Qu’est-ce que la MFA et est-elle vraiment sûre ?

Authentification multifacteur, une vérification supplémentaire en plus de votre mot de passe, devient progressivement la norme. La MFA est-elle vraiment plus sûre ? Et quelle méthode fonctionne le mieux ?

L’authentification multifacteur (MFA) est l’avenir. Pour les comptes personnels, les fournisseurs de services obligent de plus en plus leurs clients à activer la MFA, et dans le contexte professionnel, cette technologie gagne également en importance. L’authentification multifacteur exige que vous confirmiez votre identité via deux ou plusieurs facteurs avant d’obtenir l’accès.

La MFA se compose de trois catégories principales : quelque chose que vous savez, quelque chose que vous avez, et quelque chose que vous êtes. Ce que vous savez est le plus courant : le mot de passe. Ce que vous avez peut être votre téléphone, dont vous prouvez la possession par exemple avec un code. Ce que vous êtes peut être prouvé avec des caractéristiques uniques, et ici nous ne parlons pas de votre sourire, mais plutôt de votre empreinte digitale.

Avec toutes ces options, la MFA se décline en plusieurs variantes. Sont-elles toutes aussi sûres ? Et apportent-elles vraiment une grande valeur ajoutée ?

Les mots de passe sont un problème

La réponse à cette dernière question est un simple oui. La raison : les mots de passe sont un problème. Ce n’était pas toujours le cas. Aux débuts des ordinateurs et d’Internet, vous aviez quelques comptes et peu de puissance de calcul pour aider un hacker à s’introduire.

Aujourd’hui, c’est différent : que ce soit pour un usage privé ou professionnel, vous avez plus de comptes que vous ne pouvez en énumérer. Créer et mémoriser des mots de passe est une corvée, alors nous optons collectivement pour des mots de passe peu sûrs, que nous réutilisons sur différents comptes. Les mots de passe longs et uniques sont une bonne solution, mais la réalité est que multiplier les bons mots de passe semble peu pratique.

Avant que vous ne le réalisiez, Adobe est piraté, et la combinaison e-mail et mot de passe que vous avez utilisée il y a des années pour un compte de démonstration Photoshop se retrouve en ligne. Un hacker zélé qui essaie cette combinaison sur différents sites pourrait bien décrocher le jackpot.

Plus qu’un simple mot de passe

La situation est ce qu’elle est, et dans le contexte actuel, les mots de passe ne suffisent plus. La MFA introduit un facteur supplémentaire dans le processus de connexion, indépendant du mot de passe. En général, il s’agit d’une authentification à deux facteurs (2FA), où vous devez fournir une confirmation supplémentaire de votre identité.

La MFA introduit un facteur supplémentaire dans le processus de connexion, indépendant du mot de passe.

Lorsque qu’un hacker essaie de se connecter à votre compte Microsoft 365 professionnel avec un mot de passe volé d’Adobe, vous recevez une demande d’authentification supplémentaire sur votre téléphone. Comme vous ne tentez pas de vous connecter, vous bloquez la tentative. Le hacker se retrouve bloqué, et vous recevez un rappel que vous devriez peut-être aussi choisir un meilleur mot de passe.

Le type de deuxième facteur détermine à quel point l’authentification multifacteur est sûre, pratique et conviviale. Voici un aperçu des différentes méthodes courantes, avec leurs avantages et leurs inconvénients.

E-mail : pirater avec une étape supplémentaire

La forme la moins sûre de MFA est l’authentification supplémentaire via e-mail. Dans ce scénario, vous vous connectez avec votre mot de passe, puis vous recevez un e-mail contenant un code à saisir. En théorie, cela fonctionne, mais en pratique, nous venons de constater que beaucoup de gens choisissent des mots de passe peu sûrs ou les réutilisent. Si le mot de passe de votre e-mail est le même que celui du compte que le hacker veut pirater, il est très facile pour l’attaquant d’obtenir le code supplémentaire.

