Une authentification à double facteur doit pouvoir vérifier et corréler quelque chose que l’on sait (la plupart du temps le mot de passe) et quelque chose que l’on possède. C’est à ce deuxième facteur que l’on s’intéresse ici. Les possibilités étant très nombreuses, voici donc quelques-unes des techniques utilisées.
Pour confirmer une connexion, il est possible d’utiliser le sms de vérification : un sms est envoyé sur le numéro utilisé lors du paramétrage du compte. Cette technique est aujourd’hui très souvent utilisée pour du paiement bancaire et pourrait être généralisée à d’autres plateformes – qui de nos jours n’a pas son téléphone à portée de main ?
Souvent demandé pour l’activation de softwares sur des smartphones ou tablettes, un code est envoyé par email afin de confirmer que l’on souhaite bien accéder à un service sur un terminal. Cette méthode est efficace et permet plus de choses que le SMS.
En effet, l’éditeur ou le fournisseur peut glisser une URL dans l’email en indiquant qu’il est possible d’intervenir immédiatement si l’on n’est pas à l’origine de cette demande d’accès.
Si le password de l’email est le même que le service en question, cela perd en revanche son intérêt, car il ne sera pas compliqué pour l’usurpateur d’accéder à la boite email et de confirmer lui-même la demande puis de la faire disparaitre.
Plusieurs services existent aujourd’hui pour permettre de confirmer l’authentification par un deuxième password. Ce dernier change de façon aléatoire toutes les N secondes (selon les logiciels). Certains sont gratuits, mais l’on arrive en général dans un environnement déjà professionnel que peu d’acteurs grand public du web proposent aujourd’hui.
Cette technique est vivement conseillée pour des entreprises qui doivent gérer des collaborateurs mobiles : ils l’utiliseront pour se connecter à un VPN ou pour la consultation d’applicatifs dans le Cloud.
Il s’agit là d’une bonne protection qui oblige un utilisateur à posséder une carte à puce personnelle qui vérifiera l’identité de l’utilisateur avec un certificat ou par le biais d’un plugin.
Cela reste tout de même complexe à gérer pour du grand public, mais également pour des entreprises ayant des moyens IT limités. L’utilisation d’une clef U2F (Universal 2nd Factor) se connectant en USB est donc idéale dans ce cas de figure.
Une solution élégante qui rejoint la carte à puce mais qui a l’avantage de pouvoir s’intégrer à un système d’accès déjà existant dans l’entreprise (accès aux locaux, cantine, véhicules, etc.). Attention toutefois, il ne doit pas remplacer le password mais bien le compléter. Les ordinateurs ou services à utiliser devront posséder un lecteur RFID.
Certains terminaux utilisent aujourd’hui la biométrie (empreinte digitale, reconnaissance faciale) comme les smartphones ou les ordinateurs. Dans ce cas d’utilisation, il devient nécessaire de gérer son authentification correctement et Il est essentiel de bien contrôler le stockage des informations et leur accessibilité. Une unité qui stockerait ce type de données dans le cloud est à bannir.
Pour les professionnels, des solutions par empreintes palmaires, vocales ou encore rétiniennes (oui, cela n’existe pas qu’au cinéma) sont également disponibles mais auront un coût non négligeable.
Notons toutefois qu’une entreprise qui stocke des informations biométriques de ses salariés doit faire une déclaration à la CNIL et répondre à un certain cahier des charges.
Renaud GOFFINET est Responsable Exploitation des Infrastructures Systèmes chez Hub One. Il est passionné par toutes les technologies liées à l’IT au sens large mais aussi par la randonnée et les sports aquatiques en général. Sa technologie préférée : la domotique basée sur de l’Open Source qu’il utilise chez lui.
9 juin 2017
17 avril 2015