Qu'est-ce que l'authentification multifactorielle (MFA) ?

L'authentification multifactorielle (AMF) est un composant de gestion des accès qui exige des utilisateurs qu'ils prouvent leur identité à l'aide d'au moins deux facteurs de vérification différents avant d'accéder à un site web, une application mobile ou une autre ressource en ligne. Avec l'AMF, si un facteur est compromis, l'attaquant doit encore franchir au moins une barrière avant de pouvoir accéder au compte de la cible.

Comment fonctionne l'authentification multifactorielle ?

L'authentification multifactorielle (AMF) utilise plusieurs technologies pour authentifier l'identité d'un utilisateur. En revanche, l'authentification à facteur unique (ou simplement "authentification") utilise une seule technologie pour prouver l'authenticité de l'utilisateur. Avec l'AMF, les utilisateurs doivent combiner les technologies de vérification d'au moins deux groupes ou facteurs d'authentification différents. Ces facteurs se répartissent en trois catégories : ce que vous savez, ce que vous avez et ce que vous êtes. C'est pourquoi l'utilisation d'un code PIN et d'un mot de passe (tous deux appartenant à la catégorie "quelque chose que vous savez") ne serait pas considérée comme une authentification multifactorielle, alors que l'utilisation d'un code PIN et d'une reconnaissance faciale (appartenant à la catégorie "quelque chose que vous êtes") le serait. Notez qu'un mot de passe n'est pas nécessaire pour bénéficier de l'AMF. Une solution MFA peut être entièrement sans mot de passe.

Il est également acceptable d'utiliser plus de deux méthodes d'authentification. Cependant, la plupart des utilisateurs souhaitent une authentification sans friction (la possibilité d'être vérifié sans avoir à effectuer de vérification).

Quels facteurs d'authentification sont utilisés dans l'AMF ?

Voici les trois principales catégories :

  • Quelque chose que vous connaissez (facteur de connaissance)
    Il s'agit généralement d'un mot de passe, d'un code PIN ou d'une phrase de passe, ou encore d'un ensemble de questions de sécurité et de leurs réponses correspondantes connues uniquement de l'individu. Pour utiliser un facteur de connaissance pour l'AMF, l'utilisateur final doit saisir correctement des informations correspondant à celles qui ont été précédemment stockées dans l'application en ligne.
  • Quelque chose que vous avez (facteur de possession)
    Avant les smartphones, les utilisateurs portaient des jetons ou des cartes à puce qui généraient un mot de passe ou un code de passe à usage unique (OTP) qu'ils pouvaient saisir dans l'application en ligne. Aujourd'hui, la plupart des utilisateurs installent une application d'authentification sur leur smartphone pour générer des clés de sécurité OTP.
  • Quelque chose que vous êtes (facteur d'inhérence)
    Les données biométriques d'une personne vont des empreintes digitales, des scans de la rétine, de la reconnaissance faciale et de la reconnaissance vocale aux comportements (comme la vitesse ou la force avec laquelle la personne tape ou glisse sur un écran).

Pour réaliser une authentification multifactorielle, au moins deux technologies différentes appartenant à au moins deux groupes technologiques différents doivent être utilisées pour le processus d'authentification. Par conséquent, l'utilisation d'un code PIN couplé à un mot de passe ne serait pas considérée comme une authentification multifactorielle, alors que l'utilisation d'un code PIN avec la reconnaissance faciale comme second facteur le serait. Il est également acceptable d'utiliser plus de deux formes d'authentification. Cependant, la plupart des utilisateurs souhaitent de plus en plus une authentification sans friction (la possibilité d'être vérifié sans avoir à effectuer de vérification)

Quelle est la différence entre l'authentification à deux facteurs et l'authentification multifactorielle ?

Pour être considérée comme une authentification à deux facteurs (2FA), une solution exige toujours que l'utilisateur présente deux facteurs d'authentification de deux catégories différentes, comme un facteur de possession et un facteur de connaissance, pour vérifier son identité. L'authentification multifactorielle est plus large que l'authentification à deux facteurs. Elle exige que l'organisation utilise deux facteurs ou plus dans le processus d'authentification.

Quels sont les différents types de technologies d'authentification multifactorielle ?

