D’après Google, le two factor authentication est capable de bloquer 96% des attaques de phishing en masse et 100% des attaques de phishing automatisées. Le taux d’adoption de ce mode d’authentification est passé de 28% en 2017 à 78% en 2021 chez les entreprises d’après Zippia. La méthode 2FA la plus commode pour les utilisateurs est le smartphone.
Avant que le two factor authentication gagne en popularité, les mots de passe représentaient le seul rempart de l’accès des comptes des utilisateurs. Pourtant, d’après l’étude publiée par Hive Systems, les hackers mettent de moins en moins de temps pour les craquer. Il leur faut environ cinq minutes pour déchiffrer un mot de passe de huit caractères respectant toutes les exigences (majuscules, chiffres, lettres, symboles, etc.). Face à cette vulnérabilité évidente, le two factor authentication représente une couche de sécurité supplémentaire aux accès utilisateurs. La méthode 2FA n’est pas nouvelle, elle était déjà utilisée pour sécuriser les opérations financières. Actuellement, son utilisation s’étend à de nombreux domaines.
Qu’est-ce que le two factor authentication (2FA) ?
Le two factor authentication (2FA), double authentification en français, est un protocole de sécurité imposé par de nombreuses applications et sites web. Pour créer ou se connecter à un compte, l’utilisateur passe par deux étapes de validation qui reposent sur deux facteurs différents.
Le second facteur est généralement un moyen matériel permettant de vérifier l’identité d’un utilisateur. Cela peut être une empreinte digitale, un numéro de téléphone ou encore une question secrète.
En somme, la double authentification tire sa force de l’association entre deux facteurs différents et complémentaires.
La différence avec les autres méthodes d’authentification
Le two factor authentication est souvent confondu avec les autres méthodes. Pourtant, elles diffèrent par le nombre de facteurs utilisés.
- le SFA (simple factor authentification) ne requiert qu’un mot de passe pour accéder à un service en ligne.
- le 2FA fait référence à deux facteurs différents pour vérifier l’identité de l’utilisateur.
- le MFA (multifactor authentificaiton) demande plus de deux facteurs.
le 2SV ( two step verification) désigne quant à lui les deux étapes pour vérifier l’identité de l’utilisateur. Les deux étapes reposent quand même sur deux facteurs différents. Google, par exemple, se sert du 2SV pour la connexion à son compte. La saisie de l’identifiant et le mot de passe représentent la première étape. La seconde étape porte sur la saisie d’un code.
Les principaux types de facteurs utilisés dans le 2FA
Les facteurs utilisés par les utilisateurs pour s’identifier sont regroupés dans quatre catégories :
La connaissance
L’accès à un système requiert une information, dont seul l’utilisateur a connaissance. Le mot de passe et le nom d’utilisateur sont les facteurs de connaissance les plus communs. Le code PIN en est également un. Ce dernier peut d’ailleurs être utilisé dans une vérification en deux étapes.
Certains sites soumettent une question personnelle à l’utilisateur comme le modèle de sa première voiture ou la date de naissance.
Un facteur de connaissance est le moins fiable pour sécuriser un compte. Les attaquants peuvent se servir de l’ingénierie sociale pour trouver ces informations.
La possession
Le facteur est un objet que l’utilisateur possède. Cela peut être un jeton matériel, une carte à puce, un smartphone, etc. Les applications 2FA figurent également dans cette catégorie. Ces applications génèrent des codes pour valider l’accès à un code. Les plus connues d’entre elles sont Microsoft Authenticator et Google Authenticator.
La 2FA combine généralement le facteur de connaissance et le facteur de possession. L’utilisateur renseigne son identifiant et son mot de passe (connaissance) puis saisit un code OTP qu’il a reçu sur son téléphone (possession).
La localisation
La méthode d’authentification dépend de l’emplacement de l’utilisateur. Ce sont les entreprises qui utilisent ce type de facteur. Lorsque le salarié se connecte à un compte depuis un appareil sur site, un simple mot de passe suffit. Par contre, s’il se trouve en dehors du site ou qu’il se sert d’un appareil étranger, le système lui impose une seconde authentification.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Comment fonctionne la double authentification ?
La double authentification suit un schéma similaire, peu importe les facteurs appliqués. Prenons l’exemple d’un service bancaire en ligne. Il demande à son client de s’authentifier en deux étapes. La première étape consiste généralement à renseigner l’identifiant et le mot de passe. Le compte n’est pas encore accessible même si ces informations sont correctes. Il doit saisir un code envoyé par SMS par exemple. Il s’agit de la seconde authentification. Les deux facteurs permettent de valider son identité : le mot de passe et le numéro de téléphone.
La seconde authentification se distingue de la première par son aspect temporaire. Ainsi, le code envoyé par SMS n’est valide que pendant quelques minutes. Il est utilisable une fois uniquement.
