[/vc_column]

Trois types d’authentification

Dans les années 60, l’avènement des systèmes numériques implique la nécessité de réguler l’accès aux utilisateurs à ces systèmes. IBM définit alors trois facteurs d’authentification majeurs :

 

  • Knowledge factor, ou facteur de connaissance, qui concerne « quelque chose que l’entité connaît ». Par exemple un mot de passe, un numéro d’identification personnel (PIN, Personal Identification Number), une réponse à une question ;
  • Ownership factor, ou facteur de propriété, relatif à « quelque chose que l’entité a/possède ». Par exemple une carte d’identité, jeton logiciel et/ou physique ;
  • Inherence factor, ou facteur d’inhérence, qui peut être résumé comme « quelque chose que l’entité est ». Par exemple une apparence, une voix, une signature, un geste ou toutes sortes de données biométriques.

 

En se basant sur ces 3 facteurs, on peut distinguer trois types d’authentifications :

 

  • simple ou à facteur unique, quand on utilise un unique facteur d’authentification ;
  • multi-facteurs, ou MFA, ou authentification forte, quand on utilise deux ou plus de ces facteurs ;
  • multi-étapes, quand on utilise à plusieurs reprises le même facteur.

Authentification simple

Un système qui utilise seulement l’un des trois facteurs d’authentification principaux est appelé “authentification simple”. L’utilisation d’un mot de passe pour authentifier une personne est l’exemple le plus courant.

 

La Commission européenne, l’Autorité bancaire européenne ainsi que par les agences financières fédérales américaines* considèrent l’authentification simple comme inadéquate pour les transactions à haut risque. Les transactions à haut risque sont celles impliquant le transfert de fonds à d’autres parties ou l’accès aux informations clients.

 

* Agences financières fédérales américaines : the Board of Governors of the Federal Reserve System, the Federal Deposit Insurance Corporation, the National Credit Union Administration, the Office of the Comptroller of the Currency, et the Office of Thrift Supervision.

Authentification multi-facteurs ou MFA

Quand un système utilise deux des trois facteurs d’authentification principaux, on parle d’« authentification à deux facteurs » ou d’« authentification forte ». Par exemple, l’utilisation d’un distributeur automatique de billets. L’utilisateur doit avoir la carte bancaire (le facteur d’appartenance) ET connaître le code PIN (le facteur de connaissance).

 

De la même manière, l’« authentification à trois facteurs » s’appuie sur l’utilisation des trois facteurs. Par exemple, imaginons l’accès à un site hautement sécurisé. L’individu peut avoir besoin :

  • de passer un garde qui vérifie son visage à l’aide d’une image stockée (quelque chose qu’il est) ;
  • d’utiliser une carte d’accès (quelque chose qu’il possède) ;
  • et d’entrer un code (quelque chose qu’il connaît).

 

D’une manière plus générale, l’utilisation de mécanismes d’authentification multi-facteurs fait référence à l’application d’au moins deux facteurs d’authentification. Cela permet une authentification fiable et forte. Celle-ci est plus difficile à compromettre en raison du fait que plusieurs secrets partagés doivent être connus pour s’authentifier. Ainsi, un système d’authentification multi-facteurs est, du point de vue sécurité, plus difficile à frauder qu’un système d’authentification simple. En effet, il faudrait que l’attaquant découvre / reproduise / obtienne plusieurs choses comme le secret partagé (quelque chose que vous connaissez) ainsi que le jeton (quelque chose vous avez) et/ou reproduire ce que vous êtes (biométrie).

 

Il est donc préférable d’utiliser l’authentification multi-facteurs pour protéger les informations à haut risque et aux enjeux élevés.

Authentification multi-étapes

Il est important de distinguer l’authentification forte (ou multi-facteurs)de l’authentification à deux étapes (aussi appelée authentification multi étapes, lorsqu’il y a plus de deux étapes).

 

L’authentification à deux étapes repose sur l’utilisation double du même facteur d’authentification. A contrario, l’authentification forte utilise au moins deux des trois facteurs d’authentification principaux.

 

Celles-ci peuvent-être confondues à cause de la similarité entre les termes :

  • « authentification à deux facteurs » qui est une authentification forte ;
  • et « authentification à deux étapes » qui utilise deux fois le même facteur.

Ce n’est donc pas une authentification forte, conformément à la définition donnée précédemment.

 

Une porte à deux verrous est un exemple d’une forme d’authentification multi-étapes. L’utilisateur a besoin de deux clés différentes pour ouvrir cette porte. C’est-à-dire qu’il utilise deux fois consécutives « quelque chose que l’utilisateur possède ». Il s’agit là d’une authentification à deux étapes. S’il avait besoin de trois clés, cela resterait une authentification multi étapes, mais à trois étapes.

 

Dans un environnement numérique, l’authentification en deux étapes requises lors de l’oubli d’un mot de passe est un autre exemple.

 

Lors de l’enregistrement sur l’application, l’utilisateur doit sélectionner plusieurs questions. Puis, il doit donner les réponses. S’il oublie son mot de passe, il est redirigé vers une page où il doit répondre à des questions sélectionnées. Si les réponses données correspondent à celles rentrées lors de l’enregistrement, le système permet à l’utilisateur de changer son mot de passe oublié.

 

Ici, l’utilisateur doit renseigner plusieurs secrets. Mais tous sont basés sur sa connaissance, c’est-à-dire un seul facteur : quelque chose que l’utilisateur connaît. Un attaquant à force de recherche, pourrait « voler », l’ensemble des connaissances nécessaires sans voler quelque chose de physique. A contrario, avec l’authentification multi-facteurs, l’attaquant doit réussir deux types de vols différents (à la fois les connaissances et l’appareil physique). Dans le cas du multi-étapes (contrairement au multi-facteurs), l’attaquant n’a besoin que de réaliser plusieurs fois un seul type de vol. Par exemple, il a besoin de voler deux informations, mais pas d’objets physiques.

 

 

Vous souhaitez bénéficier d’un conseil sur la mise en place d’une solution d’authentification, contactez-nous !