Qu’est-ce que l’authentification forte en matière de cybersécurité ?

L’authentification forte est un mécanisme de vérification des identités des utilisateurs qui est suffisamment robuste pour supporter les attaques ciblées et empêcher tout accès non autorisé. Il faut cependant garder à l’esprit que l’adjectif « forte » est tout relatif, car selon la personne que vous interrogez, vous obtiendrez une définition différente de ce qu’est l’authentification forte.

Pour certains, un simple écran de connexion avec authentification multifacteur (MFA, Multi-factor Authentication) constitue une authentification forte. D’autres estiment que la vérification biométrique et la MFA adaptative sont nécessaires pour obtenir une authentification forte. D’autres encore auront recours à un jeton matériel et à des mots de passe d’utilisateur à chiffrement RSA pour renforcer leur processus d’authentification.

La façon de percevoir, définir et mettre en œuvre l’authentification forte dépend de la sensibilisation à la sécurité, du profil de risque et des exigences réglementaires.

Comme indiqué plus haut, l’authentification forte est un concept abstrait. Sa mise en œuvre peut varier d’une organisation à l’autre, mais son essence et son objectif restent les mêmes. L’authentification forte rend plus difficile l’accès à vos systèmes internes par les personnes malveillantes. L’objectif est toutefois de faire en sorte que le processus de connexion reste pratique et rapide pour les véritables utilisateurs, tout en protégeant leurs informations d’identification et l’infrastructure de l’organisation.

La méthode universelle de renforcement de l’authentification consiste à créer un processus en plusieurs étapes. L’authentification forte ne se contente pas des informations d’identification de l’utilisateur pour la connexion. Les étapes d’authentification secondaire peuvent inclure un code MFA, un mot de passe à usage unique (OTP) envoyé par message texte, RSA SecurID, une carte à puce ou la biométrie.

L’authentification forte est souvent complétée par une autorisation granulaire basée sur les rôles. L’autorisation garantit que les utilisateurs n’ont accès qu’aux services et systèmes dont ils ont besoin pour faire leur travail.

L’authentification joue un rôle crucial dans la protection des ressources sensibles d’une organisation. Si elle n’est pas suffisamment forte, des personnes malveillantes peuvent réussir à obtenir un accès non autorisé à vos systèmes. Voyons quelques exemples où une authentification faible peut rendre votre organisation vulnérable à la compromission :

• Des personnes mal intentionnées réalisent des attaques par force brute ou par dictionnaire sur votre page de connexion. Lors d’attaques de ce type, un pirate a recours à des techniques de tâtonnement pour trouver les informations d’identification de l’utilisateur. Si votre processus d’authentification n’utilise que des mots de passe et ne peut pas détecter les tentatives de connexion par force brute, l’attaque a de fortes chances de réussir.
• Les processus d’authentification basés sur les mots de passe sont des cibles de prédilection pour les attaques de Social Engineering. Si elle chercher à s’introduire dans votre système, une personne malveillante peut avoir recours à différentes techniques, comme l’hameçonnage, l’usurpation d’identité ou le spamming. En général, cela implique l’envoi d’un e-mail à une liste de distribution de destinataires peu méfiants en leur demandant de cliquer sur un lien et en les convainquant de se connecter à une fausse ressource avec leur mot de passe. La personne malveillante obtient ainsi leur mot de passe et donc l’accès à vos systèmes.
• Soit vous stockez vos mots de passe sous forme de texte en clair, soit vous utilisez un algorithme de chiffrement faible. Si un pirate réussit à accéder à votre base de données d’informations d’identification, il peut utiliser les mots de passe pour prendre le contrôle de l’intégralité du système.

L’utilisation de techniques d’authentification forte protège votre organisation de telles situations et améliore la cybersécurité. En d’autres termes, si vous utilisez la MFA OneLogin, ou l’application OneLogin Protect, il faudra bien plus qu’un mot de passe vulnérable pour que les pirates puissent lancer une attaque.

Voici quelques bonnes pratiques permettant de renforcer un processus d’authentification :

1. Passez à l’authentification sans mot de passe. Si vous devez quand même utiliser des mots de passe :
1. Définissez des stratégies strictes de configuration et de reconfiguration des mots de passe.
2. Utilisez des algorithmes de hachage et de chiffrement sécurisés d’un point de vue cryptographique afin de protéger vos mots de passe, tant au repos qu’en transit.
3. N’utilisez de mots de passe par défaut pour aucune application.
2. Déployez un système de gestion des accès pour appliquer les stratégies d’authentification et d’autorisation, pour tous vos environnements, de façon centralisée.
3. Employez des techniques d’authentification modernes en plusieurs étapes, telles que la MFA adaptative, l’authentification biométrique ou l’authentification basée sur des jetons pour renforcer votre connexion.
4. Sécurisez votre processus de récupération de compte. Par exemple, vous pouvez exiger un facteur d’authentification secondaire dans le cadre de votre processus de récupération de compte.
5. Mettez en œuvre l’authentification mutuelle afin de vérifier l’identité tant du client que du serveur. Cela garantit que les utilisateurs autorisés n’interagissent qu’avec des systèmes légitimes.
6. Utilisez des techniques de limitation du débit pour empêcher les pirates de lancer des attaques par force brute sur votre système. Grâce à cet outil dans votre cybersécurité et à une stratégie d’authentification, vous pouvez mettre sur liste noire une adresse IP source ou un compte d’utilisateur après un certain nombre d’échecs de tentatives.

Les expressions « authentification forte » et « authentification multifacteur » sont souvent utilisées de façon interchangeable. Cependant, toutes les approches d’authentification multifacteur ne peuvent être considérées comme fortes. La force de la MFA dépend de l’efficacité des facteurs d’authentification.

Par exemple, si vous utilisez un facteur d’authentification faible (comme des codes via SMS ou e-mails), votre stratégie de MFA ne peut être considérée comme forte. En revanche, si vous employez des facteurs plus forts (comme des jetons matériels ou la reconnaissance faciale) pour l’authentification secondaire ou tertiaire, alors votre MFA peut être considérée comme forte.

Différentes techniques permettent d’obtenir une authentification forte. En voici quelques-unes :

1. Clé de sécurité physique

Une clé d’authentification physique constitue l’un des moyens les plus efficaces de mettre en œuvre une authentification multifacteur. Une clé privée stockée sur un appareil physique est utilisée pour authentifier un utilisateur, par exemple un appareil USB que l’utilisateur branche sur son ordinateur au moment de la connexion. Cet appareil sert de facteur d’authentification secondaire à l’utilisateur.

2. Biométrie

La biométrie constitue un autre outil de mise en œuvre d’une authentification forte. L’authentification biométrique vérifie un utilisateur en regardant ses caractéristiques biologiques ou comportementales, par exemple en utilisant la reconnaissance faciale, la reconnaissance du réseau veineux, la reconnaissance rétinienne, ou des données comportementales telles que la cadence d’utilisation du clavier, l’utilisation de l’écran, les mouvements de la souris, etc.

3. Notifications push sur les applications d’authentification

Les notifications push peuvent servir de facteur d’authentification secondaire. Une fois que l’utilisateur a saisi les informations d’identification correctes, il reçoit une notification push sur une application spécialisée installée sur son smartphone. Cette notification lui permet d’approuver ou de refuser la demande de connexion.

4. Codes à usage unique

Les codes à usage unique générés par des applications d’authentification telles que OneLogin Protect peuvent également servir à renforcer l’authentification. Avec cette approche, l’utilisateur saisit des codes générés de façon automatique par ces applications afin d’achever le processus de connexion.