Sécurité IT : vers une double authentification pour tous ?

De nos jours, il est entendu qu’un mot de passe simple n’est plus une protection suffisante contre des actes de piratage, d’usurpation d’identité ou d’ingénierie sociale. Si un mot de passe complexe est déjà une bonne barrière, ce n’est pas une fin en soi. Il est indispensable de se munir de moyens alternatifs. L’identification ou authentification à double facteur est l’une d’entre elles.

Qu’est-ce que l’authentification à double facteur ?

Une authentification à double facteur doit pouvoir vérifier et corréler quelque chose que l’on sait (la plupart du temps le mot de passe) et quelque chose que l’on possède. C’est à ce deuxième facteur que l’on s’intéresse ici. Les possibilités étant très nombreuses, voici donc quelques-unes des techniques utilisées.

Par SMS

Pour confirmer une connexion, il est possible d’utiliser le sms de vérification : un sms est envoyé sur le numéro utilisé lors du paramétrage du compte. Cette technique est aujourd’hui très souvent utilisée pour du paiement bancaire et pourrait être généralisée à d’autres plateformes – qui de nos jours n’a pas son téléphone à portée de main ?

Par email

Souvent demandé pour l’activation de softwares sur des smartphones ou tablettes, un code est envoyé par email afin de confirmer que l’on souhaite bien accéder à un service sur un terminal. Cette méthode est efficace et permet plus de choses que le SMS.

En effet, l’éditeur ou le fournisseur peut glisser une URL dans l’email en indiquant qu’il est possible d’intervenir immédiatement si l’on n’est pas à l’origine de cette demande d’accès.

Si le password de l’email est le même que le service en question, cela perd en revanche son intérêt, car il ne sera pas compliqué pour l’usurpateur d’accéder à la boite email et de confirmer lui-même la demande puis de la faire disparaitre.

Par un service à mot de passe tournant

Plusieurs services existent aujourd’hui pour permettre de confirmer l’authentification par un deuxième password. Ce dernier change de façon aléatoire toutes les N secondes (selon les logiciels). Certains sont gratuits, mais l’on arrive en général dans un environnement déjà professionnel que peu d’acteurs grand public du web proposent aujourd’hui.

Cette technique est vivement conseillée pour des entreprises qui doivent gérer des collaborateurs mobiles : ils l’utiliseront pour se connecter à un VPN ou pour la consultation d’applicatifs dans le Cloud.

Par carte à puce et clef U2F

Il s’agit là d’une bonne protection qui oblige un utilisateur à posséder une carte à puce personnelle qui vérifiera l’identité de l’utilisateur avec un certificat ou par le biais d’un plugin.

Cela reste tout de même complexe à gérer pour du grand public, mais également pour des entreprises ayant des moyens IT limités. L’utilisation d’une clef U2F (Universal 2nd Factor) se connectant en USB est donc idéale dans ce cas de figure.

Par carte RFID

Une solution élégante qui rejoint la carte à puce mais qui a l’avantage de pouvoir s’intégrer à un système d’accès déjà existant dans l’entreprise (accès aux locaux, cantine, véhicules, etc.). Attention toutefois, il ne doit pas remplacer le password mais bien le compléter. Les ordinateurs ou services à utiliser devront posséder un lecteur RFID.

Par biométrie

Certains terminaux utilisent aujourd’hui la biométrie (empreinte digitale, reconnaissance faciale) comme les smartphones ou les ordinateurs. Dans ce cas d’utilisation, il devient nécessaire de gérer son authentification correctement et Il est essentiel de bien contrôler le stockage des informations et leur accessibilité. Une unité qui stockerait ce type de données dans le cloud est à bannir.

Pour les professionnels, des solutions par empreintes palmaires, vocales ou encore rétiniennes (oui, cela n’existe pas qu’au cinéma) sont également disponibles mais auront un coût non négligeable.

Notons toutefois qu’une entreprise qui stocke des informations biométriques de ses salariés doit faire une déclaration à la CNIL et répondre à un certain cahier des charges.

En tant qu’entreprise, il ne faut pas oublier que la traçabilité des actions de ses collaborateurs devient une nécessité et que la double authentification (par carte à puce, clef, ou biométrie) est le meilleur moyen de s’assurer qu’une attaque par ingénierie sociale ne pourra pas avoir de conséquence sur l’éventuelle accessibilité des données et des outils de production.