AUTHENTIFICATION MULTIFACTEUR : LES MEILLEURES … · • Comment choisir les bons mécanismes de MFA pour votre environnement. • Comment appliquer un modèle de MFA renforcée

AUTHENTIFICATION MULTIFACTEUR : LES

MEILLEURES PRATIQUES POUR SÉCURISER L’ENTREPRISE

NUMÉRIQUE MODERNEDes mots de passe et de l’authentification classique à deux facteurs vers une MFA contextuelle pour plus d’économies,

de convivialité et de sécurité

LIVRE BLANC

LIVRE BLANC

2

Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne

SOMMAIRE

RÉSUMÉ

TOUR D’HORIZON DE L’AUTHENTIFICATION

CHOISIR LES BONS MÉCANISMES DE MFA RENFORCÉE

APPLIQUER UN MODÈLE DE MFA RENFORCÉE BASÉ SUR LE RISQUE

MEILLEURES PRATIQUES EN MATIÈRE DE MFA RENFORCÉE

CONCLUSION

03

04

07

07

09

14

LIVRE BLANC

3Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne

L’utilisation frauduleuse d’identifiants constitue toujours un risque de faille majeur dans les entreprises. Rien d’étonnant quand on connaît le nombre de structures qui se contentent encore des mots de passe comme seul facteur d’authentification de leurs utilisateurs. Certaines auront adopté l’authentification à deux facteurs classique (2FA), mais le recours à des jetons matériels détériore l’expérience utilisateur et nuit à son adoption, sans compter qu’elle coûte très cher. Un modèle d’authentification plus sécurisé, plus convivial et plus rentable s’impose. Ce document fait le point sur l’authentification multifacteur renforcée et vous dit pourquoi elle est préférable aux autres méthodes.

L’authentification multifacteur (MFA) renforcée est un modèle d’authentification dynamique, où l’utilisateur – qu’il s’agisse d’un client ou d’un employé – doit se soumettre, le cas échéant, à des étapes d’authentification supplémentaires, selon la politique définie. Exemples types de MFA renforcée :

• Un client s’est connecté à un site bancaire via son mot de passe et souhaite maintenant transférer de l’argent. L’application mobile de la banque envoie une notification push sur l’appareil précédemment considéré comme fiable du client afin de fournir l’assurance supplémentaire requise.

• Une cadre, qui essaie d’acheter un cadeau pour son enfant alors qu’elle est en déplacement en Afrique, doit s’authentifier sur son iPhone avec son empreinte digitale pour autoriser la transaction.

• Un parent d’adolescent reçoit une notification lui demandant d’approuver une nouvelle chaîne qui a été ajoutée au bouquet de télévision par câble de la famille.

• Une cliente qui vient de s’inscrire sur un site d’e-commerce depuis son iPad à domicile n’est soumise à aucune étape d’authentification visible jusqu’à ce qu’elle doive modifier ses paramètres.

• Un employé tente d’accéder à une application SaaS native depuis son bureau. Comme il est sur le réseau de l’entreprise, il n’a aucune démarche d’authentification supplémentaire à effectuer.

• Une cliente souhaite relier un thermostat intelligent qu’elle vient d’acheter au compte de sa plateforme domotique. Alors qu’elle utilise une application sur son téléphone Android pour configurer les données d’identification sur le thermostat, elle reçoit une notification lui indiquant que le thermostat est en cours d’installation et qu’elle doit approuver cette opération sensible.

Ce livre blanc répertorie les meilleures pratiques en matière de MFA renforcée pour tous les types de déploiement, privés ou professionnels. Il examine l’approche basée sur le risque qui associe l’authentification renforcée dynamique à des mécanismes contextuels passifs, tels que la géolocalisation et l’heure de la journée. L’approche basée sur le risque permet une évaluation globale des utilisateurs, de leur environnement informatique et de la nature de l’opération qu’ils veulent effectuer, dans le but d’appliquer le degré d’authentification et d’autorisation adapté.

Quelques avantages de l’approche de MFA renforcée basée sur le risque :

• Elle offre une expérience utilisateur optimale en exigeant le niveau minimum d’authentification acceptable pour une opération donnée.

• Si les mécanismes d’assurance de niveau supérieur ont un coût par utilisation, les modèles basés sur le risque sont économiques dans la mesure où les options chères ne sont utilisées qu’en cas de nécessité.

• Elle améliore la détection des fraudes par rapport aux règles binaires classiques.

• Elle crée une architecture flexible et durable, capable de s’adapter aux nouvelles technologies et types de données.

Ce livre blanc vous apprend :

• Tout ce qu’il faut savoir sur l’authentification, de la terminologie aux mécanismes, en passant par les signaux.

