Traditionnellement, nous nous sommes toujours connectés aux systèmes en ligne à l’aide d’un nom d’utilisateur et d’un mot de passe. Cependant, ces justificatifs d’identité sont souvent compromis lorsque quelqu’un accède de manière illicite aux bases de données qui les contiennent ou lorsque nous sommes invités par la ruse à fournir de l’information à des fraudeurs ou des sites Web frauduleux (souvent par hameçonnage ou d’autres formes d’attaque d’ingénierie sociale). Une fois que ces justificatifs d’identité sont compromis, les fraudeurs peuvent les utiliser pour se connecter à des services en ligne connexes. Pire encore, les pirates peuvent accéder à plusieurs services lorsque les gens réutilisent les mêmes noms d’utilisateur et mots de passe.
Afin de mieux vérifier votre identité lorsque vous soumettez votre nom d’utilisateur et votre mot de passe, les organismes se tournent vers l’authentification à facteurs multiples (AFM). L’AFM vous oblige à présenter plusieurs types de justificatifs d’identité, comme un nom d’utilisateur et un mot de passe ainsi qu’un code unique affiché sur un jeton ou un téléphone intelligent. L’AFM peut contrecarrer les tentatives de connexion à un service de ceux qui devinent votre mot de passe ou utilisent des noms d’utilisateur et des mots de passe volés. Une technique connexe, mais moins efficace, consiste à effectuer une vérification en deux étapes qui nécessite deux éléments d’information du même type de facteur, comme deux éléments d’information que vous connaissez, tandis que l’AFM vous oblige à présenter plusieurs types de justificatifs d’identité.
Facteurs d’authentification
Les « facteurs » les plus souvent utilisés pour l’authentification comprennent quelque chose que vous connaissez (NIP ou mot de passe, etc.), quelque chose que vous possédez (matériel ou logiciel, p. ex. jeton RSA ou application Google Authenticator) et quelque chose que vous êtes (biométrie, p. ex. lecture de vos empreintes digitales ou de votre iris). Ces facteurs sont souvent requis en plus des habituels noms d’utilisateur et mots de passe.
En vous obligeant à présenter des facteurs multiples, les fournisseurs de service essaient de limiter la probabilité que d’autres personnes ou d’autres parties aient accès au service sans votre consentement. Ils partent de l’hypothèse que, même si un fraudeur a l’accès à un facteur et l’utilise, les possibilités qu’il puisse présenter tous les facteurs requis sont moins grandes.
Quelque chose que vous connaissez
L’authentification fondée sur les connaissances exige que vous possédiez (et présentiez) de l’information personnelle statique ou dynamique. L’authentification statique peut inclure un nom d’utilisateur et un mot de passe ou des informations personnelles uniques qui sont souvent utilisées dans les questions de récupération de compte, telles que le nom de jeune fille de votre mère, votre garniture de pizza préférée ou le nom de votre premier animal de compagnie.
L’authentification fondée sur les connaissances dynamiques exige que vous fournissiez de l’information concernant votre utilisation antérieure du service. À titre d’exemple, les banques peuvent utiliser l’authentification dynamique en vous demandant d’énumérer vos derniers achats. Ce type d’authentification fonctionne lorsqu’une relation continue existe entre vous et le fournisseur de service.
Les services peuvent également vous transmettre des codes temporaires et uniques par courriel et par message texte ou en vous rejoignant sur le téléphone intelligent que vous avez inscrit auprès du service. Il faudra alors que vous saisissiez ce code de durée limitée pour accéder au service demandé.
Quelque chose que vous possédez
L’authentification fondée sur les appareils se décline en deux versions dominantes : les jetons dédiés au matériel ou les logiciels installés sur les téléphones intelligents. Les jetons dédiés se présentent souvent sous la forme de clés d’authentification qui affichent des numéros pseudo-aléatoires qui changent périodiquement (par exemple, les jetons RSA SecurID). Les clés d’authentification contiennent un algorithme et un dossier de valeurs de départ qui servent à calculer un numéro pseudo-aléatoire. Vous saisissez ce numéro unique et le service auquel vous accédez confirme que le numéro saisi correspond à la valeur prévue. Les jetons matériels plus récents peuvent être insérés dans l’appareil informatique ou placés à proximité de celui-ci; il suffira ensuite d’appuyer sur un bouton. Dans certains secteurs, comme le secteur bancaire, un jeton matériel peut être une carte bancaire ou une carte à puce.
L’authentification fondée sur des logiciels, en revanche, s’effectue généralement à l’aide d’applications installées sur les téléphones intelligents; un exemple bien connu est l’application Google Authenticator. Plutôt que d’exiger le recours à du matériel distinct, tel qu’une clé d’authentification, l’application du téléphone intelligent calcule les numéros pseudo-aléatoires à partir du dossier de valeurs de départ en utilisant l’horloge du téléphone intelligent et un algorithme intégré.
Quelque chose que vous êtes
L’authentification fondée sur la biométrie vous oblige à enregistrer une caractéristique biométrique que vous présentez par la suite pour accéder à un service donné. Par exemple, vous pourriez enregistrer vos empreintes digitales avec le système d’exploitation de votre téléphone intelligent, comme iOS d’Apple ou Android de Google.
