Tout savoir sur l’authentification multifactorielle (MFA)
L’authentification multifactorielle (MFA) est un deuxième niveau de défense essentiel contre les attaques par mot de passe, car elle rend le vol des identifiants des utilisateurs beaucoup plus difficile. En réalité, plus vous rendez difficile l’accès initial à vos données, plus les voleurs sont susceptibles d’abandonner et de se tourner vers une cible plus facile.
Mais qu’est-ce que l’authentification multifactorielle (MFA) ?
Comme son nom l’indique, l’authentification multifactorielle, ou MFA, ajoute des niveaux supplémentaires d’authentification au processus de vérification visant à prouver qu’un utilisateur est bien celui qu’il prétend être :
« Une tactique qui peut ajouter un niveau de sécurité supplémentaire à vos appareils et à votre compte. L’authentification multifactorielle nécessite une vérification supplémentaire (comme un code PIN ou une empreinte digitale) pour accéder à vos appareils ou à vos comptes. »
Source: Centre canadien pour la cybersécurité
Nous sommes tous habitués aux mots de passe, mais d’autres facteurs sont également devenus courants pour accéder aux services en ligne, tels que les réseaux sociaux et les applications bancaires qui envoient des codes par SMS ou par e-mail aux utilisateurs pour qu’ils puissent se connecter. Ces facteurs supplémentaires ont considérablement amélioré la sécurité en ligne et réduit le risque global d’usurpation d’identité et d’atteinte à la vie privée. La plupart des solutions MFA appartiennent à l’une des trois catégories suivantes :
- Quelque chose que vous connaissez (nom d’utilisateur et mot de passe)
- Quelque chose que vous possédez (un jeton, tel qu’une clé USB, un téléphone portable ou une carte-clé)
- Quelque chose que vous êtes (empreinte digitale, scan de l’iris, reconnaissance faciale ou autre attribut biométrique)
L’ajout d’un niveau d’authentification supplémentaire à toute combinaison de nom d’utilisateur/mot de passe de base améliore considérablement la cyber-résilience globale d’un utilisateur et réduit le risque qu’un acteur malveillant puisse usurper son identité. De plus, la barrière à l’entrée est nettement plus faible que jamais, la plupart des systèmes d’exploitation pour PC et mobiles prenant en charge plusieurs solutions.
Pourquoi avons-nous besoin de l’authentification multifactorielle (MFA) ?
Dans l’environnement numérique actuel, les cybercriminels ont accès à plus de 15 milliards d’identifiants volés, généralement des noms d’utilisateur et des mots de passe récoltés au cours d’années de violations massives de la sécurité. S’ils disposent d’un de vos identifiants, ils peuvent usurper votre identité, vos informations personnelles identifiables (PII), accéder à votre compte bancaire, voler vos dossiers médicaux ou accéder à la propriété intellectuelle de votre organisation.
Les mots de passe restent omniprésents comme moyen d’authentification des utilisateurs, mais depuis quelque temps déjà, ils sont reconnus comme le maillon faible de nos systèmes. En mars 2020, Microsoft a affirmé que 99,9 % des compromissions de comptes auraient pu être évitées si seulement l’organisation avait utilisé l’authentification multifactorielle (MFA) au lieu de se fier uniquement à l’authentification par mot de passe à facteur unique pour protéger ses utilisateurs.
Les attaques deviennent de plus en plus sophistiquées
Le vol de mots de passe est un vecteur d’attaque en constante évolution et précède généralement l’usurpation d’identité et la fraude. Les attaquants utilisent diverses méthodes pour voler des mots de passe.
Attaques par force brute
Les attaques par force brute sont l’une des formes d’attaque les plus courantes et de loin les plus faciles pour les pirates informatiques. L’attaquant utilise un programme spécial qui essaie toutes les combinaisons de mots de passe jusqu’à ce qu’il parvienne à pénétrer dans le système. Si la victime a utilisé un mot de passe considéré comme faible, l’attaque par force brute peut aboutir en quelques secondes ou minutes.
Attaques par dictionnaire
Une attaque par dictionnaire consiste pour le pirate à utiliser un logiciel spécial qui passe en revue les mots de passe couramment utilisés. Une attaque par force brute procède caractère par caractère, tandis qu’une attaque par dictionnaire utilise des mots et des phrases courants que le pirate a collectés. Certains utilisateurs choisissent des mots de passe courts, basés sur des mots courants. D’autres utilisent le nom de leur animal de compagnie ou d’un proche, mais les pirates créent des dictionnaires automatiques à partir des données qu’ils récupèrent sur les réseaux sociaux, et même ce type de mots de passe est désormais considéré comme faible.