Les facteurs d’authentification les plus utilisés
Les messages textes (SMS)
La majorité des two factor authentication repose sur les smartphones. Les utilisateurs ont le choix entre différents types de facteurs sur cet appareil.
L’authentification profite des technologies présentes sur le smartphone comme la caméra intégrée, la reconnaissance d’empreintes digitales, la reconnaissance faciale ou encore la reconnaissance vocale.
La localisation géographique peut aussi être utilisée comme facteur. Une application GPS est installée sur le smartphone. Si le compte estime cette localisation comme suspect, l’accès est refusé.
Le 2FA basé sur le message texte et la voix est le plus courant. Au moment de la création du compte, l’utilisateur l’associe à un numéro de téléphone fiable. Le site envoie l’OTP (code d’accès à usage unique) par message texte. Le processus est ensuite similaire à celui du jeton matériel. Il ne reste plus qu’à saisir le code dans le champ prévu à cet effet.
Le 2FA vocal repose sur le même principe. Le site appelle directement le numéro pour communiquer le code d’accès. Ce type d’authentification est plébiscité dans les pays où l’utilisation de smartphone reste faible.
Les jetons matériels pour 2FA
Les jetons matériels représentent la forme la plus ancienne du 2FA. Ils sont similaires à un porte-clés générant un code numérique toutes les 30 secondes. Lorsqu’un utilisateur se connecte à son compte, il saisit le code affiché sur le jeton pour valider la seconde authentification.
De son côté, le jeton OTP est un logiciel générant un code à usage unique et ayant une date d’expiration. Pour accéder à son compte ou valider une transaction, l’utilisateur doit saisir son identifiant, son mot de passe puis le code à usage unique. Le système effectue ensuite une vérification pour s’assurer de la validité de l’OTP.
Les jetons YubiKey font partie des solutions les plus connues. Ils ont été développés par Yubico, une entreprise californienne. Si le service en ligne prend en charge les OTP, il suffit de brancher l’outil sur le port USB et réaliser l’authentification. Il ne reste plus qu’à cliquer sur le champ Yubikey pour générer l’OTP.
Les notifications push
Une notification push est une forme d’authentification qui n’implique pas la saisie d’un code. Une notification est directement envoyée sur l’appareil de l’utilisateur l’informant d’une tentative de connexion à son compte. Avant de cliquer sur « accepter » ou « refuser », il peut consulter les détails de la connexion. Si l’authentification ne vient pas de lui, il empêche directement l’accès à l’individu malveillant.
Une notification push sert à vérifier que l’appareil associé au compte est bien en possession de l’utilisateur. Elle est efficace pour bloquer les attaques d’ingénierie sociale et de l’homme du milieu. Cette méthode présente néanmoins des failles de sécurité. Si l’appareil est compromis, le compte l’est également. Certains utilisateurs ont aussi l’habitude d’accepter les notifications sans lire les détails pour s’en débarrasser rapidement.
Le two factor authentication est-il réellement fiable ?
Les cyberattaques de ces dernières années ont démontré qu’il est possible de contourner l’authentification à double facteur. En 2018, le hacker Kevin Mitnick avait déjà donné l’alerte. Les hackers lancent une attaque de phishing et se servent d’un faux site pour récolter les informations de connexion.
Amnesty Tech avait également lancé l’alerte à la même époque. Des personnalités travaillant dans la défense des droits de l’Homme ont été victimes d’une vaste attaque de phishing. Les cybercriminels dirigeaient ces personnes vers une fausse page d’authentification de Yahoo ou de Gmail.
Les utilisateurs, peu méfiants, ont saisi leurs adresses et mots de passe ainsi que le code d’authentification. Les cybercriminels disposent désormais des informations pour accéder aux comptes de leurs victimes.
La plateforme Reddit a également subi une attaque du même type. Les hackers ont réussi à dérober les codes d’authentification par SMS des employés du réseau social. Heureusement, les malfaiteurs n’ont pas pu voler les données.
Quelques années plus tard, les hackers ont amélioré leur méthode et lancent de vastes campagnes de spear-phishing, visant cette fois les entreprises. D’après Microsoft, plus de 10 000 entreprises ont été prises pour cible de ces attaques entre septembre 2021 et janvier 2022.
Ces événements reposent la question de l’utilité du two factor authentication. D’après le rapport de Sophos, la méthode n’est pas si populaire auprès des internautes. Dans le cas de Gmail par exemple, le taux d’adoption se situait à 10% sept ans après sa mise en service. L’enquête révèle que les utilisateurs boudent le 2FA à cause de son manque de praticité.
Néanmoins, le two factor authentication reste une méthode plus fiable comparée à un simple mot de passe. Pour augmenter le niveau de sécurité, l’utilisateur peut toujours passer à l’authentification multifacteurs.