Authentification forte : le facteur passera trois fois

Par Eddy Willems, Security Evangelist chez G Data Software

« Les affaires d’usurpation d’identité numérique sont courantes sur Internet. Le vol de compte e-mail, de réseaux sociaux, de boutique en ligne ou de sites d’enchère sont des problèmes courants rencontrés par de nombreux internautes. Et avec l’interconnexion des comptes en ligne, c’est aujourd’hui toute la vie numérique de l’internaute qui peut être volée, voire supprimée en quelques instants comme l’ont démontré des Hackers en attaquant des comptes en ligne jusqu’à l’effacement de toutes les données du journaliste américain Mat Honan. En plus de jeter le trouble sur les procédures de réinitialisation de mot de passe des comptes en ligne, cette situation met en lumière le problème de l’authentification sur les réseaux.

Il devient évident que la sécurité apportée par la seule combinaison identifiant/mot de passe n’est plus adaptée à l’importance des informations stockées aujourd’hui sur les multiples comptes en ligne des internautes.

La principale faiblesse réside dans la facilité avec laquelle ces informations peuvent être retrouvées ou resetées par un attaquant.

La solution c’est l’authentification forte : le mot de passe est complété par un ou plusieurs autres moyens d’authentification, des facteurs.

Trois familles de facteurs d’authentification forte coexistent : la biométrie (reconnaissance d’une caractéristique unique), le certificat numérique (clé numérique cryptée stockée sur un conteneur physique) et le mot de passe à usage unique.
La combinaison d’un de ces facteurs avec le mot de passe est aujourd’hui une pratique courante pour certaines opérations sensibles. Accès aux comptes bancaires, transfert d’argent ou achat en ligne utilisent l’authentification double facteurs. Mais aujourd’hui, des identifiants de compte e-mail, de stockage en ligne ou de réseaux sociaux sont des informations toutes aussi sensibles. Dès lors, l’utilisation d’une authentification forte à deux facteurs pour l’ensemble des comptes en ligne ne doit plus faire de doute. Google et sa messagerie web Gmail a sauté le pas. Il est possible avec cette messagerie d’opter pour  l’authentification forte. Une démarche qui aurait sans doute permis d’éviter bien des problèmes à Mat Honan. Pour autant, ces validations à deux facteurs ne sont pas imparables. L’affaire de hacking qui a touché Cloudflare montre qu’en prenant le contrôle du deuxième facteur (la messagerie vocale du téléphone portable dans ce cas) un attaquant peut contourner l’authentification forte.

Quitte à mettre en place une sécurité renforcée pour notre vie numérique, ne devrions-nous pas faire l’impasse sur l’authentification deux facteurs et passer directement à un ou deux niveaux supérieurs ?

En associant le mot de passe avec deux, voire trois autres éléments (biométrie, certificat numérique ou mot de passe à usage unique), le niveau de protection augmente considérablement. Il est par exemple simple de combiner mot de passe, mot de passe à usage unique et empreinte digitale pour mettre en place une authentification trois facteurs. Et en y ajoutant un facteur de  géolocalisation –  GPS dans le token (matériel qui contient les clés uniques) ou localisation de l’adresse IP de l’ordinateur –  on arrive même à une authentification 4 facteurs !

Si techniquement tout est possible, la mise en place généralisée sur Internet d’une authentification forte trois ou quatre facteurs va rencontrer de nombreux freins.

La biométrie à grande échelle est souvent controversée de par l’impossibilité d’anonymat qu’elle entraine. Mais au-delà de considérations idéologiques, d’autres économiques entrent en jeu. Pour fonctionner à grande échelle, le système devra en effet être normé. Devoir utiliser un token pour chaque site ou compte en ligne serait rapidement rébarbatif et pousserait les internautes vers des sites concurrents moins contraignants (mais moins sécurisés…). Cela aurait aussi un coût qu’il faudrait faire reposer sur l’internaute. Autant de contraintes difficilement surmontables et qui relègue l’authentification trois facteurs ou quatre aux seuls usages professionnels.

Pour autant le problème de l’authentification sur Internet reste entier et il devient urgent que les acteurs de l’Internet mettent en place des solutions afin de garantir à l’internaute la sécurité de sa vie numérique. »

A propos d’Eddy Willems, « Security Evangelist », G Data Software
Eddy Willems, originaire de Belgique, travaille dans le domaine de la sécurité des Nouvelles Technologies depuis 1989. Pendant plus de vingt ans, il a travaillé pour d’influents instituts tels que l’EICAR, dont il est le co-fondateur et le directeur de la presse et de l’information, plusieurs associations CERT, les Forces de Polices internationales et l’organisation à l’origine de la WildList, ainsi que des entreprises commerciales, comme NOXS et Kaspersky Lab Benelux. En sa qualité de « Security Evangelist » chez G Data, Eddy Willems crée le lien entre complexité technique et utilisateur. Il est chargé d’assurer une communication précise des laboratoires de G Data Security avec la communauté de sécurité, la presse, les distributeurs, les revendeurs et les utilisateurs finaux et prend souvent la parole lors de conférences internationales sur la sécurité comme Virus Bulletin, EICAR, InfoSecurity, etc.