Authentification multifacteur

ℹ️ L’authentification multifacteur (MFA) est une méthode de sécurité informatique qui exige que l’utilisateur fournisse au moins deux types distincts d’informations pour vérifier son identité. Ces facteurs se divisent généralement en trois catégories :

• Facteurs de connaissance Quelque chose que vous savez : Il s’agit généralement d’un mot de passe ou d’un code PIN. Bien que familiers, les facteurs de connaissance seuls sont très vulnérables. Les attaquants peuvent employer des techniques telles que des méthodes de force brute pour générer des combinaisons aléatoires, le credential stuffing utilisant des identifiants volés lors d’autres violations, des emails de phishing qui incitent les victimes à révéler leurs identifiants, le keylogging pour capturer les frappes au clavier, et des attaques man-in-the-middle qui interceptent les communications.

• Facteurs de possession Quelque chose que vous avez : Un appareil physique, tel qu’un téléphone ou une clé de sécurité (par exemple, YubiKey), qui génère un code unique ou reçoit un message d’authentification. Les facteurs de possession renforcent considérablement la sécurité car les attaquants auraient besoin à la fois de vos identifiants et d’un accès physique à votre appareil d’authentification. Les clés de sécurité basées sur la norme FIDO2 représentent certains des facteurs de possession les plus solides disponibles aujourd’hui, incorporant souvent une vérification biométrique pour une protection supplémentaire.

• Facteurs d’inhérence Quelque chose que vous êtes : Caractéristiques biométriques, telles que les empreintes digitales, la reconnaissance faciale ou la numérisation de l’iris. Les facteurs biométriques sont particulièrement difficiles à falsifier ou à reproduire, ce qui en fait des composants hautement sécurisés dans une stratégie MFA. Cependant, contrairement aux mots de passe, les données biométriques ne peuvent pas être modifiées si elles sont compromises, créant des considérations de sécurité uniques.

Même si un facteur est compromis, un attaquant aurait toujours besoin d’accéder à d’autres facteurs pour s’authentifier avec succès. Cela réduit les risques associés aux attaques par force brute et aux tentatives de phishing, renforçant ainsi la protection du compte.

Protocoles et méthodes d’authentification MFA

Différents protocoles permettent l’implémentation technique de la MFA :

Time-Based One-Time Password (TOTP)

TOTP génère un mot de passe à usage unique utilisant l’heure actuelle comme source d’unicité. Standardisé sous RFC 6238, il fonctionne comme suit :

• Un secret partagé est établi entre le client et le serveur
• L’heure actuelle (divisée par un pas de temps, typiquement 30 secondes) est utilisée comme compteur
• L’algorithme HMAC-SHA-1 combine le compteur avec le secret partagé
• Le hash résultant est tronqué pour créer un code lisible par l’homme.

TOTP offre des avantages en matière de sécurité grâce à des codes de courte durée, expirant généralement après 30-60 secondes.

HMAC-Based One-Time Password (HOTP)

Contrairement au TOTP, HOTP repose sur un algorithme basé sur les événements où un compteur s’incrémente à chaque demande d’OTP. Cette méthode offre plus de flexibilité car les codes n’expirent pas tant qu’ils ne sont pas utilisés, mais cette période de validité prolongée réduit potentiellement la sécurité.

Le flux HOTP typique comprend :

• Établissement d’un secret partagé et d’un compteur initial entre serveur et client
• Combinaison du compteur actuel avec le secret partagé en utilisant HMAC-SHA-1
• Troncature du hash résultant pour créer un OTP lisible
• Incrémentation du compteur des deux côtés après utilisation.

Notifications push

De nombreuses implémentations MFA utilisent des notifications push envoyées directement à un appareil mobile. Lors d’une tentative de connexion, l’utilisateur reçoit une notification lui demandant d’approuver la demande d’authentification. Selon le Secure Sign-In Trends Report d’Okta (leader IAM), les notifications push sont devenues la méthode MFA la plus couramment utilisée, suivies par les notifications SMS et les jetons logiciels.

Architecture et implémentation MFA

Un système MFA se compose de plusieurs composants clés :

• Serveur d’authentification : Le composant central gérant le processus de vérification
• Base de données utilisateurs : Stockage sécurisé des identifiants et facteurs d’authentification
• Appareil client : L’appareil de l’utilisateur tentant d’accéder au système
• Facteurs d’authentification : Diverses méthodes de vérification
• Canaux de communication : Chemins pour transmettre les facteurs d’authentification
• Moteur de politique : Définition des règles d’authentification et du moment où la MFA est déclenchée
• Journalisation et surveillance : Suivi des tentatives d’authentification pour détecter les activités suspectes.

Flux d’authentification

Le processus d’authentification MFA typique suit ces étapes :

• L’utilisateur initie la connexion : L’utilisateur saisit nom d’utilisateur et mot de passe
• Le serveur d’authentification vérifie les identifiants : Le serveur vérifie le mot de passe par rapport aux identifiants stockés
• Demande du second facteur : Si le premier facteur est correct, le système demande un second facteur d’authentification
• L’utilisateur fournit le second facteur : L’utilisateur soumet la vérification supplémentaire requise
• Vérification finale : Le serveur valide le second facteur et accorde l’accès si toutes les vérifications réussissent.

MFA adaptative

Les solutions MFA avancées prennent en charge l’authentification adaptative, qui utilise des informations contextuelles (localisation, heure de la journée, adresse IP, type d’appareil) et des règles métier pour déterminer quels facteurs d’authentification appliquer dans une situation particulière basée sur une détection du comportement de compte/identité. Par exemple, un client accédant à un site bancaire en ligne depuis un ordinateur personnel de confiance pourrait seulement avoir besoin d’un nom d’utilisateur et d’un mot de passe, tandis que l’accès depuis un emplacement étranger déclencherait des exigences de vérification supplémentaires.

Techniques courantes de contournement MFA

• Fatigue MFA : Également connue sous le nom de “prompt bombing”, cela consiste à submerger les utilisateurs de notifications d’authentification répétées jusqu’à ce qu’ils en approuvent une par frustration.
• Détournement de session/Prise de contrôle de session de compte : Les attaquants volent les cookies d’authentification pour prendre le contrôle d’une session active sans rencontrer de points de contrôle MFA.
• Attaques Man-in-the-Middle : Interception des communications entre l’utilisateur et le système d’authentification pour capturer et rejouer les identifiants ou jetons de session.
• Ingénierie sociale : Manipulation des utilisateurs pour qu’ils révèlent des informations d’authentification ou approuvent des demandes d’authentification frauduleuses.
• SIM Swapping : Convaincre les opérateurs mobiles de transférer le numéro de téléphone d’une victime vers une carte SIM contrôlée par l’attaquant, permettant l’interception des codes de vérification SMS (plus vraiment pertinent aujourd’hui).
• Attaques d’infrastructure : Ciblage de l’infrastructure d’authentification principale, comme le vol de clés de signature privées ou l’exploitation de faiblesses architecturales permettant de contourner la MFA en mode hors ligne.

Sources & Liens