L'authentification forte, ou comment renforcer votre sécurité en ligne

À mesure que la seule utilisation du couple identifiant/mot de passe est remise en question, l’authentification forte se développe. En cause ? Des attaques informatiques de plus en plus puissantes, face auxquelles elle semble bien plus efficace, tant dans le domaine privé que dans la sphère professionnelle.

D’ailleurs, la réglementation européenne a rendu ce système obligatoire pour les transactions en ligne et les accès aux informations bancaires.

Qu’est-ce que l’authentification forte et comment fonctionne-t-elle ? Pourquoi ce procédé s’est-il développé ? Comment s’applique-t-il dans le cadre de la DSP2 (Directive européenne sur les services de paiements) ?

[Bonus] Vous souhaitez en apprendre davantage sur les limites de l’utilisation des mots de passe en entreprise et connaître des alternatives plus sécurisées ? Découvrez notre Livre Blanc, coécrit avec Yubico.

L’authentification forte se définit comme un système reposant sur au moins deux preuves d’identité. C’est pourquoi les terminologies suivantes sont également employées afin de désigner ce dispositif :

• authentification à deux facteurs,
• double authentification,
• et authentification multifacteurs.

Elle s’oppose donc à l’authentification simple qui n’emploie qu’un seul facteur, en règle générale un mot de passe. De ce fait, la double authentification :

• renforce la sécurité des différents accès aux services en ligne :
  • dans la vie privée (lorsque l’on effectue des achats en ligne par exemple) ;
  • dans le cadre des activités professionnelles (connexion à des outils ou applications métiers, consultation de documents en ligne, etc.) ;
• garantit l’identité de l’entité qui s’authentifie, qu’il s’agisse d’une personne physique ou morale, une entreprise notamment.

L’authentification forte se base sur divers éléments appartenant à des catégories distinctes. Pour être valable, elle doit alors s’effectuer par le biais d’au moins deux facteurs de natures différentes.

Les facteurs mémoriels se composent d’éléments que seules la personne ou l’entité qui souhaitent s’authentifier connaissent. Par exemple :

• le mot de passe,
• la question secrète,
• le code confidentiel,
• le code PIN.

Les facteurs matériels se composent d’éléments que seules la personne ou l’entité qui souhaitent s’authentifier possèdent. Par exemple :

• un téléphone portable,
• une clé USB,
• une carte à puce,
• un jeton d’authentification, ou token,
• une carte magnétique.

Ici, deux types d’authentifieurs sont généralement utilisés :

• Les mots de passe à usage unique, ou OTP (One Time Password). On rencontre ce cas de figure, par exemple, quand on reçoit un code par SMS ou lorsqu’on dispose d’un token. La durée d’usage de ces mots de passe s’étend alors le temps d’une transaction ou d’une session. Par conséquent, si des individus malveillants les interceptent, il y a de fortes chances qu’ils ne soient plus valides.
  
  

• Les certificats numériques, ou certificats électroniques. Cette technique se base sur la cryptographie asymétrique avec clé publique et clé privée. Les éléments de décryptage nécessaires à l’authentification peuvent alors être hébergés sur une clé USB ou dans une carte à puce.

  ☝️ Dans ces circonstances, aucune saisie de mot de passe n’est nécessaire, puisque la connexion opère immédiatement.

Les facteurs biométriques ne s’appliquent que dans la situation où l’entité qui souhaite s’authentifier est une personne. Ils s’appuient sur deux types de caractéristiques :

• Les caractéristiques physiques :
  • reconnaissance faciale,
  • empreinte digitale,
  • empreinte rétinienne, etc.,
• Les caractéristiques comportementales :
  • reconnaissance vocale,
  • dynamique de signature,
  • gestuelle, etc.

☝️ Avec la progression de l’authentification forte, bien d’autres systèmes émergent, à l’instar de la géolocalisation depuis un lieu jugé de confiance.