En principe, la MFA via e-mail est un système où vous vous connectez avec deux mots de passe : celui du compte auquel vous voulez accéder, et celui d’un autre compte e-mail. Cette approche repose en réalité sur deux versions de quelque chose que vous savez, sans ajouter un autre type de facteur. Deux mots de passe sont plus sûrs qu’un seul, mais la valeur ajoutée de cette approche est limitée par rapport aux alternatives.

SMS : bien mieux, mais pas infaillible

Au début de la MFA, le SMS était la norme. Vous vous connectez, recevez un SMS avec un code, et le saisissez. Ce système fonctionne assez bien. Le facteur d’authentification supplémentaire est lié à votre téléphone. C’est un appareil unique que vous avez en votre possession. Un hacker en Chine ne peut pas y accéder. De plus, cette approche ne repose pas sur un mot de passe faible.

Un SMS est efficace, mais pas parfait. Les attaquants disposent de différentes méthodes pour intercepter les SMS. Cela doit toutefois être fait intentionnellement et de manière ciblée. La MFA via SMS protège contre les attaques opportunistes où les hackers recherchent une solution rapide, mais pas contre une attaque ciblée. Dans ce cas, un criminel motivé peut temporairement voler votre numéro. Notez que cela reste difficile.

Une notification : pratique et sûre

Mieux, plus pratique, et de plus en plus populaire récemment, est une notification sur votre smartphone. C’est la technique utilisée par Google, par exemple, lorsque vous voulez vous connecter à votre compte Google. Une notification simple apparaît sur votre smartphone, où vous devez confirmer que vous voulez bien vous connecter.

Cette méthode est brillante dans sa simplicité. Pour cliquer sur la notification, vous devez avoir accès au smartphone, ce qui rend impossible une attaque à distance. Le seul inconvénient est que votre smartphone doit avoir une connexion Internet fonctionnelle. Étant donné que vous essayez de vous connecter à un compte, il est peu probable que cela pose un problème réel.

Une application supplémentaire : même sans Internet

Des applications comme Microsoft Authenticator ou l’application Google Authenticator offrent encore plus de fonctionnalités. Ces applications fonctionnent avec un code généré par l’application elle-même, basé sur une clé cryptographique et un code temporel qui a été configuré lors de l’installation de la MFA. Le code est renouvelé à des intervalles relativement courts.

L’application Authenticator de Microsoft fonctionne pour de nombreux comptes différents.

Important : si vous choisissez cette méthode, configurez l’application avec un identifiant afin de pouvoir faire une sauvegarde des codes. Si votre smartphone tombe en panne, vous pouvez utiliser vos identifiants Microsoft ou Google pour reconnecter vos codes à un nouvel appareil.

Une clé physique : une complexité inutile

Vous n’êtes pas obligé de compter sur un smartphone pour la MFA. Il existe d’autres systèmes qui offrent un facteur supplémentaire, comme une clé physique sous la forme d’une clé USB. Cette clé doit être insérée dans votre appareil pour accéder à un compte. Vous pouvez comparer cette méthode à une clé classique.

Cependant, la clé présente de nombreux inconvénients : vous pouvez la perdre, ou des attaquants peuvent la voler sans que vous vous en rendiez compte. Cela est beaucoup plus difficile avec un smartphone. Il est également probable que vous n’ayez pas la clé à portée de main à un moment critique. Dans ces cas, la MFA devient plus un fardeau qu’un renforcement de sécurité.

Une clé physique est sécurisée, mais souvent peu pratique, ce qui fait que cette approche n’est pas privilégiée dans les scénarios du quotidien.

Dans certains cas, une clé de ce type est une bonne idée. Elle a l’avantage de respecter la séparation entre la sécurité des comptes professionnels et celle de votre téléphone personnel.


