Tribune : Authentification forte, le facteur passera trois fois

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Tribune : Authentification forte, le facteur passera trois fois

Publié le 26 août 2012 à 12:10 par Jérôme G.

Lire sur mobile

Security Evangelist chez l'éditeur de solutions de sécurité G Data Software, Eddy Willems donne son point de vue sur la question des moyens d'authentification des comptes en ligne qui se pose à l'heure où le seul couple identifiant / mot de passe semble de plus en plus fragile.

Les affaires d'usurpation d'identité numérique sont courantes sur Internet. Le vol de compte e-mail, de réseaux sociaux, de boutique en ligne ou de sites d'enchère sont des problèmes courants rencontrés par de nombreux internautes. Et avec l'interconnexion des comptes en ligne, c'est aujourd'hui toute la vie numérique de l'internaute qui peut être volée, voire supprimée en quelques instants comme l'ont démontré des Hackers en attaquant des comptes en ligne jusqu'à l'effacement de toutes les données du journaliste américain Mat Honan. En plus de jeter le trouble sur les procédures de réinitialisation de mot de passe des comptes en ligne, cette situation met en lumière le problème de l'authentification sur les réseaux.

Il devient évident que la sécurité apportée par la seule combinaison identifiant / mot de passe n'est plus adaptée à l'importance des informations stockées aujourd'hui sur les multiples comptes en ligne des internautes.

La principale faiblesse réside dans la facilité avec laquelle ces informations peuvent être retrouvées ou resetées par un attaquant.

La solution c'est l'authentification forte : le mot de passe est complété par un ou plusieurs autres moyens d'authentification, des facteurs.

Trois familles de facteurs d'authentification forte coexistent : la biométrie (reconnaissance d'une caractéristique unique), le certificat numérique (clé numérique cryptée stockée sur un conteneur physique) et le mot de passe à usage unique.

La combinaison d'un de ces facteurs avec le mot de passe est aujourd'hui une pratique courante pour certaines opérations sensibles. Accès aux comptes bancaires, transfert d'argent ou achat en ligne utilisent l'authentification double facteurs. Mais aujourd'hui, des identifiants de compte e-mail, de stockage en ligne ou de réseaux sociaux sont des informations toutes aussi sensibles. Dès lors, l'utilisation d'une authentification forte à deux facteurs pour l'ensemble des comptes en ligne ne doit plus faire de doute. Google et sa messagerie web Gmail a sauté le pas. Il est possible avec cette messagerie d'opter pour l'authentification forte. Une démarche qui aurait sans doute permis d'éviter bien des problèmes à Mat Honan. Pour autant, ces validations à deux facteurs ne sont pas imparables. L'affaire de hacking qui a touché Cloudflare montre qu'en prenant le contrôle du deuxième facteur (la messagerie vocale du téléphone portable dans ce cas) un attaquant peut contourner l'authentification forte.

Quitte à mettre en place une sécurité renforcée pour notre vie numérique, ne devrions-nous pas faire l'impasse sur l'authentification deux facteurs et passer directement à un ou deux niveaux supérieurs ?

En associant le mot de passe avec deux, voire trois autres éléments (biométrie, certificat numérique ou mot de passe à usage unique), le niveau de protection augmente considérablement. Il est par exemple simple de combiner mot de passe, mot de passe à usage unique et empreinte digitale pour mettre en place une authentification trois facteurs. Et en y ajoutant un facteur de géolocalisation – GPS dans le token (matériel qui contient les clés uniques) ou localisation de l'adresse IP de l'ordinateur – on arrive même à une authentification 4 facteurs !

Si techniquement tout est possible, la mise en place généralisée sur Internet d'une authentification forte trois ou quatre facteurs va rencontrer de nombreux freins.

La biométrie à grande échelle est souvent controversée de par l'impossibilité d'anonymat qu'elle entraîne. Mais au-delà de considérations idéologiques, d'autres économiques entrent en jeu. Pour fonctionner à grande échelle, le système devra en effet être normé. Devoir utiliser un token pour chaque site ou compte en ligne serait rapidement rébarbatif et pousserait les internautes vers des sites concurrents moins contraignants (mais moins sécurisés…). Cela aurait aussi un coût qu'il faudrait faire reposer sur l'internaute. Autant de contraintes difficilement surmontables et qui relègue l'authentification trois facteurs ou quatre aux seuls usages professionnels.

Pour autant le problème de l'authentification sur Internet reste entier et il devient urgent que les acteurs de l'Internet mettent en place des solutions afin de garantir à l'internaute la sécurité de sa vie numérique.