L’authentification multifacteur (MFA) constitue un excellent équilibre entre sécurité et commodité lorsqu’il s’agit de protéger les comptes et les données de vos utilisateurs. La mise en place d’un système MFA efficace aide votre entreprise à rester conforme aux réglementations en matière de protection des données et à réduire sa responsabilité juridique si le compte d’un utilisateur est compromis.

Cependant, aucune mesure de sécurité n’est infaillible, et faire fonctionner la MFA à l’échelle de votre organisation peut comporter certains défis qu’il vous faudra surmonter.

Qu’est-ce que l’authentification multifacteur (MFA) ?

La MFA exige que les utilisateurs fournissent deux catégories ou plus de preuves différentes attestant de leur identité avant de leur permettre de se connecter. Les facteurs d’authentification sont généralement classés en :

• Quelque chose que vous savez (comme un mot de passe ou un code PIN)

• Quelque chose que vous possédez (comme votre appareil mobile ou un jeton d’authentification)

• Quelque chose que vous êtes (comme la reconnaissance faciale, les empreintes digitales et d’autres données biométriques)

La plupart des systèmes MFA demandent quelque chose que vous savez et quelque chose que vous possédez. En d’autres termes, pour obtenir un accès non autorisé à un compte protégé par la MFA, un attaquant devrait avoir accès à l’appareil mobile d’un utilisateur et connaître son nom d’utilisateur et son mot de passe.

Faibles taux d’adoption

L’un des premiers défis auxquels une organisation peut être confrontée lors de la mise en œuvre de l’authentification multifacteur est d’amener les gens à l’utiliser au départ. 68 % des personnes n’utilisent pas la MFA partout où elle est disponible. Malheureusement, de nombreux utilisateurs considèrent cette étape de sécurité supplémentaire comme une contrainte qu’ils éviteront si possible. C’est particulièrement vrai s’ils ne sont pas conscients de la sécurité accrue qu’elle leur offre. L’authentification multifacteur peut protéger les entreprises contre des attaques pouvant entraîner d’énormes fuites de données. Il suffit de demander à Uber. En 2016, des pirates ont volé les données personnelles de 57 millions de personnes en obtenant un accès non autorisé au réseau d’Uber, et il ne s’agissait pas d’une attaque sophistiquée. En réalité, un développeur logiciel d’Uber avait involontairement laissé les identifiants de son compte exposés dans du code qu’il avait partagé sur GitHub. Toute personne ayant accès à son dépôt GitHub pouvait alors se connecter à son compte développeur Uber et accéder à des données sensibles. Toute forme d’authentification multifacteur aurait empêché cette méthode d’attaque.

Par conséquent, la meilleure façon d’atténuer ce défi est de rendre la MFA aussi pratique que possible en permettant aux personnes de s’authentifier avec des méthodes qu’elles utilisent déjà, comme les SMS ou une application d’authentification. Cela signifie que votre système MFA ne vient pas s’ajouter aux nombreux systèmes d’authentification et de connexion différents que les utilisateurs doivent gérer et mémoriser sur l’ensemble de leurs comptes.

Tentatives d’hameçonnage automatisées

Augmenter la quantité d’informations ou l’accès dont un utilisateur non autorisé a besoin pour se connecter rend plus difficile pour les attaquants d’obtenir tout ce dont ils ont besoin par hameçonnage. Ce n’est toutefois pas impossible, et en hameçonnant les bonnes informations, un attaquant peut intercepter les messages d’authentification envoyés à un appareil personnel, ou usurper l’identité de l’appareil d’un utilisateur afin de se connecter.

Les systèmes d’authentification multifacteur les plus sophistiqués sont de plus en plus résistants à cette méthode d’attaque. À moins que vous n’éduquiez vos utilisateurs sur la façon de repérer les tentatives d’hameçonnage automatisées et de les traiter, même un système MFA résistant au phishing n’arrêtera pas toutes les attaques.

