L'authentification multifacteur

L'utilisation d'un mot de passe est la forme d'authentification la plus courante, mais ce n'est ni la seule, ni la plus sûre. Un pirate doit en effet découvrir une seule information (un mot de passe, par exemple) pour accéder à votre compte.

Une méthode plus sûre pour protéger nos données privées et empêcher les pirates d'y accéder est l'authentification multifacteur, qui requiert plusieurs informations pour pouvoir s'authentifier.

Facteurs d'authentification

L'authentification exige que vous présentiez des preuves de votre identité. Ces preuves se présentent sous trois formes principales :

Preuve relevant de la connaissance ("ce que vous savez"). Vous apportez souvent une preuve de votre identité à un site web sous la forme d'un mot de passe, qui constitue quelque chose que vous savez. Les codes PIN et les phrases sont d'autres exemples.

Preuve relevant de la possession ("ce que vous possédez"). Les distributeurs de billets vérifient l'identité des utilisateurs et utilisatrices en leur demandant de fournir leur carte bancaire comme preuve. Votre carte bancaire représente quelque chose que vous possédez. Le téléphone, les clés et les jetons de sécurité sont d'autres exemples.

Preuve relevant de l'inhérence ("ce que vous êtes"). La nouvelle génération de smartphones peut vous authentifier en scannant votre empreinte digitale. Celle-ci représente quelque chose que vous êtes. Les reconnaissances faciale et vocale sont d'autres exemples.

Ces différentes formes de preuves sont aussi connues sous le nom de facteurs d'authentification. D'autres facteurs existent (comme "où vous êtes"), mais ceux mentionnés ci-dessus sont les plus courants.

Les pirates peuvent voler ces facteurs d'authentification pour obtenir un accès non autorisé à un compte. En fonction de la position géographique du pirate, certaines formes de preuves sont plus faciles à obtenir que d'autres. Un pirate opérant à distance préférera par exemple voler des mots de passe plutôt que des cartes bancaires, alors qu'un pirate opérant à proximité préférera faire le contraire.

L'authentification multifacteur

Pour se défendre contre les attaques à proximité et à distance, les systèmes d'authentification utilisent une technique courante de contrôle d'accès appelée authentification multifacteur (MFA en anglais).

L'authentification multifacteur exige qu'un utilisateur ou une utilisatrice présente plusieurs preuves appartenant à des catégories de facteurs différentes (ex. : "ce que vous savez" et "ce que vous possédez") pour avoir accès à un système.

Authentification à deux facteurs

La forme d'authentification multifacteur la plus répandue recourt à l'utilisation de deux facteurs pour pouvoir s'authentifier. L'authentification à deux facteurs (2FA en anglais) exige en effet deux preuves de l'identité de l'utilisateur, et celles-ci doivent appartenir à deux catégories de facteurs différentes.

Un système d'authentification qui demande un mot de passe et un code PIN utilise seulement un facteur, même s'il exige deux preuves. Les mots de passe et les codes PIN relèvent en effet du facteur de connaissance : le système d'authentification ne répond donc pas aux exigences de l'authentification multifacteur.

Si ce système n'utilise pas l'authentification à deux facteurs, à quoi ressemble alors un vrai système d'authentification à deux facteurs ? Généralement, on vous invite d'abord à entrer un mot de passe (ce que vous savez), et on vous demande ensuite d'entrer un code généré sur votre téléphone (ce que vous possédez).

Intéressons-nous au fonctionnement de l'authentification à deux facteurs lorsque je dois me connecter à Google, et plus spécifiquement à mon compte Gmail.

Google me demande d'abord d'introduire mon adresse e-mail, puis mon mot de passe :

Google me demande d'entrer un code de validation qui m'a été envoyé par message sur mon téléphone :

J'ouvre le message sur mon téléphone et vois le code généré par Google :

Il arrive souvent que le code de validation ne soit valable que quelques minutes. Si vous n'introduisez pas ce code avant que le délai expire, vous devez en demander un autre. De nombreux systèmes d'authentification à deux facteurs ajoutent une date d'expiration à la preuve pour empêcher les pirates de l'utiliser indéfiniment.

