Authentification à deux facteurs (2FA)

L'authentification à deux facteurs (2FA ou TFA) est un terme technique qui désigne le processus consistant à demander à un utilisateur de confirmer son identité en deux étapes uniques avant de recevoir l'autorisation d'accès au système. Traditionnellement, les utilisateurs ont utilisé et sont habitués à des systèmes d'authentification qui demandent un identifiant unique, tel qu'une adresse e-mail, un nom d'utilisateur ou un numéro de téléphone, ainsi qu'un mot de passe ou un code PIN correct pour accéder au système.

Le système 2FA étend ce paradigme en ajoutant une étape supplémentaire au processus d'authentification. Il demande le plus souvent à l'utilisateur de saisir un jeton à usage unique, généré dynamiquement et délivré par une méthode à laquelle seul l'utilisateur a accès. Une autre méthode courante consiste à utiliser les données biométriques de l'utilisateur, incluant les empreintes digitales ou la rétine, comme deuxième facteur.

L'authentification à deux facteurs n'est pas nouvelle. En fait, cette technologie a été conçue en 1984. Elle est de plus en plus utilisée dans le monde moderne. En effet, nos vies, tant personnelles que professionnelles, dépendent de plus en plus des supports et des technologies numériques, et sont donc exposées à des cyber-menaces, des vols et des pertes d'accès, qui peuvent avoir des conséquences désastreuses.

Depuis des années, les entreprises tentent de renforcer la sécurité de l'authentification des utilisateurs en imposant des exigences toujours plus strictes, telles que la longueur du mot de passe, la présence de caractères spéciaux, l'obligation de remplacer fréquemment le mot de passe, des algorithmes de hachage et de salage sophistiqués, qui dissimulent le mot de passe réel, etc. En fin de compte, un système uniquement basé sur des mots de passe reste vulnérable, car les utilisateurs ont tendance à utiliser le même mot de passe sur plusieurs systèmes. Les techniques de phishing et d'ingénierie sociale qui amènent l'utilisateur à révéler son mot de passe à son insu ne sont que trop courantes. De nombreux autres scénarios peuvent conduire à la compromission d'un mot de passe.

L'authentification à deux facteurs apporte à l'utilisateur et à l'administrateur du système la certitude et la tranquillité d'esprit. Même si le mot de passe de l'utilisateur est compromis, elle garantit qu'il est impossible d'accéder au compte sans connaître non seulement la méthode utilisée comme deuxième facteur, mais aussi avoir accès à ce deuxième facteur, qui peut être un jeton biologique ou un mot de passe à usage unique (OTP) généré dynamiquement.

L'authentification à deux facteurs repose sur deux des trois « choses », que l'utilisateur seul peut connaître, par exemple :

• Quelque chose que vous connaissez – le mot de passe ou le code PIN d'accès à un compte
• Quelque chose que vous avez – un dispositif physique, tel qu'un téléphone portable, ou une application logicielle qui peut générer des mots de passe à usage unique
• Quelque chose qui fait partie de vous – une caractéristique biologique individuelle, vos empreintes digitales, votre voix ou vos rétines

La plupart des pirates cherchent à connaître le mot de passe ou le code PIN d'un compte. Il est plus difficile d'accéder à un générateur de jetons physiques ou d'obtenir des caractéristiques biologiques. C'est la raison pour laquelle le système 2FA offre une meilleure efficacité et une sécurité renforcée pour les comptes des utilisateurs.

La 2FA offre de nombreuses options de mise en œuvre. Elles ont toutes leurs avantages et leurs inconvénients. Mais elles peuvent toutes renforcer considérablement la sécurité des comptes d'utilisateurs. De toutes les méthodes présentées ci-dessous, le plus important est de retenir qu'après avoir vérifié son nom d'utilisateur et son mot de passe, l'utilisateur doit saisir un second mot de passe, généré dynamiquement et en constante évolution, avant de pouvoir accéder au système.

Les entreprises mettent souvent en place des règles supplémentaires pour déterminer quand et comment utiliser la 2FA. Il se peut que l'utilisateur n'ait pas besoin d'utiliser la 2FA s'il se trouve sur l'intranet de l'entreprise ou sur un appareil sur lequel il a déjà utilisé une procédure 2FA pour se connecter. Dans d'autres cas, l'utilisateur peut avoir besoin d'utiliser la 2FA chaque fois qu'il s'authentifie. Auth0 prend en charge ces règles et d'autres règles de mise en œuvre personnalisées pour répondre aux besoins des entreprises.