Hameçonnage
Les pirates dissimulent leurs attaques de hameçonnage dans des e-mails innocents qui se font passer pour des services légitimes. Sous le couvert d’un e-mail frauduleux, les pirates incitent les utilisateurs à saisir leurs identifiants sur un faux site web, puis collectent ces données pour les utiliser ultérieurement dans leurs propres attaques.
Credential stuffing
Presque toutes les attaques par mot de passe partent du principe que les pirates ne possèdent pas déjà les mots de passe de vos utilisateurs. Cependant, cela n’est pas toujours vrai. Le credential stuffing, une forme d’attaque sous-estimée mais dévastatrice, consiste pour les pirates à utiliser des listes de noms d’utilisateur et de mots de passe volés sur différents comptes, en itérant jusqu’à ce qu’ils trouvent une correspondance. Cette attaque repose sur la tendance des utilisateurs à réutiliser leurs mots de passe sur plusieurs services. De plus, les pirates partagent (ou vendent) souvent les mots de passe volés, de sorte que les identifiants compromis se propagent rapidement parmi les acteurs malveillants.
Password spraying (pulvérisation de mots de passe)
Le password spraying consiste pour les pirates à tester simultanément plusieurs comptes à l’aide de quelques mots de passe faibles couramment utilisés. Si un seul utilisateur possède un mot de passe faible, c’est toute l’entreprise qui peut être menacée. Le password spraying peut être particulièrement dangereux pour les organisations utilisant l’authentification unique (SSO) ou des portails d’authentification basés sur le cloud, car un seul accès à un compte d’entreprise permet d’accéder à tout le reste.
Enregistreurs de frappe
Il s’agit de petits programmes malveillants installés sur les ordinateurs des utilisateurs qui copient toutes les frappes dans un fichier. Lorsque l’utilisateur saisit son nom d’utilisateur et son mot de passe, l’enregistreur de frappe les stocke pour les transmettre au pirate informatique. Même les mots de passe les plus forts ne sont pas protégés contre les enregistreurs de frappe.
Mots de passe faibles
Malgré les rappels constants sur l’importance de la sécurité des mots de passe, les utilisateurs sont connus pour être mauvais lorsqu’il s’agit de créer des mots de passe forts. En fait, des études ont montré que des mots de passe tels que « 123456 », « password » et « qwerty » figurent toujours parmi les 10 mots de passe les plus couramment utilisés. 80 % des violations impliquent le vol de mots de passe, soit en utilisant des identifiants volés, soit en recourant à des attaques par force brute. L’authentification multifactorielle (MFA) permet d’éviter ce problème et offre aux utilisateurs une plus grande flexibilité dans le choix de leur mot de passe. Si les utilisateurs doivent vérifier leur identité de plusieurs façons, un pirate informatique ne peut pas accéder à leurs systèmes, même s’il connaît le mot de passe. Après tout, il est beaucoup plus facile de découvrir la date de naissance d’une personne que de scanner sa rétine, de lire son empreinte digitale ou de traiter les contours de son visage.
Appareils non gérés
Pendant la pandémie de COVID-19, nous avons assisté à une augmentation spectaculaire du télétravail, tant dans l’enseignement que dans les entreprises. Si l’on prend l’exemple des écoles, les élèves qui utilisent leurs appareils personnels et des connexions Internet moins sécurisées pour accéder aux systèmes informatiques de leur établissement s’exposent à un risque accru. Il suffit à un pirate informatique d’installer un enregistreur de frappe sur l’ordinateur d’un utilisateur, car la plupart des appareils personnels ne bénéficient pas de la protection dont disposent les écoles ou les entreprises. Ces attaques passent souvent inaperçues jusqu’à ce que le pirate ait compromis les systèmes internes.
L’authentification multifactorielle (MFA) offre une couche de protection supplémentaire à l’organisation, sans qu’il soit nécessaire d’installer ou de contrôler quoi que ce soit sur l’ordinateur de l’utilisateur. Sans le deuxième facteur, un pirate ne peut pas accéder à l’école, même s’il a compromis le nom d’utilisateur et le mot de passe.
Autres contre-mesures de sécurité
Les logiciels antivirus et les pare-feu avancés protègent efficacement les systèmes des entreprises, mais ils peuvent parfois laisser des tunnels d’accès ouverts permettant aux employés de se reconnecter s’ils sont déconnectés. Un attaquant peut utiliser des identifiants volés pour accéder à ce tunnel en compromettant les identifiants de session volés de l’utilisateur, contournant ainsi ces autres contre-mesures de sécurité.
