Authentification Multifactorielle ou MFA : de quoi parle-t-on ?

C’est un constat, l’utilisation du numérique rend nos vies plus simples. Néanmoins, la contrepartie liée à cette augmentation est notre exposition au risque de la perte de nos données : vol d’argent, usurpation d’identité, etc. Pour pallier ces risques, la mesure la plus courante est de protéger nos données par un mot de passe. Mais les divers actes de cybermalveillance tendent à démontrer que ces mots de passe ont des limites. Ainsi, pour renforcer la sécurité des accès, les entreprises optent pour l’authentification multifactorielle.
Authentification Multifactorielle ou MFA : de quoi parle-t-on ?

Pour une entreprise, on parle de la possibilité de compromettre son système d’information par un logiciel malveillant qui va crypter toutes ses données (Ransomware) ou bien celle de se faire voler ses données sensibles par un attaquant qui accède à son SI en testant plusieurs mots de passe avec l’aide d’outils automatisés (Brute Force).

Le défi de la cybersécurité consiste alors à assurer la sécurité de l’utilisateur (la triade CIA) tout en essayant de rendre l’expérience de l’utilisateur agréable. Pour une meilleure sécurité, le mot de passe doit alors être long et aléatoire mais néanmoins facile à retenir par l’utilisateur.

Lorsque vous vous connectez à une plateforme, trois opérations sont effectuées : l’identification de l’utilisateur, son authentification et enfin l’autorisation d’accès au compte avec les droits et privilèges qui lui sont attribués.

Historiquement, la première utilisation de mot de passe a été mise au point par le CTSS (Compatible Time-Sharing System), premier système d’exploitation à temps partagé. Quant au premier vol de mot de passe, il date de 1962 et a été commis par Allan Scherr, informaticien chez IBM, qui a lancé la première cyberattaque contre le MIT.

En 1996, Secure Dynamics, rachetée par RSA a permis de faire évoluer l’authentification multifactorielle (MFA) en proposant une clé utilisable avec une authentification forte et un jeton dynamiquement changeable. Malheureusement en 2011, la compromission de RSA Secure ID, a révélé un grand nombre de vulnérabilités dont la plupart étaient liées à l’algorithme qui permettait de générer les jetons d’authentification. Associée à cette découverte, une augmentation de l’exploitation de la vulnérabilité SS7 a été détectée, elle permettait le vol des sms d’OTP (mot de passe à usage unique) par interception sur le téléphone de l’utilisateur pendant une durée déterminée.

Pour renforcer la sécurité, mieux vaut une authentification à « deux sens » (TwoWay) et non simplement « à sens unique » (OneWay), mais elle reste plus difficile à adopter et à déployer. De même que lors du choix d’un produit MFA, certains coûts supplémentaires entrent en jeu, tels que la mise en œuvre, la transition, l’adaptation, l’exploitation et la maintenance.

Il s’avère que quelle que soit la manière dont l’authentification est effectuée, l’autorisation utilise le même jeton d’authentification mais si celui-ci est cassé, tout ce qui suit sera susceptible d’être attaqué.

Sur le marché, il existe actuellement des clés permettant de s’authentifier auprès de plusieurs comptes et machines en injectant la clé USB au moment de l’authentification et en appuyant sur un bouton de cette même clé. En outre, il existe des clés qui permettent l’authentification par Bluetooth ou NFC. Enfin, il existe également des applications MFA.

La MFA n’offre pas une sécurité à 100 % car les utilisateurs peuvent toujours être trompés par l’ingénierie sociale ou par l’exploitation d’une mauvaise mise en œuvre. Mais il s’agit néanmoins d’une alternative intéressante.

Source : Oracle

Besoin de plus d'informations

Salmane Walkaddour
Salmane Walkaddour

Apprenti Analyste SOC

Salmane WALKADDOUR est Analyste SOC chez Hub One en apprentissage et suit sa formation à l'ISEP(école d'ingénieur numérique) en dernière année de cycle d'ingénieurs, il est spécialisé dans la Sécurité Numérique et Réseaux.Une de ses plus grandes passion est d’apprendre et de découvrir de nouvelles choses concernant la technologie et la cybersécurité au travers de podcasts, d’actualités High-Tech et dans la lecture de livres. Ceci, dans le but d’être un expert et maîtriser les nouvelles technologies, plus particulièrement en cybersécurité. Étant en phase d’apprentissage, Salmane utilise quotidiennement le site «Tryhackme» pour apprendre la cybersécurité en pratiquant et l’application web « Notion » pour gérer tous ses projets.


Pour aller plus loin

Pour recevoir la documentation Hub One adaptée à vos besoins

Le présent site stocke des cookies et autres traceurs sur votre équipement (ci-après dénommés « cookies »). Ces cookies sont utilisés par Hub One pour collecter des informations sur la manière dont vous interagissez avec le site et établir des statistiques et des volumes de fréquentation et d’utilisation afin d’améliorer votre parcours en tant qu’utilisateur.
Vous pouvez choisir de ne pas autoriser certains types de cookies, à l’exception de ceux permettant la fourniture du présent site web et qui sont strictement nécessaires au fonctionnement de ce dernier. Pour accepter ou refuser l’utilisation des différentes catégories de cookies (à l’exception de la catégorie des cookies strictement nécessaires), rendez-vous dans les Préférences cookies.
Vous pouvez à tout moment revenir sur votre autorisation d’utilisation des cookies (Préférences cookies).
Le refus de l’utilisation de certains cookies peut avoir un impact sur votre utilisation du site.
En savoir plus : Politique cookies
Préférences cookies
Refuser tous les cookies
Accepter tous les cookies