Voici les technologies MFA les plus courantes :

  • Authentification biométrique
    Les technologies biométriques sont une forme d'authentification qui permet d'authentifier avec précision et en toute sécurité les utilisateurs par le biais de leurs appareils mobiles. Les modalités biométriques les plus courantes sont la numérisation des empreintes digitales et la reconnaissance des visages. L'authentification biométrique comprend également la biométrie comportementale, qui fournit une couche de sécurité invisible en authentifiant en permanence une personne sur la base de la façon unique dont elle interagit avec son ordinateur ou son appareil mobile : frappe au clavier, balayage, mouvements de la souris, etc.
  • Jetons matériels
    Les authentificateurs matériels sont de petits dispositifs faciles à utiliser qu'un propriétaire porte sur lui pour autoriser l'accès à un service réseau. En prenant en charge l'authentification forte avec des codes d'accès à usage unique (OTP), les jetons physiques fournissent un facteur de possession pour l'authentification multifactorielle tout en permettant une sécurité renforcée pour les banques et les fournisseurs d'applications qui doivent sécuriser plusieurs applications avec un seul dispositif.
  • Authentification mobile
    L'authentification mobile consiste à vérifier un utilisateur via son appareil Android ou iOS ou à vérifier l'appareil lui-même. Cette technologie permet aux utilisateurs de se connecter à des sites sécurisés et d'accéder aux ressources de n'importe où avec une sécurité renforcée.
  • Authentification hors bande
    Ce type d'authentification nécessite une méthode de vérification secondaire via un canal de communication distinct, généralement la connexion Internet de la personne et le réseau sans fil sur lequel fonctionne son téléphone mobile. Ce sont des exemples de technologies hors bande :
    • Code Cronto®
      Ce code couleur de type QR peut authentifier ou autoriser une transaction financière. L'individu voit ce code couleur de type QR affiché par son navigateur web. Seul l'appareil enregistré de la personne peut lire et décrypter le code. Il contient les détails de la transaction que l'utilisateur peut vérifier avant d'effectuer la transaction, ce qui le rend très sûr.
    • Notification push
      Les notifications push délivrent un code d'authentification ou un code de passe à usage unique sur l'appareil mobile de l'utilisateur. Contrairement à un message SMS, la notification apparaît sur l'écran de verrouillage de l'appareil.
    • Message textuel SMS ou message vocal
      Les codes de passe à usage unique sont transmis à l'appareil mobile de l'utilisateur par un message textuel SMS ou un message vocal.
    • Jeton logiciel
      Les authentificateurs logiciels ou "jetons basés sur une application" génèrent un code PIN de connexion unique. Ces jetons logiciels sont souvent utilisés pour des cas d'utilisation MFA où l'appareil de l'utilisateur - dans ce cas un smartphone - fournit le facteur de possession.

Pourquoi les organisations ont-elles besoin d'une authentification multifactorielle ?

La fraude par prise de contrôle de compte (ATO) est une menace de cybersécurité croissante, alimentée par des attaques sophistiquées d'ingénierie sociale (c'est-à-dire des attaques de phishing), des logiciels malveillants mobiles et d'autres attaques. Les méthodes MFA correctement conçues et mises en œuvre sont plus fiables et plus efficaces contre les attaques sophistiquées que l'authentification par nom d'utilisateur et mot de passe à facteur unique, qui peut être facilement compromise par les cybercriminels grâce à des outils de piratage largement disponibles.

Quels sont les principaux avantages de l'AMF ?

Dans le cadre de leur stratégie de sécurité, les organisations utilisent l'AMF pour réaliser :

  • Sécurité améliorée
    L'authentification à facteurs multiples offre une sécurité accrue par rapport aux mots de passe statiques et aux processus d'authentification à facteur unique.

  • Conformité réglementaire
    L'authentification multifactorielle peut aider les organisations à se conformer aux réglementations de leur secteur. Par exemple, l'AMF est nécessaire pour satisfaire à l'exigence d'authentification forte de la DSP2 pour l'authentification forte du client (SCA).

  • Amélioration de l'expérience utilisateur
    La suppression de la dépendance aux mots de passe peut améliorer l'expérience client. En se concentrant sur les défis d'authentification à faible friction, les organisations peuvent renforcer la sécurité et améliorer l'expérience des utilisateurs.

Quel est l'impact de l'informatique dématérialisée sur l'AMF ?

Les banques, les institutions financières et les autres organismes de services financiers commencent à délaisser les applications hébergées en interne au profit d'applications SaaS (Software-as-a-Service) basées sur le cloud, telles que Office 365, Salesforce, Slack et OneSpan Sign. En conséquence, la quantité de données et de fichiers sensibles hébergés dans le nuage augmente, ce qui accroît le risque d'une violation de données d'informations personnelles compromises (PII), ce qui entraîne des prises de contrôle de comptes. Pour ajouter au risque de sécurité, les utilisateurs des applications SaaS peuvent se trouver n'importe où, et pas seulement dans les réseaux d'entreprise. Les couches de sécurité supplémentaires fournies par la MFA par rapport à la simple protection par mot de passe peuvent aider à contrer ces risques. Outre les facteurs de connaissance, de possession et d'inhérence, certaines technologies MFA utilisent des facteurs de localisation, tels que les adresses MAC (media access control) des appareils, pour garantir que la ressource n'est accessible qu'à partir d'appareils spécifiques.  

