Aujourd’hui, on parle d’authentification forte à double facteur (2FA) ou multifacteur (MFA), et d’authentification Adaptative. De quoi s’agit-il ?
Sur une application mobile, l’authentification désigne la procédure qui consiste à vérifier l’identité d’un utilisateur grâce au terminal mobile ou lors de sa connexion.
Au cours de cette authentification, l’utilisateur doit donc apporter la preuve de son identité.
Selon les applications, l’authentification permet d’accéder à des ressources sécurisées, à son compte en banque, à un logiciel accessible en ligne, etc.
Dans le cas d’applications bancaires, par exemple, l’authentification répond à des obligations réglementaires (DSP2…) en renforçant l’accès à un compte tout en protégeant les données qu’il contient.
Ces dernières années, l’utilisation grandissante d’applications SaaS par les entreprises a induit une augmentation du nombre de tentatives de prise de contrôle de compte : c’est même devenu une menace de cyber sécurité croissante (on parle d’hameçonnage, de logiciels malveillants mobiles, etc.).
Les méthodes classiques d’authentification (qui s’appuient sur un facteur unique) ont rapidement été dépassées, car elles sont plus facilement compromises par les cyber criminels.
C’est la raison pour laquelle les méthodes d’authentification forte (2FA, MFA) et d’authentification adaptative sont aujourd’hui plébiscitées.
Leur utilisation est particulièrement importante notamment dans le cas où l’usage d’une application concerne :
- des employés nomades ayant besoin d’accéder au système d’information de l’entreprise via un terminal mobile ;
- des clients qui souhaitent accéder à leur compte ou à leur espace personnalisé en ligne.
Authentification forte (2FA, MFA)
Qu’est-ce qu’une authentification forte ?
L’authentification forte est la combinaison d’au moins deux facteurs d’identification parmi les suivants :
- Ce que je sais et que je suis le seul à connaître (mot de passe, code pin…) ; ce sont les facteurs de connaissance.
- Ce que je possède (smartphone, token…) ; ce sont les facteurs de possession.
- Ce que je suis ou ce que je fais (empreinte digitale, visage, voix, comportement…) ; ce sont les facteurs d’inhérence.
La recommandation de l’ANSSI en matière de sécurité est de préférer autant que possible une authentification forte s’appuyant sur 2 facteurs d’authentification différents ; par exemple, un facteur de connaissance et un facteur d’inhérence.
Cette pratique permet de réduire le risque d’usurpation d’identité.
Il existe donc l’authentification double facteur (ou 2FA, Two-Factor Authentication) et l’authentification multifacteur (ou MFA, Multi-Factor Authentication) : bien sûr, plus le nombre de facteurs sur lesquels s’appuie l’authentification est élevé, plus la sécurité est renforcée.
On peut y ajouter des identifiants matériels, tels que l’adresse MAC des équipements, pour garantir que la connexion n’est possible que depuis certains appareils.
Par ailleurs, certains types de facteurs sont plus difficiles à compromettre que d’autres : par exemple, les données biométriques, en comparaison d’un simple mot de passe.
Authentification adaptative (ou basée sur le risque)
L’authentification est dite adaptative lorsque le niveau d’authentification s’adapte en fonction du contexte dans lequel se trouve l’utilisateur.
Aux facteurs d’authentification dont nous venons de parler, on associe ici d’autres éléments contextuels tels que la géolocalisation, l’adresse IP, le jour ou l’heure de connexion, etc.
Pris de manière isolée, ces éléments ne permettent pas bien sûr de vérifier l’identité d’une personne ; mais associés à des facteurs d’authentification, ils peuvent aider à émettre un doute sur cette identité.
Cette technique s’appuie donc sur l’évaluation d’un risque : par exemple, s’il y a une tentative d’accès depuis un nouvel équipement, une nouvelle localisation (à l’étranger ou dans une autre ville), un jour de la semaine ou à un moment de la journée inhabituels…
Si un tel facteur de risque apparaît, alors le système d’authentification va présenter à l’utilisateur une étape supplémentaire de sécurité.
Il ajuste donc les facteurs d’authentification au niveau de risque estimé de la connexion.
Cette approche a l’avantage d’être plus flexible.
Elle permet :
- d’accélérer la procédure de connexion lorsque le risque estimé est faible, en réduisant les étapes d’authentification (ce qui induit une optimisation du parcours utilisateur) ;
- et de rehausser le niveau de sécurité lorsque le risque estimé est élevé.
Authentification forte (2FA, MFA, Adaptative) et fluidité du parcours utilisateur : un juste équilibre à trouver
Nous l’avons vu, les méthodes d’authentification forte MFA et adaptative assurent un haut niveau de sécurité aux app.
Cependant, dans cette course au renforcement de la sécurité, les concepteurs d’app doivent apporter une attention particulière à l’interface utilisateur, car les parcours d’authentification sont susceptibles de générer une frustration chez les mobinautes… et d’induire un abandon de l’app.
Il y a donc un juste équilibre à trouver, entre réduction des frictions liées aux étapes d’authentification et sécurité de l’app.
Vous souhaitez réagir ou en savoir plus ?
On vous offre un café et, en bonus, la check-list de votre cahier des charges, pour ne rien oublier.
Vous êtes partant(e) ?