L’authentification en quelques mots
L'authentification est le processus permettant à un système d'information de vérifier l'identité d'une personne ou d'un ordinateur et d'authentifier ou non l'accès au service demandé, en se basant sur sa demande d’accès et sur son identité.
L’authentification est préalable à tout contrôle d'accès suite à une demande d'accès pour accéder à sa session d’ordinateur, un compte en ligne, pour ouvrir une porte et pour beaucoup d’autres applications, lesquelles demanderont des preuves et ressources différentes et en nombre différent.
Ces ressources d’authentification peuvent être catégorisées sous 3 groupes :
- ce que je SAIS (exemple : un mot de passe, un code pin…)
- ce que je SUIS (exemple : empreinte biométrique, voix, …)
- ce que je POSSEDE (exemple : une carte à puce, une clé …)
Cette authentification peut être dite forte si elle respecte des prérequis propres à certaines zones géographiques :
- Aux USA, l'authentification forte est définie par un approche d’authentification multicouche basée sur 2 facteurs d’authentification ou plus pour valider l’identité du destinataire ou de l’expéditeur de l’information. C’est-à-dire qu’elle combine au moins 2 des catégories données ci-dessus : une carte et un code, ou un mot de passe et une clé FIDO2…
- Dans le secteur bancaire et assurance en Europe, l’authentification forte est également sur 2 facteurs d’authentification ou plus, mais ces facteurs doivent être indépendants et au moins l’un de ces facteurs doit être unique (non réutilisable), non réplicable (sauf dans le cas d’un facteur inhérent à l’utilisateur (empreinte biométrique par exemple et ne peut pas se faire pirater sur internet.
Une chose intéressante à ce sujet, un accès par un smartphone est globalement une authentification forte. En effet, le smartphone présente toutes les caractéristiques d’une carte à puce : c’est un équipement que l’on possède, dont le code est inattaquable sans accès physique (non lié à un compte AD par exemple), et qui peut s’effacer après un certain nombre de mauvais mots de passe.
Cette vision particulière — un terminal de travail qui sert de facteur fort d’authentification — est aujourd’hui reconnue autour du terme “Device Trust”. La chaîne de démarrage du système étant sécurisé, le système d’exploitation étant signé et donc en lecture seule, le code d’accès de l’utilisateur étant local uniquement, le niveau de confiance est fort. Il ne reste éventuellement qu’à confirmer la présence de l’utilisateur légitime lors de certains accès. Cette vision issue des terminaux mobiles comme l’iPhone ou l’iPad s’étend aujourd’hui aux Mac mais aussi aux terminaux Windows avec Hello for Business.
Quelles solutions pour améliorer la sécurité autour de l'authentification ?
Suivre les règles et faire attention : la plus importante, la sécurité est un devoir de toutes et tous. Il est important de noter qu’une grande majorité des brèches de sécurité est causée par des humains et qu’il suffit d’un seul ordinateur piraté pour accéder au reste du système d’information. Les humains sont donc la première ligne de défense contre ces attaques : ne partagez pas votre mot de passe, ne vous connectez pas sur des ordinateurs publics, WiFi douteux, signaler les anomalies, les e-mails qui vous semblent frauduleux.
L’Authentification à facteurs multiples (MFA) et Authentification à deux facteurs (2FA) : activez cette fonction dès qu’elle est disponible, car en plus de vous protéger, vous êtes rapidement alerté.
Les gestionnaires de mot de passe : que ce soit des applications full web ou une base de données stockée en local, ces gestionnaires de mot de passe vous permettent de stocker tous vos mots de passe de façon sécurisée et chiffrée, avec l’avantage de ne devoir en retenir qu’un seul, qui se doit d’être très complexe car il est la clé vers tous vos accès.
Certains de ces gestionnaires de mot de passe vous offrent des services tels:
- un audit de vos mots de passe, afin de s’assurer qu’ils ne sont pas utilisés plusieurs fois et qu’ils respectent un certain niveau de sécurité
- vous envoie des alertes si un des services que vous utilisez a été compromis
- font une veille sur les bases de données de mots de passe piratés afin de vous prévenir
- vous permettent de partager vos mots de passe sans jamais les utiliser
- une vérification par vous-même si votre adresse mail ou un de vos comptes a été piraté : Have I Been Pwned vous dira si vous devez changer vos mots de passe et vous informera sur les dernières cyberattaques connues.
Vous allez me dire : “rien de nouveau sous les étoiles, je les connais tous ces tips !”
Vous avez raison, mais avez-vous entendu parler de cette nouvelle mouvance : le PASSWORDLESS ?
L’authentification sans mot de passe - passwordless, kesako ?
L’authentification sans mot de passe, c’est l’idée qui permet d’authentifier l’utilisateur sur un service en ligne (la précision est importante) et donc de se reposer sur des facteurs d’authentification lié à un matériel, lui-même protégé par un code local, comme le code PIN d’un téléphone ou d’une clef FIDO2.
On ne retire pas totalement les mots de passe, puisqu’il en reste pour accéder à un terminal de confiance, mais ceux-ci n’existent plus du tout depuis une interface en ligne. Et ne sont donc pas attaquable depuis Internet sans l’accès physique à un terminal de confiance de l’entreprise (ou sans faire entrer un terminal étranger dans la liste des terminaux de confiance).
Comment ça marche ?
Ce système fonctionne sur une chaîne de confiance où un terminal initialement de confiance (celui ayant ouvert le compte par exemple) permet d’approuver l’accès au service, ou d’en enregistrer un autre. Lors de l’accès en ligne, l’authentification se fait via le terminal de confiance.
Cela peut être un téléphone avec une application propre au service, un système basé sur FIDO2 ou encore des certificats de sécurité distribué sur des terminaux utilisateur ou via des cartes à puce.
Les avantages ?
→ n’ayez plus peur d’oublier vos mots de passe
→ ne passez plus de temps à réinitialiser vos mots de passe
→ votre mot de passe, n’existant pas, ne pourra pas être piraté
→ vous arrivez sur une page web avec un système de phishing qui vous demande votre mot de passe ? plus de doute, vous n’êtes pas au bon endroit.
→ passez vous d’un gestionnaire de mot de passe, qui vous coûte et qui a peut-être un taux d’adoption très bas dans votre entreprise
→ plus de processus de création de mot de passe quand un nouveau collaborateur arrive ou quand vous décidez d’utiliser un nouveau service
On résume : plus de sécurité, plus de fluidité pour vous et vos collaborateurs, des coûts de gestion informatique réduits et une capacité de passer à l'échelle d’autant plus grande
Vous voulez en savoir plus ? contactez-nous !