16/10/2023
Cybersecurity Insights
L’authentification multi-facteurs en 2023
L’authentification multi-facteurs, un sujet toujours d’actualité à ne pas négliger !
En 2023, l’authentification multi-facteurs est-elle assez utilisée ?
Parmi les entreprises ayant détecté des attaques cyber en 2022, 41% ont subi des tentatives d’arnaque au président, 33% de bruteforce, et le vecteur d’attaque principal reste le Phishing avec 74% des entreprises affectées (Source : CESIN 2022). Pour ces trois vecteurs d’attaque et pour bien d’autres, l’authentification joue bien souvent un rôle clé pour l’attaquant : une fois des identifiants obtenus, il dispose d’un accès direct au système et peut ainsi poursuivre son attaque, pivoter depuis l’intérieur vers d’autres systèmes, voler des informations sensibles…
Pourtant, des solutions existent et ce depuis des années ! L’authentification multi-facteurs est utilisée dans 81% des entreprises et permet de considérablement réduire les risques : les entreprises qui n’en disposent pas sont 5 fois plus impactées par des incidents de prise de contrôle de compte (Source : Gartner).
Alors pourquoi s’en passer, et surtout, comment l’implémenter ?
L’authentification multi-facteurs (MFA) consiste à combiner au moins deux facteurs d’authentification. On entend par facteur d’authentification une méthode d’authentification telle que le mot de passe, la reconnaissance ou l’empreinte digitale par exemple. On utilise ainsi fréquemment le mot de passe en première méthode d’authentification, que l’on combine ensuite avec un second facteur : un code de confirmation envoyé par sms, email ou via des applications de OTP le plus souvent.
Suivant le contexte, certains facteurs d’authentification complémentaires au mot de passe sont plus utilisés que d’autres :
- Les données biométriques sur les téléphones, et de plus en plus sur certains modèles de laptop
- Les codes de confirmation par SMS ou mail, sur de nombreux sites web
- Les notifications push pour beaucoup d’applications bancaires
- Les certificats de sécurité en entreprise et bien souvent pour la connexion au VPN ou pour les échanges entre services
- Les clés cryptographiques (RSA, DSA) pour des échanges entre serveur, ou utilisées par les administrateurs techniques
- Les cartes à puce, pouvant contenir elles-mêmes des certificats, clés, générer des codes TOTP, gérer le challenge-réponse …
Aujourd’hui, beaucoup d’outils proposent nativement une solution de MFA : « MFA », « Code à usage unique », « Code OTP », « Double authentification », « Authentification forte », « Confirmation par […] », à chaque outil sa formulation.
D’autres outils vous permettront d’utiliser la fédération d’identité par la fonctionnalité « vous connecter avec [un tiers] », ce qui peut être implémenté notamment en entreprise : l’authentification multi-facteurs doit alors être faite sur votre compte principal (Microsoft, Google, Facebook, …) et c’est lui qui gère l’accès à vos outils.
A chaque menace sa, ou ses, solutions. Vous craignez des tentatives de bruteforce ? Renforcez vos mots de passe, limitez le nombre de tentatives d’accès.
Vous craignez la réutilisation de mots de passe ayant fuité ? Utilisez des mots de passe différents, gérez-les avec des gestionnaires de mots de passe. Vous craignez un accès illégitime à un compte par des identifiants volés ? Implémentez du MFA.
Le MFA : la solution à tous nos problèmes ?
Pas totalement.
Implémenter des solutions de MFA sur vos outils vous permettra sans aucun doute de réduire drastiquement les risques de compromission et d’accès frauduleux à des comptes, mais ce n’est pas si simple.
A chaque contexte d’entreprise ses besoins de sécurité, à chaque technologie sa solution de MFA. Systématiser le MFA sur chaque outil n’est pas forcément la solution, certaines méthodes sont lourdes pour l’utilisateur (confirmation par SMS, email par exemple), et c’est là toute la difficulté : des choix et compromis doivent être faits.
Le plus souvent, les points d’accès protégés sont les suivants :
- Les points d’authentification unique (SSO), en entreprise, il peut s’agir de votre compte Microsoft par exemple. C’est l’équivalent de votre compte google lorsque vous l’utilisez sur d’autres sites avec la fonction « se connecter avec google »
- Les accès au réseau (VPN notamment), vous possédez généralement un certificat sur votre machine, il peut également vous être demandé un mot de passe et/ou un code à usage unique
- Les comptes d’administration, à destination d’administrateurs techniques mais également parfois à des responsables
- L’accès à vos mails, en tant que point central, vos mails sont bien souvent une méthode de réinitialisation des autres mesures de sécurité par la fonction « mot de passe oublié »
Malgré tout, le MFA ne vous assure pas qu’aucun compte ne pourra être compromis ! Ce très bon article vous expliquera notamment comment des attaquants arrivent désormais, massivement, à contourner les solutions d’authentification forte.
Ce qu’il faut retenir : le MFA seul n’est pas la solution, il doit être couplé à des mesures fortes de sécurité, des outils d’analyse, de la sensibilisation, …
Et toutes les solutions n’apportent pas les mêmes garanties. Implémenter un code à usage unique géré dans votre gestionnaire de mot de passe ou application « authenticator » favorite est une très bonne chose : cela réduira considérablement les risques. Cependant, vous ne serez pas protégé contre certains phishing plus poussés, l’origine de votre connexion ne sera pas vérifiée, le comportement ne sera pas comparé à vos habitudes.
Que faisons-nous chez Almond face à ces problématiques ?
Nos experts sont en mesure de vous accompagner sur toute la chaîne d’authentification et de gestion des accès :
- Identification des points sensibles de votre infrastructure
- Mise en œuvre et audit de solution d’authentification unique SSO
- Mise en œuvre de dispositif MFA
- Diagnostic des risques de sécurité et accompagnement à leur remédiation
- Sensibilisation aux risques cyber (phishing, social engineering)
- Campagnes de phishing
Nous intervenons sur toute la chaîne de gestion des accès et travaillons ainsi avec des spécialistes de l’authentification forte et des solutions avancées spécialisées dans l’authentification multi-facteurs.
Ces solutions avancées permettent de prendre en compte les différents aspects du MFA : intégration, expérience utilisateur, analyse comportementale, adaptabilité face aux nouvelles menaces. Certains outils en SaaS seront ainsi parfaitement adaptés aux enjeux actuels d’architecture Zero Trust et s’intègreront ainsi dans vos architectures Cloud.
Sources
Romain CHAUVIRE
Consultant Governance, Risks & Compliance