Biométrie : toujours à portée de main

Le facteur supplémentaire dans la MFA ne doit pas nécessairement être basé sur un objet que vous possédez. Qui vous êtes peut également être un facteur utile. Grâce à une empreinte digitale ou à la reconnaissance faciale, vous pouvez ainsi prouver votre identité. Windows Hello exploite cette technologie sur un ordinateur portable ou une webcam, tout comme le capteur d’empreintes digitales de votre smartphone.

En pratique, la biométrie est rarement utilisée exclusivement comme second facteur combiné à un mot de passe. Cela s’explique principalement par une raison pratique : pour scanner votre empreinte digitale, vous avez besoin d’un capteur dédié. En réalité, cela signifie que votre téléphone ou votre ordinateur portable constitue déjà un élément que vous possédez, ajoutant de facto un autre facteur.


Deux facteurs, pas de mot de passe

L’authentification multifacteur peut se passer de mot de passe. Le mot de passe est le maillon faible de tout le processus d’authentification, ce qui pousse les géants technologiques à développer des systèmes basés sur d’autres facteurs. Et cela fonctionne parfaitement. Une combinaison entre ce que vous possédez et qui vous êtes constitue deux excellents facteurs pour une MFA sécurisée.

Prenons l’exemple de Windows Hello : Microsoft vous permet de vous connecter à votre compte Microsoft sur votre ordinateur sans saisir de mot de passe. Et c’est logique, puisque ce compte est lié à votre ordinateur lui-même. En vous connectant sur cet appareil, vous prouvez déjà que vous n’êtes pas un criminel russe à l’autre bout du monde. Ensuite, vous montrez votre visage, et votre identité est confirmée grâce à un scan infrarouge. Ce que vous avez et qui vous êtes forment deux facteurs, et l’authentification MFA sécurisée est réussie.

Plus, c’est mieux, surtout si cela n’entraîne pas de friction supplémentaire. Par exemple, Microsoft Authenticator peut vous demander de confirmer votre identité avec une empreinte digitale avant de valider une tentative de connexion. Sur un smartphone, cela ne demande aucun effort supplémentaire, et la sécurité s’en trouve renforcée. Vous vous connectez alors avec votre mot de passe, votre smartphone, et votre empreinte digitale.


Pas infaillible

Comme vous pouvez le constater, la MFA n’est pas synonyme de sécurité absolue. Les facteurs que vous combinez et la manière dont vous les utilisez jouent un rôle crucial. Et même là, la MFA n’est pas infaillible. Une personne peut encore être victime de campagnes de phishing ciblées. Par exemple, un appel téléphonique d’un soi-disant technicien informatique prétendant devoir mettre à jour votre compte. Si l’on vous demande de fournir les codes de votre application Authenticator pour « faciliter la procédure », et que vous tombez dans le piège, vous êtes compromis malgré tout.

Cependant, la MFA offre dans tous les cas un énorme coup de pouce à la sécurité des comptes. Elle bloque presque entièrement les attaques automatiques. Microsoft estime que la MFA peut réduire de 99,99 % les chances qu’un piratage basé sur des données de compte réussisse.


Peu d’efforts supplémentaires

L’avantage de la MFA est indéniable. Avec une bonne implémentation, le fardeau supplémentaire pour l’utilisateur est par ailleurs très limité. Par exemple, il est tout à fait possible de demander à une personne de se connecter une seule fois via l’authentification multifacteur, sans exiger une vérification supplémentaire tant que les tentatives de connexion proviennent du même appareil et du même réseau. Si un employé tente soudainement de se connecter depuis un autre endroit, il devra alors faire un petit effort pour confirmer son identité avec un facteur supplémentaire.

Aujourd’hui, aucun spécialiste en sécurité ne considérerait la MFA comme autre chose qu’une nécessité absolue. Configurer la MFA est la toute première étape essentielle pour sécuriser votre entreprise. Le choix des facteurs est secondaire, bien qu’il y ait, comme nous l’avons vu, de bonnes et de moins bonnes options.