Une autre façon dont le cloud affecte l'AMF est l'hébergement dans le cloud de solutions AMF, qui sont généralement plus rentables à mettre en œuvre, moins complexes à administrer et plus flexibles que les solutions sur site. Les produits basés sur le cloud peuvent offrir davantage d'options destinées aux utilisateurs mobiles, telles que des applications d'authentification mobile, des notifications push, des analyses de contexte comme la géolocalisation et la biométrie.

Comment les banques peuvent-elles commencer à utiliser l'authentification multifactorielle ?

Les solutions d'authentification multifactorielle de OneSpan ont été conçues dès le départ pour protéger les comptes et les transactions en offrant plusieurs facteurs d'authentification tout en répondant aux exigences d'un processus de connexion simple. OneSpan a investi beaucoup de temps et de ressources pour créer des solutions faciles à utiliser, évolutives et fiables qui permettent une authentification forte à l'aide d'une gamme d'options de vérification faciles - comme les codes QR en couleur et Bluetooth. Il s'agit notamment de :

Pourquoi les consommateurs de services financiers devraient-ils utiliser l'AMF ?

Les consommateurs devraient utiliser l'AMF chaque fois qu'ils accèdent à des données sensibles. Un bon exemple est l'utilisation d'un guichet automatique pour accéder à un compte bancaire. Le propriétaire du compte utilise la MFA en combinant quelque chose qu'il connaît (le code PIN) et quelque chose qu'il possède (la carte ATM). De même, lorsqu'ils se connectent à un compte Facebook, Google ou Microsoft à partir d'un nouveau lieu ou d'un nouvel appareil, les consommateurs utilisent l'AMF en saisissant un élément qu'ils connaissent (le mot de passe) et un deuxième facteur, un élément qu'ils possèdent (l'application mobile qui reçoit la notification push ou SMS).

FAQ sur l'authentification multi-facteurs

Pourquoi l'AMF est-elle si sûre ?

L'authentification multifactorielle ajoute une couche supplémentaire d'authentification qui rend le piratage des comptes beaucoup plus difficile pour les cybercriminels. Les informations d'identification standard (nom d'utilisateur et mot de passe) sont relativement faciles à obtenir pour les acteurs de la menace en utilisant le phishing et d'autres outils et ressources largement disponibles. De plus, la pratique courante consistant à réutiliser un mot de passe permet à un pirate de compromettre plusieurs comptes en une seule attaque réussie. Avec MFA, les informations d'autorisation doivent provenir de deux catégories différentes ou plus : quelque chose que vous connaissez (un mot de passe), quelque chose que vous avez (un code SMS, une carte à puce, une application d'authentification ou un jeton matériel, également appelé porte-clés) et quelque chose que vous êtes (une biométrie). Les voleurs devraient voler des éléments autres qu'un mot de passe, comme votre smartphone ou votre carte bancaire, ce qui rendrait la tâche beaucoup plus difficile pour eux de compromettre votre compte. Le National Institute of Standards and Technology (NIST) recommande d'utiliser la MFA chaque fois que cela est possible, surtout lorsqu'il s'agit des données les plus sensibles comme vos comptes financiers et vos dossiers médicaux.

Que sont les "attributs implicites" et sont-ils considérés comme des facteurs ?

Également appelés authentification contextuelle, les attributs implicites utilisent la géolocalisation, l'adresse IP, l'heure de la journée et les identifiants du dispositif, tels que le système d'exploitation ou la version du navigateur du téléphone mobile, pour aider à déterminer si l'identité d'un utilisateur est authentique. Bien que les attributs implicites ne soient pas des facteurs d'authentification car ils ne confirment pas l'identité d'un utilisateur ou ne fournissent pas de vérification d'identité, ils peuvent contribuer à renforcer les barrières aux cyberattaques.

Quelle est la différence entre l'authentification à deux facteurs et l'AMF ?