L’authentification multifactorielle peut empêcher les attaquants d’utiliser ce vecteur en les obligeant à se réauthentifier à chaque fois qu’ils se reconnectent, ce qui garantit qu’ils doivent toujours présenter le deuxième facteur pour se connecter.
Productivité et flexibilité
De nombreuses organisations appliquent des politiques en matière de mots de passe, encourageant les utilisateurs non seulement à choisir des mots de passe longs et complexes, mais aussi à les changer fréquemment. Ce processus de gestion des mots de passe est fastidieux pour les utilisateurs, qui doivent mémoriser un nombre croissant d’identifiants de connexion complexes.
Oublier ses mots de passe est un problème courant pour les utilisateurs et les entreprises ; personne ne veut être distrait de sa tâche et aucune entreprise ne souhaite financer les coûts d’assistance croissants liés à la réinitialisation des mots de passe.
L’authentification multifactorielle permet à vos utilisateurs de continuer à se connecter à l’aide de mots de passe plus faibles, moins complexes et faciles à mémoriser. Cependant, combinée à des attributs difficiles à cloner, tels que les empreintes digitales ou les codes à usage unique générés par une application d’authentification, l’exposition aux cyberrisques est réduite. La MFA minimise les coûts d’assistance et améliore l’expérience utilisateur (UX).
Conformité réglementaire
De nombreuses lois exigent des organisations qu’elles mettent en place des processus d’authentification forts, en particulier si elles traitent et stockent des données personnelles sensibles ou des données financières. Ces informations peuvent être les registres comptables de votre entreprise ou les dossiers du personnel et des étudiants. En mettant en œuvre l’authentification multifactorielle, vous pouvez vous conformer aux normes de gestion des identités et des accès, telles que la norme ISO 27001 et les cadres réglementaires techniques de sécurité gouvernementaux. Les huit stratégies essentielles recommandées par le gouvernement australien pour atténuer les incidents de cybersécurité incluent l’authentification multifactorielle.
Améliorez vos processus d’authentification
L’authentification multifactorielle est un élément clé pour assurer votre cyber-résilience et celle de votre organisation. Les solutions MFA sont simples à installer et peu coûteuses. Elles offrent une stratégie de protection simple mais très efficace pour protéger vos utilisateurs et votre organisation contre les cyberattaques.
Comment Catalyst peut vous aider
Catalyst fournit des services pour mettre en œuvre l’authentification multifactorielle et l’authentification unique (SSO). Tirez parti de notre expertise pour rendre votre environnement plus rationalisé, plus facile d’accès et plus rentable à gérer.
Une méthode d’authentification qui utilise deux ou plusieurs facteurs d’authentification pour authentifier un seul demandeur auprès d’un seul vérificateur d’authentification.
Explorez les services Catalyst pour améliorer l’accès des utilisateurs
Nous sommes tous habitués aux mots de passe, mais des facteurs supplémentaires sont également devenus courants pour accéder aux services en ligne, tels que les sites de médias sociaux qui envoient des codes SMS ou des codes e-mail pour que les utilisateurs se connectent. Ces facteurs supplémentaires ont considérablement amélioré la sécurité en ligne et réduit le risque global de le vol d’identité et les atteintes à la vie privée. La plupart des solutions MFA appartiennent à l’une des trois catégories suivantes :
- Quelque chose que vous savez (nom d’utilisateur et mot de passe)
- Quelque chose que vous possédez (un jeton, comme une clé USB, un téléphone portable ou une carte-clé)
- Quelque chose que vous possédez (un jeton, comme une clé USB, un téléphone portable ou une carte-clé) Quelque chose que vous êtes (empreinte digitale, scan de l’iris, reconnaissance faciale ou autre attribut biométrique)
L’ajout d’un niveau d’authentification supplémentaire à n’importe quelle combinaison nom d’utilisateur/mot de passe de base améliore considérablement la cyber-résilience globale d’un utilisateur et réduit la probabilité qu’un acteur malveillant puisse voler son identité. De plus, la barrière à l’entrée est nettement plus basse que jamais, la plupart des systèmes d’exploitation pour PC et mobiles prenant en charge plusieurs solutions.
Cette courte vidéo de 2,5 minutes donne un aperçu de l’AMF et de la manière dont elle réduit l’exposition aux cyber-risques
Pourquoi nous avons besoin de l’AMF
Dans l’environnement actuel de tout numérique, les cybercriminels ont accès à plus de 15 milliards d’identifiants volés, généralement des noms d’utilisateur et des mots de passe issus d’années de violations massives de la sécurité. S’ils possèdent l’une de vos informations d’identification, ils peuvent être en mesure d’assumer votre identité, vos informations personnelles identifiables (PII), d’accéder à votre compte bancaire, de voler des dossiers médicaux ou d’accéder à la propriété intellectuelle de votre organisation.