Appareils personnels

Les appareils personnels comme les téléphones et les ordinateurs portables sont souvent utilisés dans les processus d’authentification multifacteur, par exemple pour envoyer des codes d’authentification par SMS ou par e-mail ou pour utiliser une application afin de générer une clé d’authentification.

Les appareils personnels de ce type sont souvent l’un des maillons les plus faibles de la sécurité des comptes utilisateurs, après les utilisateurs eux-mêmes. Il existe de nombreuses façons pour des utilisateurs malveillants d’intercepter des données destinées à un appareil personnel ou de prétendre se connecter depuis l’appareil d’un utilisateur légitime. Et, bien sûr, ils peuvent simplement être volés ou contrôlés à distance, donnant à un attaquant accès à toute connexion enregistrée ou à toute donnée non protégée sur l’appareil.

L’utilisation d’appareils personnels dans l’authentification multifacteur est souvent un compromis nécessaire malgré ces défis. C’est la méthode MFA la plus simple pour la plupart des utilisateurs. Elle contribue également à augmenter le nombre de personnes qui choisissent d’utiliser votre système d’authentification multifacteur. Les risques potentiels liés aux appareils personnels peuvent être atténués en suivant les meilleures pratiques pour utiliser des appareils à la maison et au travail. Pour une sécurité renforcée, les entreprises peuvent encourager les clients et les employés à utiliser des méthodes d’authentification basées sur le matériel, comme les générateurs de clés. Selon Google, les comptes Google sécurisés par une authentification basée sur le matériel étaient à l’abri de presque toutes les attaques d’hameçonnage automatisées et massives.

Signalement des violations de sécurité potentielles

En moyenne, il faut presque 200 jours pour qu’une violation de sécurité soit détectée. Il est essentiel d’éduquer vos utilisateurs sur l’importance de signaler immédiatement les violations de sécurité potentielles, afin de vous laisser le temps de restreindre l’accès à leurs comptes avant que d’autres dommages ne soient causés. C’est particulièrement pertinent lorsque vous utilisez des systèmes MFA nécessitant des comptes supplémentaires ou un appareil personnel comme un téléphone.

À moins de le leur expliquer clairement, les utilisateurs peuvent ne pas se rendre immédiatement compte que quelque chose pourrait compromettre la sécurité de leur compte. Par exemple, supposons qu’un téléphone d’utilisateur soit volé, ou que son compte e-mail soit piraté. Ils ont utilisé ce téléphone ou cet e-mail pour s’authentifier auprès de votre système. Dans ce cas, le voleur peut déjà avoir accès aux informations ou aux détails nécessaires pour accéder à d’autres comptes.

Si les utilisateurs ne comprennent pas que cela peut compromettre un compte qu’ils ont auprès de votre entreprise, vous risquez de ne découvrir la possible violation de sécurité qu’une fois qu’il sera trop tard pour agir. Il est donc également essentiel d’aider les utilisateurs à comprendre comment repérer les signes indiquant qu’un compte a été compromis afin qu’ils puissent signaler le problème plus rapidement.

Les signes courants d’un compte en ligne compromis comprennent :

• Le mot de passe a été modifié.

• L’utilisateur a reçu des e-mails concernant un changement de mot de passe ou d’informations de compte qu’il n’a pas demandé.

• L’utilisateur a reçu des e-mails d’hameçonnage, ce qui peut facilement être fait avec n’importe laquelle des plateformes d’e-mail marketing populaires, contenant des données personnelles associées à un compte.

• L’utilisateur a reçu des notifications concernant des tentatives de connexion depuis des emplacements ou des adresses IP inconnus.

Conclusion

L’authentification multifacteur, comme tout autre système de sécurité, n’est pas infaillible. Elle rend toutefois la vie nettement plus difficile à un attaquant potentiel, faisant de votre organisation et de vos utilisateurs une cible moins attrayante pour la fraude et le vol de données. Il est toutefois essentiel de mettre en œuvre l’authentification multifacteur de manière pratique pour vos utilisateurs, car elle ne peut pas protéger leurs comptes s’ils ne veulent pas l’utiliser.