L'authentification à deux facteurs (2FA) est un sous-ensemble de l'AMF qui utilise deux facteurs de deux de ces catégories - quelque chose que vous savez, quelque chose que vous avez et quelque chose que vous êtes - pour vérifier l'identité. L'authentification multi-facteurs pourrait impliquer plus de deux facteurs, bien que de nombreuses solutions d'authentification multi-facteurs en utilisent deux.
Une question logique est de savoir si l'AMF est plus sûre que l'authentification par second facteur. En général, plus le nombre de facteurs requis est élevé, plus la protection de la gestion des accès est forte ; toutefois, le type de facteur joue également un rôle. Les données biométriques sont beaucoup plus difficiles à voler que les mots de passe. En outre, la plupart des utilisateurs finaux souhaitent un processus d'authentification plus simple et peuvent essayer de trouver des solutions de contournement si le nombre de facteurs requis devient trop important. Par conséquent, la modernisation de l'expérience utilisateur en matière d'authentification est désormais un objectif prioritaire pour de nombreuses banques et institutions financières, en particulier pour les utilisateurs de l'application mobile de la banque.

Quels types de cyberattaques l'AMF peut-elle aider à prévenir ?

L'AMF permet de déjouer les types de cyberattaques suivants en exigeant de l'utilisateur des informations ou des justificatifs d'identité supplémentaires.

 

  • Attaque par hameçonnage :
    aujourd'hui, avec l'augmentation considérable du travail à distance, les attaques par hameçonnage sont utilisées pour inciter les travailleurs à donner leurs informations d'identification sur le réseau, souvent au moyen de liens et de pièces jointes malveillants ou de fausses pages de connexion à des applications SaaS comme Microsoft Office 365. Lorsque les organisations exigent au moins deux types d'authentification, comme un code à usage unique en plus de l'identifiant et du mot de passe, les voleurs d'identité ont plus de mal à infiltrer le réseau d'entreprise ou le VPN.
  • SIM swap :
    Ce type d'attaque consiste à usurper l'identité d'un utilisateur de dispositif mobile. Les attaquants tentent de persuader le fournisseur de services cellulaires de l'utilisateur de transférer ses données sur une nouvelle carte SIM (module d'identité d'abonné), car la carte ou le dispositif d'origine a été perdu ou endommagé. S'il réussit, l'échange de cartes SIM transfère la "propriété" du numéro de téléphone mobile à l'attaquant, qui peut alors intercepter les codes SMS envoyés à l'appareil. Pour lutter contre les échanges de cartes SIM, l'AMF offre une gamme de méthodes d'authentification forte (biométrie, jetons logiciels, clés de sécurité) qui évitent l'utilisation de codes SMS.
  • Leslogiciels malveillants mobiles :
    ce type de logiciel malveillant cible les appareils mobiles pour accéder à des données privées. Les exemples incluent les chevaux de Troie bancaires et les ransomwares mobiles. Malheureusement, les pirates cherchent de plus en plus à contourner les protections MFA des appareils mobiles, notamment les mots de passe à usage unique envoyés par SMS. Pour lutter contre les tentatives de contournement de l'AMF, il est recommandé d'éviter les SMS et d'opter pour des méthodes plus solides telles que la biométrie (empreinte digitale, scan du visage ou de la rétine) et les notifications push

Qu'est-ce que l'authentification adaptative ?

L'authentification adaptative, également appelée authentification basée sur le risque, est un type d'AMF qui ajuste les facteurs d'authentification requis en fonction du niveau de risque d'une transaction. Il utilise des règles anti-fraude pour produire une réaction prédéfinie à la tentative d'authentification. Le type d'authentification approprié peut être défini pour le type approprié de risque perçu sur la base de points de données connus.Par exemple, les tentatives provenant d'un lieu spécifique (par exemple, en dehors du pays du client) peuvent être définies pour déclencher un certain type de combinaison MFA.
L'authentification adaptative élimine le problème de la "taille unique" qui affecte la plupart des systèmes d'authentification actuels : une connexion quotidienne à partir du même endroit nécessite le même niveau d'authentification qu'une toute nouvelle connexion à partir d'un endroit fortement attaqué. Ces deux connexions doivent être traitées avec des niveaux d'authentification différents.
L'authentification adaptative intelligente va plus loin en utilisant des règles anti-fraude ainsi que des algorithmes d'apprentissage automatique pour se familiariser avec le rôle de l'utilisateur et les scénarios d'accès typiques, notamment les lieux, les appareils et les adresses IP. Chaque fois que l'utilisateur tente de s'authentifier, un système d'authentification adaptatif intelligent analyse toutes les données contextuelles, les note pour déterminer la propension au risque et adapte le flux d'authentification à ce niveau de risque.
L'un des avantages de cette approche est la flexibilité. Au lieu d'appliquer la même exigence MFA standard pour chaque utilisateur, l'authentification adaptative s'adapte à la situation en simplifiant et en accélérant les tentatives d'accès de routine à faible risque et en renforçant la sécurité pour les tentatives d'accès à plus haut risque.