Dans certains cas, les systèmes biométriques seront utilisés pour accéder à un service ou à site unique, comme un immeuble sécurisé. Dans d’autres cas, vous pouvez enregistrer vos données biométriques sur une plateforme de service qui utilisera les données biométriques saisies pour vous authentifier et ainsi vous donner accès à un éventail d’applications.
Une fois que les données biométriques sont enregistrées, vous devrez les présenter, par exemple, en appuyant sur le bouton Démarrage pour accéder à Touch ID. Ces données biométriques sont comparées à celles que vous avez enregistrées plus tôt pour vous permettre d’accéder rapidement à vos applications ou d’autoriser des achats.
Autres méthodes d’authentification
Deux autres types d’authentification méritent d’être soulignés. Il y a tout d’abord l’authentification fondée sur la proximité, qui vous permet d’accéder automatiquement à un périphérique lorsque le jeton que vous portez et le périphérique que vous souhaitez utiliser sont proches l’un de l’autre. Ainsi, lorsque vous vous êtes identifié sur votre montre ou téléphone intelligent, la présence du téléphone ou de la montre peut être suffisante pour que vous puissiez vous connecter automatiquement à votre ordinateur.
Il y a aussi l’authentification fondée sur le contexte, qui consiste à comparer vos habitudes et votre comportement actuels à votre comportement connu ou prévisible. Lorsque votre comportement diffère sensiblement de ce qui est prévu, on vous demande alors de présenter d’autres justificatifs d’identité. Les banques utilisent parfois cette méthode en posant des questions lorsque des personnes tentent d’accéder à leurs comptes depuis un ordinateur autre que celui qu’elles utilisent habituellement ou depuis un autre lieu géographique.
Limites de l’authentification à facteurs multiples
Certains facteurs d’authentification sont moins efficaces que d’autres et doivent parfois être tout simplement évités. À titre d’exemple, les questions courantes fondées sur les connaissances comme le nom de jeune fille de la mère sont utilisées fréquemment. Or, les réponses peuvent être devinées à partir d’autres renseignements et ne peuvent être modifiées.
En outre, les systèmes qui utilisent les messages texte pour envoyer les codes uniques ont récemment été critiqués par le National Institute of Standards and Technology (NIST) des États-Unis du fait que des fraudeurs peuvent rediriger les messages texte en manipulant certains aspects du réseau mondial de téléphonie cellulaire et intercepter les codes uniques. Par ailleurs, les mêmes fraudeurs pourraient enregistrer une nouvelle carte SIM au numéro de téléphone et diriger le code unique (et toutes les autres communications) vers un appareil dont ils ont pris le contrôle. Ces deux tactiques ont été utilisées par des criminels et des gouvernements.
Les jetons matériels dépendent de l’intégrité des valeurs de départ et de la sécurité de l’algorithme utilisées pour générer les numéros uniques. L’intégrité des certains jetons a été violée par le passé, comme lorsque le système RSA a subi une violation des données et que du matériel utilisé pour générer les codes uniques a été volé dans l’entreprise. L’entreprise a par la suite dû remplacer l’ensemble des 40 millions de jetons SecureID qui étaient utilisés dans le monde.
Les jetons logiciels sont souvent préférés aux jetons matériels du fait qu’ils risquent moins d’être perdus (les gens ont un fort lien avec leurs téléphones) et sont plus faciles à distribuer, comparativement à l’expédition de jetons matériels. Toutefois, lorsque ce type de jetons est utilisé pour accéder aux services du téléphone intelligent, p. ex. en utilisant le jeton de l’application Google Authenticator pour se connecter à un compte de messagerie, la présence de ces deux facteurs (c.-à-d., le mot de passe et le jeton logiciel) sur un même appareil peut nuire à la sécurité offerte par les systèmes à deux facteurs. Les pratiques optimales prévoient l’utilisation de divers facteurs qui seront présentés sur des « canaux » distincts afin que toute l’information ne soit pas disponible sur le même appareil et ne devienne vulnérables aux attaques.
Enfin, l’authentification biométrique est susceptible d’être déjouée lorsque les lecteurs tentent de décoder des données biométriques apparemment valides, mais fausses. De fausses empreintes digitales ont effectivement été créées et présentées à des lecteurs d’empreintes digitales qui les ont authentifiées en tant qu’empreintes digitales valides. En outre, si l’algorithme servant au stockage des empreintes est compromis, il est également possible que les fraudeurs puissent être en mesure d’extraire les caractéristiques essentielles des empreintes digitales ou de déterminer comment fournir de fausses données biométriques qui seront acceptées comme étant valides. Aussi, même si certains facteurs peuvent être relativement faciles à remplacer, tels que les noms d’utilisateur et les mots de passe ou même des jetons matériels et logiciels, l’humain n’a généralement que dix empreintes digitales et deux yeux, et ne peut en ajouter de nouveaux.
Christopher Parsons est associé en recherche au Citizen Lab de la Munk School of Global Affairs à l’Université de Toronto.
Lectures suggérées :
- Two Factor Auth
- Hard, Soft, or Smart? Evaluating the Two-Factor Authentication Options
- @Deray’s Twitter Hack Reminds Us Even Two-Factor Isn’t Enough
- Forget Two-Factor Authentication, Here Comes Context-Aware Authentication
- Draft NIST Special Publication 800-63B Digital Authentication Guide
- London Calling: Two-Factor Authentication Phishing From Iran
- After Hack, RSA Offers To Replace SecureID Tokens