peut également être paramétrée pour chaque utilisateur d’un même appareil.

Windows Hello Entreprise peut également fonctionner avec des clés matérielles ou logicielles, ou des certificats.

Clés de sécurité FIDO 2

La FIDO Alliance (Fast Identity Online) a développé cette méthode d’authentification par clés de sécurité dans le but d’éliminer progressivement les mots de passe. Associée à la connexion classique (nom d’utilisateur/mot de passe), les clés FIDO 2 sont générées et vérifiées, puis fournissent une base chiffrée permettant la connexion. Concrètement, après inscription auprès du service en ligne, l’utilisateur reçoit une clé privée (stockée sur son appareil) et une clé publique (FIDO 2) qui est enregistrée dans la base de données du service Web. L’authentification ne peut avoir lieu que si l’utilisateur déverrouille sa clé privée. Cette méthode peut offrir plus de facilité aux employés en entreprise pour se connecter à leur appareil Windows, notamment s’il est combiné à Azure AD.

Application Microsoft Authenticator

Toujours dans le but d’offrir une méthode de connexion avec un niveau de sécurité élevé, Microsoft propose une application gratuite : Microsoft Authenticator. Ce mode permet de s’authentifier sans mot de passe lors de la connexion. L’utilisateur a deux solutions pour justifier son identité, soit grâce à une notification qu’il reçoit via l’application et qu’il doit valider, soit par un code de vérification OATH généré par Microsoft Authenticator et qu’il faut ensuite entrer dans une interface de connexion.

Jetons logiciels et jetons matériels OATH

Ces jetons d’authentification, appelés Tokens, sont un dispositif matériel ou logiciel. Leur but est de générer un One-Time Password (OTP) qui vous permet de vous connecter après avoir rentré la combinaison classique identifiant et mot de passe personnel. Le token logiciel est un élément virtuel installé sur l’équipement de l’utilisateur (ordinateur, smartphone, tablette). Il s’obtient par des applications comme Microsoft Authenticator, FreeOTP, Google authenticator, LastPass Authenticator, Authy, etc. Le token matériel se présente le plus souvent sous forme de carte d’affichage, petit boîtier avec panneau électronique et bouton, en porte-clés ou dispositif USB (YubiKey). Ils offrent chacun différents modes de fonctionnement. Les tokens basés sur le temps (TOTP) génèrent un code OTP toutes les 30 ou 60 secondes, et les tokens basés sur les évènements (HOTP) en créent un nouveau lorsque l’utilisateur appuie sur un bouton. L’avantage des jetons logiciels par rapport aux jetons matériels pour les entreprises est qu’ils les dispensent de frais logistiques supplémentaires, et ils peuvent être régulièrement mis à jour.

SMS ou appel téléphonique

Cette méthode d’authentification est plus pratique puisqu’elle n’exige aucune application ou clé, mais elle reste moins sécurisée. Le fait d’être obligé de divulguer votre numéro de téléphone sur un site vous expose à des risques, et votre SMS peut également être intercepté. Certaines applications disposent même de mécanismes d’interception des codes OTP. Vous n’êtes pas non plus à l’abri du SIM swapping, c’est-à-dire l’échange de carte SIM, certes moins répandu en France. Dans ce cas, le hacker cible sa victime, et s’il parvient à prendre le contrôle du numéro de téléphone, il s’ouvre aussi l’accès aux comptes et données personnelles associées.

Pour se protéger des cybercriminels, il est évident que la MFA est un gage de sécurité. Microsoft recommande le mode « passwordless », c’est-à-dire l’authentification sans mot de passe, cependant le choix doit être fait en fonction de vos besoins et des risques. Pour les entreprises, Window Hello Entreprise est une méthode de protection renforcée qui reste simple pour les employés. Pas de mot de passe à retenir, la prise en charge est intégrée au système d’exploitation et les informations sont stockées uniquement sur l’appareil. L’utilisation des Clés FIDO 2 offre également une excellente protection notamment contre l’hameçonnage (phishing). L’application Microsoft Authenticator est elle aussi très fiable, et elle permet également l’utilisation de Jetons OATH. La méthode basique par SMS ou appel vocal paraît plus simple, mais reste la plus vulnérable. Le risque zéro n’existant pas, la vigilance doit rester de rigueur. Pour toutes vos questions concernant la sécurité, l’analyse de risques, les pentests, ou bien si vous souhaitez évaluer la résistance de votre système informatique, Devensys Cybersecurity et son équipe d’experts sont à votre service.

*source : cybermalveillance.gouv.fr

Delphine Limousin

Published by

devensyscybersecurity

Laisser un commentaire