Les mots de passe restent omniprésents en tant que forme d’authentification des utilisateurs, mais depuis quelque temps déjà, ils sont reconnus comme l’aspect le plus faible de nos systèmes. En mars 2020, Microsoft a affirmé que 99,9% des compromissions de comptes auraient pu être évitées si seulement l’organisation disposait de l’authentification multifacteur au lieu de se fier uniquement à l’authentification par mot de passe pour protéger ses utilisateurs.
Les attaques sont de plus en plus sophistiquées
Le vol de mot de passe est un vecteur d’attaque de plus en plus évolutif et est généralement un précurseur de l’usurpation d’identité et de la fraude. Les attaquants utilisent diverses méthodes pour voler les mots de passe.
Attaques par force brute
Une attaque par force brute est l’une des formes d’attaque les plus courantes et de loin la plus simple pour les pirates. L’attaquant utilise un programme spécial qui essaie chaque combinaison de mots de passe jusqu’à ce qu’ils pénètrent dans le système. Si la victime a utilisé ce qui est considéré comme un mot de passe faible, il peut s’écouler quelques secondes ou quelques minutes avant que l’attaque par force brute ne donne un résultat.
Attaques par dictionnaire
Une attaque par dictionnaire est l’endroit où l’attaquant utilise un logiciel spécial qui parcourt les mots de passe couramment utilisés. Une attaque par force brute va caractère par caractère, tandis qu’une attaque par dictionnaire utilise des mots et des phrases que l’attaquant a collectés qui sont courants. Certains utilisateurs choisissent des mots de passe plus courts et les basent sur des mots courants. Certains prennent des noms d’animaux de compagnie ou de parents, et avec les pirates qui créent des dictionnaires automatiques basés sur les données qu’ils récupèrent sur les réseaux sociaux, même ces types de mots de passe sont désormais considérés comme faibles.
Hameçonnage
Les pirates déguisent les attaques de phishing en e-mails sans méfiance se faisant passer pour des services légitimes. Déguisés dans un e-mail frauduleux, les pirates incitent les utilisateurs à valider leurs informations d’identification sur un faux site Web, puis à collecter ces données pour les utiliser ultérieurement dans leurs propres attaques.
Remplissage d’identifiants
Presque toutes les attaques par mot de passe supposent que les pirates ne possèdent pas déjà les mots de passe de vos utilisateurs. Cependant, cela peut ne pas s’avérer vrai. Une forme d’attaque sous-déclarée mais dévastatrice, le bourrage d’informations d’identification, est l’endroit où les pirates utilisent des listes de noms d’utilisateur et de mots de passe volés en combinaison sur divers comptes, en itérant jusqu’à ce qu’ils obtiennent une correspondance. Cette attaque repose sur la tendance des gens à réutiliser les mots de passe sur plusieurs services. De plus, les pirates partagent (ou vendent) souvent des mots de passe volés, de sorte que les informations d’identification violées prolifèrent rapidement parmi les acteurs de la menace.
Pulvérisation de mot de passe
La pulvérisation de mot de passe est l’endroit où les attaquants essaient de nombreux comptes à la fois avec quelques mots de passe faibles couramment utilisés. Si même un utilisateur a un mot de passe faible, toute l’entreprise peut être en danger. La pulvérisation de mots de passe peut être particulièrement dangereuse pour les organisations dotées de portails d’authentification unique ou basés sur le cloud, car un seul accès à une connexion d’entreprise permet d’accéder à tout le reste.
Enregistreurs de frappe
Ce sont de petits programmes malveillants installés sur les ordinateurs des utilisateurs qui copient toutes les frappes dans un fichier. Au fur et à mesure que l’utilisateur tape ses combinaisons de nom d’utilisateur et de mot de passe, le keylogger les stocke pour les transmettre au pirate. Même les mots de passe les plus forts ne sont pas protégés contre les keyloggers.