Que sont les mécanismes hors bande dans l'AMF, et comment fonctionnent-ils ?

L'authentification hors bande est un type d'AMF qui nécessite une méthode de vérification secondaire via un canal de communication distinct. En général, il s'agit d'envoyer un code d'accès à usage unique (OTP) sur le téléphone mobile de l'utilisateur, qui doit l'appliquer en même temps que sa connexion Internet protégée par un mot de passe sur un autre appareil, comme un ordinateur de bureau ou un ordinateur portable.
L'authentification par le biais de deux canaux distincts, non connectés, qui devraient être violés simultanément par un attaquant, rend une compromission réussie beaucoup moins probable. L'authentification hors bande est souvent utilisée par les banques et autres institutions financières ayant des exigences de sécurité strictes.

Il existe plusieurs façons de transmettre des mots de passe à usage unique à un appareil mobile :

  • Code QR ou cryptogramme visuel
  • Notification push
  • SMS (Notez que le SMS n'est plus une mesure de sécurité recommandée car il est très facile pour un pirate de voler le numéro de mobile d'un utilisateur en utilisant la méthode de l'échange de SIM afin d'obtenir les mots de passe SMS).


D'autres méthodes consistent à demander à l'utilisateur de :

  • Passer un appel téléphonique depuis un appareil enregistré (souvent utilisé pour activer une nouvelle carte de crédit)
  • Répondre à un appel téléphonique généré automatiquement par la banque ou une autre institution
  • Recevoir un OTP sur l'application de leur téléphone ou par notification push pour autoriser une transaction au guichet automatique ou accéder à un portail web.

Quelles technologies sont explorées pour rationaliser l'AMF pour les utilisateurs mobiles ?

Comme les solutions MFA imposent des mesures d'authentification supplémentaires, elles peuvent alourdir le processus d'accès à un compte ou à un portail, notamment pour les utilisateurs de téléphones portables. Pour rationaliser le processus d'authentification et réduire les frictions, de nouvelles technologies "passives" fonctionnent en arrière-plan sans nécessiter d'action de la part de l'utilisateur. L'authentification biométrique comportementale en est un exemple : elle permet d'identifier une personne en fonction de ses habitudes uniques de frappe ou de balayage lorsqu'elle interagit avec un smartphone ou une tablette.
L'alliance Fast Identity Online (FIDO) a été créée pour aider à réduire la dépendance aux mots de passe par l'utilisation d'une authentification sans mot de passe. Les protocoles FIDO prennent en charge les technologies d'authentification, y compris la biométrie. Le protocole FIDO 2, mis en œuvre par Google, Microsoft et d'autres fournisseurs, permet aux personnes d'utiliser des jetons matériels conformes à la norme FIDO pour s'authentifier auprès de leur navigateur sans avoir à saisir leur nom d'utilisateur et leur mot de passe. De même, de nombreuses grandes banques mettent en œuvre le protocole pour permettre aux appareils mobiles compatibles avec la FIDO de s'authentifier dans leur application bancaire sans que l'utilisateur final ait à saisir un nom d'utilisateur et un mot de passe.

Qu'est-ce que la norme WebAuthn et comment peut-elle contribuer à renforcer la sécurité des services bancaires en ligne ?

WebAuthn tente d'apporter la technologie d'authentification de type FIDO aux applications web.Il offre aux développeurs d'applications Web un moyen standard de mettre en œuvre une authentification multifactorielle sécurisée sans avoir à utiliser des bibliothèques et des systèmes d'authentification tiers.WebAuthn apporte la sécurité de la biométrie et de l'authentification forte aux applications web qui nécessitaient auparavant des back-ends lourds et des considérations techniques supplémentaires. Le protocole WebAuthn est conçu pour donner aux développeurs de nouvelles applications à page unique (SPA) et d'applications Web progressives (PWA) un moyen de mettre en œuvre une authentification forte en s'appuyant sur les technologies intégrées des dispositifs locaux auxquelles les pages Web ne pouvaient pas facilement accéder auparavant.

Prenez contact avec nous

Contactez l'un de nos experts en sécurité pour en savoir plus sur la manière dont nos solutions peuvent répondre à vos besoins en matière de sécurité numérique

Contact