Probablement la méthode la plus courante pour mettre en œuvre la 2FA. Elle envoie à l'utilisateur un jeton unique par texte SMS, normalement un code de 5 à 10 chiffres, lorsqu'il a saisi sans erreur son nom d'utilisateur et son mot de passe. L'utilisateur doit ensuite fournir ce jeton unique pour obtenir l'accès souhaité.

Avantages :

• Convivialité – La plupart des utilisateurs préfèrent les messages textes
• Disponibilité – Rares sont les téléphones qui n'offrent pas un service SMS
• Rentabilité – Peu coûteux à mettre en place et à maintenir

Inconvénients :

• Connectivité – Un signal et une réception cellulaires sont nécessaires pour recevoir le jeton
• Sécurité – Les SMS peuvent être interceptés par des tiers
• Matériel – Un dispositif physique est nécessaire. En cas de perte ou de vol du téléphone l'utilisateur ne peut plus s'authentifier.

Cette méthode d'authentification à deux facteurs est assez répandue. Cette méthode est très similaire à la méthode SMS, à la différence que l'utilisateur doit saisir un jeton alphanumérique de 5 à 10 caractères ou cliquer sur un lien fourni dans l'e-mail, dans les versions les plus courantes. Elle utilise aussi des mots de passe à usage unique générés dynamiquement.

Avantages :

• Convivialité – Les utilisateurs peuvent recevoir des e-mails à la fois sur leur ordinateur et leur appareil mobile
• Rentabilité – Peu coûteux à mettre en place et à maintenir
• Options – Peut proposer des options supplémentaires pour vérifier le jeton, par exemple cliquer sur un lien

Inconvénients :

• Livraison – Diverses situations peuvent faire échouer la livraison des e-mails : ils peuvent être notamment perdus dans les spams, rejetés par le serveur, retardés ou bloqués dans une file d'attente saturée, etc.
• Sécurité – Les e-mails peuvent être interceptés par des tiers et les jetons compromis.
• Redondance – Si un tiers a accès aux informations d'identification des utilisateurs, il est possible qu'il puisse aussi accéder aux e-mails et obtenir facilement le jeton

Cette méthode courante dans les environnements d'entreprise peut aussi être utilisée dans n'importe quel système. L'utilisateur reçoit un dispositif physique, par exemple un porte-clés, un dongle USB ou autre dispositif capable de générer dynamiquement un jeton pour un utilisateur spécifique. Ces jetons n'ont généralement qu'une durée de vie courte, même parfois limitée à 30 secondes, et ils changent constamment.

Avantages :

• Autonomie – N'a besoin d'aucun service de connectivité en ligne, ni d'aucune autre ressource pour générer des jetons
• Fiabilité – Les jetons matériels sont spécifiquement construits pour générer uniquement des jetons
• Protection – Comme ces appareils n'effectuent qu'une seule tâche, les vecteurs d'exploitation possibles sont extrêmement réduits

Inconvénients :

• Coût – Coûteux à mettre en place et à maintenir
• Matériel – Les appareils peuvent être facilement égarés, oubliés et perdus
• Trop de dispositifs – Avoir un dispositif matériel pour plusieurs services peut inciter l'utilisateur à ne pas utiliser le système 2FA

Les jetons logiciels obligent l'utilisateur à télécharger et à installer une application sur son ordinateur ou son appareil mobile pour obtenir dynamiquement les jetons requis. Avec la généralisation des smartphones, cette méthode gagne en popularité. Les jetons logiciels fonctionnent de la même manière que les jetons matériels. Leur production est aléatoire, leur durée de vie est courte, leur renouvellement est fréquent. Mais les développeurs disposent d'un choix étendu d'implémentations pour répondre aux besoins de l'entreprise.