Mots de passe faibles
Malgré des rappels constants de l’importance de la sécurité des mots de passe, les utilisateurs sont notoirement mauvais pour créer des mots de passe forts. En fait, des études ont montré que des mots de passe tels que “123456”, “mot de passe” et “qwerty” sont toujours dans le top 10 des mots de passe les plus couramment utilisés. 80% des violations impliquent le vol de mot de passe, soit en utilisant des identifiants volés, soit en impliquant des attaques par force brute. AMF évite ce problème et permet aux utilisateurs plus de flexibilité dans le choix de leur mot de passe. Si les utilisateurs doivent vérifier leur identité de plusieurs manières, un pirate informatique ne peut pas accéder à leurs systèmes, même s’ils connaissent le mot de passe. Après tout, il est beaucoup plus facile de connaître l’anniversaire de quelqu’un que de scanner sa rétine, de lire ses empreintes digitales ou de traiter les contours de son visage.
Appareils non gérés
Pendant la pandémie de COVID-19, nous avons constaté une augmentation spectaculaire du travail à distance, à la fois dans l’éducation et dans les affaires. Dans de nombreux cas, ce changement semble être de longue durée ou permanent. Si nous prenons l’exemple des écoles, les élèves utilisant des appareils personnels et des connexions Internet moins sécurisées pour accéder aux systèmes informatiques de leur école introduisent un niveau accru d’exposition au risque ; un pirate informatique n’a qu’à installer un enregistreur de frappe sur la machine d’un utilisateur, étant donné que la plupart des appareils personnels n’ont pas la protection qu’une école ou une entreprise pourrait avoir. Ces attaques passent souvent inaperçues jusqu’à ce que le pirate informatique ait compromis les systèmes internes
AMF fournira une couche de protection supplémentaire pour l’organisation, sans qu’il soit nécessaire d’installer quoi que ce soit ou de contrôler quoi que ce soit sur l’ordinateur d’un utilisateur. Sans le deuxième facteur, un pirate informatique ne peut pas accéder à l’école, même s’il a compromis le nom d’utilisateur et le mot de passe.
Autres contre-mesures de sécurité
Les logiciels antivirus et les pare-feu avancés fonctionnent bien pour protéger les systèmes de l’entreprise, mais ils peuvent parfois laisser des tunnels d’accès ouverts pour que les employés se reconnectent s’ils sont déconnectés. Un attaquant peut utiliser des informations d’identification volées pour accéder via ce tunnel en compromettant les informations d’identification de session volées de l’utilisateur, en contournant ces autres contre-mesures de sécurité. AMF peut empêcher les attaquants d’utiliser ce vecteur en forçant une réauthentification à chaque fois qu’ils se reconnectent, en s’assurant qu’ils doivent toujours présenter le deuxième facteur pour se connecter.
Productivité et flexibilité
De nombreuses organisations appliquent des politiques de mot de passe, encourageant les utilisateurs non seulement à choisir des mots de passe longs et complexes, mais aussi à les changer fréquemment. Ce processus de gestion des mots de passe est lourd pour les utilisateurs, qui doivent mémoriser un portefeuille croissant d’identifiants de connexion complexes.
L’oubli du portefeuille de mots de passe est un problème courant pour les utilisateurs et les organisations ; personne ne veut être distrait de la tâche à accomplir et aucune organisation ne veut financer les coûts de support croissants impliqués dans la réinitialisation des mots de passe. AMF permet à vos utilisateurs de continuer à se connecter en utilisant des mots de passe plus faibles, moins complexes et faciles à retenir. Cependant, combiné à ces attributs difficiles à cloner comme les empreintes digitales ou les codes à usage unique générés par une application d’authentification, l’exposition aux cyber-risques est réduite . AMF minimise les coûts d’assistance et améliore l’expérience utilisateur (UX).
Conformité réglementaire
De nombreuses lois exigent que les organisations mettent en place des processus d’authentification forte, en particulier si elles traitent et stockent des informations personnelles ou des données financières sensibles. Ces informations peuvent être les registres comptables de votre entreprise ou les dossiers du personnel et des étudiants. En mettant en œuvre l’authentification multifacteur, vous pouvez renforcer la conformité aux normes de gestion des identités et des accès, telles que ISO 27001 et les cadres réglementaires de sécurité technique du gouvernement. Les « huit stratégies essentielles » recommandées par le gouvernement australien pour atténuer les incidents de cybersécurité comprennent l’AMF.
Améliorez vos processus d’authentification
Les solutions AMF sont simples à installer et ne coûtent pas cher. Ils offrent une stratégie d’atténuation simple mais très efficace pour protéger vos utilisateurs et votre organisation contre les cyber-attaquants.
Comment Catalyst peut vous aider
Catalyst fournit des services pour implémenter AMF et Authentification unique (AU). Tirez parti de notre expertise pour vous aider à rendre votre environnement plus rationalisé, plus facile d’accès et plus rentable à gérer.
