Authentification à deux facteurs (2FA)

En quoi consiste et comment fonctionne l'authentification à deux facteurs ?

Si les entreprises ne contrôlent pas les accès aux applications dans le Cloud, elles s'exposent à des violations de sécurité. Les pirates travaillent sans relâche. Toutes les techniques de piratage (hunting, phishing, scamming et social-engineering) sont bonnes pour piéger les individus, y compris les utilisateurs privilégiés, et infiltrer votre organisation. Une fois à l'intérieur du réseau, ils recherchent les moyens d'élever les privilèges et de s'approprier les ressources. En mettant en place un système d'authentification à deux facteurs des utilisateurs, vous déjouez les attaques et protégez les données de l'entreprise.

Qu'est-ce qu'une authentification à deux facteurs ?

L'authentification à deux facteurs permet d'ajouter une couche de sécurité supplémentaire. En règle générale, il est demandé aux utilisateurs de prouver leur identité en fournissant de simples informations de connexion, comme une adresse électronique et un mot de passe. Un deuxième facteur constitue une couche supplémentaire de protection contre les accès illicites. Les utilisateurs doivent s'authentifier d'une autre façon, sous forme de jeton physique (une carte, par exemple) ou d'un code secret qu'ils sont les seuls à connaître.

Les organismes de régulation fédéraux américains reconnaissent les facteurs d'authentification suivants :

  • Ce que l'on connaît - un mot de passe ou un code PIN
  • Ce que l'on a - une carte à puce, une clé USB, un certificat PKI (infrastructure de clé publique) ou un téléphone mobile
  • Ce que l'on est - une caractéristique biométrique, comme une empreinte digitale ou un modèle vocal

FACTEURS D'AUTHENTIFICATION PRIS EN CHARGE

  • • Certificats PKI du navigateur
  • • Solution SecurID de RSA
  • • Solution VIP Access de Symantec
  • • Clé USB Yubikey de Yubico
  • • Application Google Authenticator

Pourquoi l'authentification à deux facteurs est-elle plus fiable ?

Un facteur d'authentification supplémentaire empêche quiconque de se connecter à votre compte, même si cette personne connaît votre mot de passe. Vous pensez probablement que votre mot de passe est sûr. En réalité, il est facilement à la merci d'intrus : Nombreux sont ceux qui choisissent un mot de passe facile à retenir et qui le réutilisent pour plusieurs applications. Ceux qui vous côtoient peuvent facilement connaître le nom de votre animal de compagnie, votre lieu de naissance ou une date importante. Quelqu'un peut, par-dessus votre épaule, déchiffrer votre mot de passe. Pour finir, une méthode plus sophistiquée met vos informations de connexion en péril : l'enregistreur de frappe qui enregistre toutes les touches sur lesquelles vous avez appuyé et envoie la séquence à un tiers.

Si l'authentification implique à la fois un mot de passe et, disons, un jeton USB où figure un certificat numérique, un escroc devra connaître vos informations de connexion et être en possession de votre jeton USB pour se connecter à votre compte. Sans quoi, tout accès non autorisé échouera et déclenchera une alerte de sécurité pour informer l'administrateur d'une tentative de connexion suspecte.

Pour renforcer encore l'authentification, il est possible de combiner d'autres facteurs ; on parle alors d'authentification à plusieurs facteurs. Vous pouvez ajouter un certificat KPI dans votre navigateur ou demander à l'utilisateur de fournir d'autres données secrètes. Vous pouvez aussi utiliser OneLogin Desktop pour accroître la sécurité à l'aide d'un certificat enregistré sur un ordinateur portable qui, en tant qu'appareil fiable, sert alors de deuxième facteur d'authentification. Vous bénéficiez alors d'une authentification à plusieurs facteurs pour accéder à toutes vos applications.

Pour encore plus de sécurité, pensez à faire appel à l'authentification adaptative, qui exploite l'apprentissage machine pour appliquer une couche supplémentaire d'intelligence à la protection des identités.

Facteurs d'authentification forts

Dans le cadre d'une solution 2FA, les deuxièmes facteurs à utiliser pour sécuriser l'accès aux applications peuvent revêtir plusieurs formes. En voici quelques exemples :

Mot de passe à usage unique (OTP) – Mot de passe unique qui n'est valable que pour une seule session ou transaction. Il s'agit généralement d'une courte chaîne de chiffres générée en fonction d'un secret stocké sur un appareil physique tel qu'un jeton USB ou un smartphone. Lors de l'authentification, le mot de passe à usage unique est vérifié par le service du fournisseur OTP dans le Cloud. Si quelqu'un réussit à s'emparer de votre mot de passe, il ne pourra pas s'en servir pour se connecter s'il ne connaît pas l'autre mot de passe à usage unique. OneLogin intègre gratuitement une fonction de mot de passe à usage unique à sa solution pour renforcer la sécurité, surtout en cas d'accès à distance.

Code PIN à synchronisation temporelle – Séquence de chiffres à saisir pendant une courte période de temps, généralement comprise entre 30 et 60 secondes. Le code PIN peut être généré par un logiciel ou un appareil à l'aide d'une horloge très précise. La sécurité repose sur la très courte période de validité du code confidentiel.

Certificats (PKI) numériques – Certificat numérique émis par une autorité de certification de confiance qui est installé sur l'appareil ou dans le navigateur de l'utilisateur. Le gestionnaire d'identité peut vérifier l'existence de certificats valides tout comme les révoquer à tout moment. Seul un navigateur associé à un certificat valide sera autorisé à se connecter.

Processus d'authentification

Le processus utilisé par le service d'authentification à deux facteurs dans le Cloud de OneLogin est d'une grande simplicité. L'utilisateur s'authentifie une première fois à l'aide de son nom d'utilisateur et de son mot de passe. OneLogin recherche l'utilisateur et si des facteurs d'authentification supplémentaires sont requis, l'utilisateur sera invité à les saisir sur la page de connexion.

Il suffit à l'utilisateur d'appuyer sur le bouton YubiKey qui enverra alors le mot de passe à usage unique généré vers la zone de saisie du navigateur, éliminant ainsi les risques d'erreur de saisie. OneLogin vérifie ensuite que a) la YubiKey appartient à l'utilisateur cherchant à accéder au compte et que b) le code saisi n'a pas déjà été utilisé.

L'élégante clé USB de Yubico fonctionne sous Windows, Mac et Linus et n'exige aucun logiciel client. Une simple pression sur le bouton suffit pour générer un mot de passe à usage unique et le faire automatiquement apparaître dans le navigateur.

Symantec VIP Access est pris en charge sur des centaines de téléphones mobiles, notamment iPhone, Android, Windows Mobile et Blackberry. Toutes les 30 secondes, un nouveau code PIN à 6 chiffres est généré pour une validité de seulement une minute.

Sécurisez l’intégralité de vos applications, utilisateurs et appareils.