Aujourd’hui, peu importe où l’internaute navigue, des systèmes d’authentification lui sont toujours demandés (accès à sa boîte mail, aux réseaux sociaux, à ses applications personnelles ou professionnelles, etc.). Dans la plupart des cas, seul le renseignement du mot de passe est exigé.

Pourtant, ce dernier semble de plus en plus insuffisant face à des attaques informatiques chaque jour plus virulentes et sophistiquées. En effet, nombreux sont les procédés dont usent les hackers pour détecter les mots de passe. Citons par exemple :

• les attaques par force brute, qui consistent à tester toutes les combinaisons possibles ;
• le phishing, dont l’objectif est de soutirer des informations confidentielles à la victime (dont les fameux mots de passe) en se faisant passer pour une entité de confiance, telle une administration ;
• l’attaque man-in-the-middle, consistant à intercepter des communications entre deux parties, comme des données d’authentification ;
• le cheval de Troie, logiciel installé à l’insu de l’utilisateur, pouvant parfois enregistrer ses frappes afin d’identifier les caractères saisis.

Grâce à l’authentification forte, même si le pirate informatique parvient à obtenir vos mots de passe malgré vous, il lui est impossible d’accéder aux sites nécessitant un second facteur d’authentification : vous seul le détenez (code unique reçu par SMS sur votre téléphone mobile par exemple). C’est d’ailleurs pour cette raison que la réglementation DSP2 a vu le jour, afin de sécuriser l’accès aux données bancaires ainsi qu’aux transactions en ligne.

Vous souhaitez comprendre davantage la vulnérabilité des mots de passe ? Connaître les solutions à votre disposition pour sécuriser votre entreprise, à l’heure où le télétravail se développe et où la transformation digitale s’accélère ? Découvrez notre Livre Blanc coécrit avec Yubico, qui reprend :

• un état des lieux de la sécurité des données en entreprise,
• les enjeux et risques liés aux mots de passe,
• les solutions disponibles pour renforcer votre sécurité,
• un focus sur le passwordless.

Le développement de l’authentification forte est consécutif à l’entrée en vigueur de la norme européenne DSP2 en janvier 2018, qui a fortement influencé le domaine. Son objectif ? Améliorer la sécurité relative aux services financiers en ligne, notamment les paiements par carte bancaire, particulièrement exposés aux risques de fraude en tout genre.

Cette réglementation opère principalement à deux niveaux :

• La connexion à votre banque en ligne. Outre la saisie de vos identifiants habituels, votre banque procède tous les 90 jours à une seconde authentification. Il s’agit le plus souvent d’un mot de passe à usage unique, transmis par SMS. Notez que la connexion à l’application mobile de votre organisme bancaire est considérée comme une authentification forte. Si vous utilisez ce canal, la procédure précédemment décrite n’est pas appliquée.
  
  
• Les paiements sur internet initiés par le client. En parallèle du renseignement des coordonnées de votre carte bancaire, une notification est envoyée, dans la plupart des cas, sur votre smartphone. Elle vous invite à vous connecter à l’application de votre banque afin de valider l’opération. Vous pouvez également recevoir un code secret à usage unique par SMS.

💡 Bon à savoir : parfois, lorsque la transaction est jugée peu risquée, aucune authentification multifacteurs n’est exigée. Tel est le cas, à titre d’illustration, pour des paiements en ligne :

• de moins de 30 euros,
• récurrents, au profit d’un même bénéficiaire (abonnement par exemple).

☝️ Les portefeuilles électroniques, de type Paypal ou Google Pay, sont également concernés par la norme européenne DSP2.

In fine, l’authentification forte ne cesse de gagner du terrain. Et ce paradigme n’est pas prêt de s’effacer au regard de la virulence des cyberattaques ! On voit d’ailleurs se développer des techniques d’authentification toujours plus innovantes, de la reconnaissance cardiaque au tatouage biométrique, en passant par les smart textiles. Quels seront les nouveaux facteurs d’authentification pour le monde connecté de demain ?