Avantages :

• Convivialité – Les applis offrent généralement des interfaces simples qui affichent uniquement le jeton requis.
• Mises à jour – Les logiciels actualisés et les correctifs sont fournis selon les besoins sans perturbation
• Extensibilité – Ajout de fonctionnalités améliorées, telles que la demande d'un code PIN pour accéder à l'appli ou l'utilisation d'une seule application pour plusieurs comptes

Inconvénients :

• Coût – Coûteux à mettre en place et à maintenir
• Logiciels supplémentaires – L'utilisateur doit télécharger et installer des logiciels supplémentaires sur ses appareils
• Sécurité – L'application utilisée pour générer le jeton peut être compromise à l'insu de l'utilisateur

Avec cette méthode 2FA, le jeton est fourni à l'utilisateur par téléphone lorsqu'il a correctement saisi son nom d'utilisateur et son mot de passe. Cette méthode est peut-être la moins commode pour l'utilisateur final. Elle est cependant viable et couramment utilisée pour fournir des jetons dynamiques.

Avantages :

• Convivialité – Difficile de faire plus simple qu'un appel téléphonique
• Rentabilité – Peu coûteux à mettre en place et à maintenir
• Fiabilité – En général, la réception de messages vocaux/SMS nécessite moins de bande passante que les données. Elle peut donc constituer une bonne alternative à la vérification par logiciel ou par e-mail, lorsqu'une connexion de données est nécessaire

Inconvénients :

• Sécurité – Les appels peuvent être interceptés, retransmis ou piratés par une boîte vocale
• Connectivité – Un signal et une réception cellulaire sont nécessaires
• Matériel – Nécessite un dispositif physique pour recevoir le jeton

Cette méthode 2FA est unique et se différencie de toutes celles déjà mentionnées ici. La vérification biométrique repose sur le fait que l'utilisateur réel est lui-même le jeton. Une caractéristique unique, comme les empreintes digitales ou la rétine de l'œil, est utilisée pour vérifier que l'utilisateur est bien celui qu'il prétend être.

Avantages :

• L'utilisateur devient le jeton – Il vous suffit d'être présent !
• Options – De nombreuses options de jetons, telles que les empreintes digitales, la rétine, la voix et la reconnaissance faciale
• Convivialité – L'utilisateur n'a besoin que d'une connaissance minimale du fonctionnement des systèmes

Inconvénients :

• Confidentialité – Le stockage des données biométriques soulève des inquiétudes quant au respect de la vie privée.
• Sécurité – Les empreintes digitales et autres données biométriques peuvent être compromises et ne peuvent pas être modifiées.
• Matériel supplémentaire – Nécessite des dispositifs spéciaux pour vérifier les données biométriques, tels que caméra, scanner, etc.

Avec Auth0, la mise en œuvre de l'authentification 2FA est facile et simple. Vous pouvez mettre en place un système 2FA avec notre appli Guardian ou avec des fournisseurs 2FA tiers. Nous fournissons deux fournisseurs 2FA réputés, Google Authenticator et Duo. Ils peuvent être aisément configurés en quelques minutes.

En outre, vous pouvez mettre en œuvre des fournisseurs et des règles personnalisés pour améliorer et affiner le workflow 2FA selon les besoins de votre entreprise. Voyons comment ce processus fonctionne avec Guardian.

La mise en œuvre de la 2FA avec Auth0 et Guardian ne nécessite que deux étapes seulement.

1. Dans le tableau de bord de gestion Auth0, allez à la section Multifactor Auth.
2. Sélectionnez la méthode utilisée pour envoyer les codes 2FA à vos utilisateurs. Vous pouvez choisir les notifications Push, les SMS, ou les deux.
3. (Facultatif) Configurez les applications Auth0 qui utiliseront 2FA. Faites les modifications de configuration supplémentaires selon les besoins.

Enregistrez vos modifications et l'option 2FA avec Guardian sera activée pour votre appli ! La prochaine fois qu'un utilisateur tentera de se connecter, il sera invité à configurer le système 2FA avant d'accéder à votre appli.

Notre option d'authentification multi-facteur adaptative et contextuelle vous permet de mettre en œuvre la 2FA, ou des couches d'authentification supplémentaires, en fonction de différentes conditions, telles que : le lieu, l'heure, le jour/ la semaine, le type de réseau, les domaines personnalisés, certaines IP ou autre condition arbitraire qui peut être exprimée en code sur la plateforme Auth0.

Par défaut, la 2FA n'est demandée qu'une fois par mois. Vous pouvez la configurer pour qu'elle soit demandée à chaque connexion. Vous pouvez aussi définir vos propres règles de déclenchement de la 2FA.

Vous pouvez configurer des règles, par exemple en cas d'accès à des applications critiques depuis l'extérieur de l'intranet de votre entreprise, depuis un autre appareil ou depuis un nouveau site.