J'introduis le code sur la page de connexion de Google, ouverte sur mon ordinateur :

Et voilà, je suis connecté à mon compte Gmail !

Cette étape supplémentaire, qui implique l'utilisation de mon téléphone pour générer un code, a doublé le temps nécessaire et la complexité de la procédure de connexion sur Google, mais elle a également beaucoup compliqué la tâche d'un pirate qui souhaiterait s'infiltrer dans mon compte Gmail.

En mai 2019, de nombreux utilisateurs de Github (un site web qui permet d'héberger des logiciels et de gérer leur développement), ont découvert que leur code source avait été effacé et remplacé par une demande de rançon. Ces utilisateurs n'utilisaient pas l'authentification à deux facteurs et avaient accidentellement divulgué leur mot de passe, permettant ainsi à des pirates de prendre le contrôle de leur compte. Voilà pourquoi Github, comme tant d'autres, recommande fortement l'authentification à deux facteurs

^{1}

Puisque chaque nouveau facteur d'authentification ajouté apporte une couche de sécurité supplémentaire face aux attaques, pourquoi ne pas utiliser une authentification à trois ou quatre facteurs ? En réalité, il ne serait pas pratique pour les utilisateurs de devoir fournir trois formes (ou plus) de preuves pour s'authentifier, surtout lorsque les systèmes demandent de s'authentifier à nouveau après un certain temps. Voici un exemple d'un compromis couramment présent dans la cybersécurité : maniabilité vs sécurité. Si la sécurité d'un système augmente, sa maniabilité pourrait diminuer.

Recommandations

Pour protéger nos comptes, il est conseillé d'utiliser l'authentification multifacteur en plus d'un mot de passe fort. Selon une étude menée par Google, l'authentification multifacteur permet d'empêcher davantage d'attaques que l'authentification avec un facteur unique. Ainsi, elle permet d'empêcher 100 % des attaques de bots et de réduire grandement les autres attaques

^{2}

Nous ne pouvons pas utiliser l'authentification multifacteur si le site est incapable de la supporter. Toutefois, de plus en plus de sites mettent leur système à jour pour que ce soit le cas, et nous pouvons parfois vérifier l'évolution de ces mises à jour. Si vous utilisez un gestionnaire de mots de passe, il peut même vous informer lorsque l'un de vos comptes est en mesure d'être protégé par cette authentification à deux facteurs.

Nous devons également veiller à ce que les preuves relevant d'un facteur ne contiennent pas de preuves relevant d'un autre facteur. Si vous notez par exemple des mots de passe dans le bloc-notes de votre téléphone et que quelqu'un parvient à le voler et à le déverrouiller, il aura accès aux preuves relatives au facteur de possession et au facteur de connaissance. 😬

🤔 Lorsqu'un système utilise plusieurs facteurs d'authentification, il enregistre plus d'informations à votre sujet. Cela risque-t-il de porter atteinte à votre vie privée ?

Si vous êtes en classe, voilà d'excellentes questions pour entamer une discussion avec un·e camarade de classe.

Si ce n'est pas le cas, vous pouvez donner votre avis dans la discussion Khan Academy. Veillez d'abord à lire cet article sur la page de la leçon, et pas dans une fenêtre contextuelle. Ensuite, faites-le défiler vers le bas pour trouver l'espace "Conseils et remerciements" et postez vos idées à cet endroit.

Swanson, John. “Git Ransom Campaign Incident Report-Atlassian Bitbucket, GitHub, GitLab.” The GitHub Blog, 17 septembre 2019. https://github.blog/2019-05-14-git-ransom-campaign-incident-report/.
Thomas, Kurt, and Angelika Moscicki. “New Research: How Effective Is Basic Account Hygiene at Preventing Hijacking.” Google Online Security Blog, 17 mai 2019. https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Vous avez des questions sur ce sujet ? Nous vous répondrons volontiers ! Posez simplement votre question dans l'espace ci-dessous !

Vous souhaitez rejoindre la discussion ?

Connectez-vous

Trier par :

Pas encore de posts.

Vous comprenez l'anglais ? Cliquez ici pour participer à d'autres discussions sur Khan Academy en anglais.