• Comment choisir les bons mécanismes de MFA pour votre environnement.

• Comment appliquer un modèle de MFA renforcée basé sur le risque.

• Les meilleures pratiques en matière de MFA renforcée : analyse du risque, choix des facteurs d’authentification, confidentialité, verrouillage, inscription, consentement des utilisateurs, suspension, contournement, self-service, applications natives, première authentification et différents points de contact/canaux.

RÉSUMÉ

LIVRE BLANC


On a coutume de classer les mécanismes d’authentification selon qu’ils sont :1. Quelque chose que vous connaissez (par exemple un mot de passe ou un code PIN).2. Quelque chose que vous possédez (par exemple un appareil mobile ou un jeton).3. Quelque chose que vous êtes (par exemple une empreinte digitale ou autres données biométriques).

En théorie, l’authentification multifacteur (MFA) va au-delà de l’authentification à deux facteurs (2FA) dans la mesure où elle exige d’un utilisateur qu’il s’authentifie par deux facteurs ou plus (par ex. un « quelque chose que vous connaissez » associé à un « quelque chose que vous possédez »), comme illustré à la figure 1. En pratique, toutefois, on peut aussi combiner plusieurs facteurs d’un même type, pour autant que la compromission d’un facteur n’entraîne pas la compromission de l’autre.

En général, la combinaison de plusieurs facteurs d’authentification se traduit par un niveau d’assurance (LoA) supérieur que l’individu qui tente de s’authentifier est réellement l’individu en question. Parce que même si l’un des facteurs a été compromis, les risques que l’autre facteur le soit aussi sont faibles.

Les mécanismes d’authentification peuvent également être distingués selon qu’ils utilisent le même canal emprunté par l’utilisateur pour accéder à l’application ou un canal séparé, dédié à l’authentification.

Avant d’examiner les mécanismes d'authentification dans le détail, commençons par définir la terminologie que nous emploierons tout au long de ce livre blanc.

TERMINOLOGIE D’AUTHENTIFICATIONDans le monde de l’authentification, on manipule de nombreux termes (parfois contradictoires) pour décrire les modèles d’authentification. Ce livre blanc repose sur les définitions suivantes :

• Authentification : procédure permettant de vérifier qu’une identité revendiquée est authentique et repose sur des identifiants corrects.

• Identifiant : information accessible par l’utilisateur (qu’il « a » ou qu’il « connaît »), utilisée dans un protocole d’authentification. Avant de pouvoir servir à l’authentification de l’utilisateur, elle doit avoir été associée ou reliée à cet utilisateur.

• Identification : procédure par laquelle les informations relatives à une personne sont rassemblées et utilisées pour fournir un certain niveau d’assurance que la personne est bien celle qu’elle prétend être.

• Vérificationd’identité : étape faisant partie de la procédure d’inscription, qui permet de vérifier l’identité d’un client avant qu’il ne reçoive un compte et des identifiants.

• Niveaud’assurance(LoA,pourLevelofAssurance) :indique le degré de certitude qu’un individu est bien celui qu’il prétend être lorsqu’il doit saisir des identifiants numériques. Le LoA est déterminé par la qualité de la phase de contrôle, de vérification et d’accréditation de l’identité, ainsi que par la qualité de la procédure d’authentification en elle-même, c’est-à-dire la qualité/le type d’identifiant utilisé et la robustesse du mécanisme d’authentification. Les modèles de LoA définissent habituellement environ quatre catégories différentes, chacune avec des exigences spécifiques concernant la vérification d’identité et les éléments du/des mécanisme(s) d’authentification.

• Authentificationmultifacteur(MFA) : indique l’utilisation de deux identifiants ou plus pour l’authentification de l’utilisateur. Généralement, le recours à plusieurs facteurs/identifiants entraîne un LoA supérieur concernant l’utilisateur. L’authentification à deux facteurs (2FA) est un exemple de MFA qui fait appel à deux identifiants différents.

• Inscription : procédure au cours de laquelle l’utilisateur est relié à ses identifiants et données d’identité, et où un identifiant est attribué à l’utilisateur.

TOUR D’HORIZON DE L’AUTHENTIFICATION

Figure 1 : la MFA oblige les utilisateurs à s’identifier par le biais de deux catégories

d’authentification ou plus.

JE SAIS

MFA

MFA

MFAMFA

J’AI JE SUIS

Mots de passe, PIN, auth. par connaissance

Empreinte digitale, rétine, voix, visage

Bracelet, porte-clé électronique,

tél. mobile

LIVRE BLANC

5

Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne

MÉCANISMES D’AUTHENTIFICATIONPenchons-nous à présent sur les différents mécanismes d’authentification qui peuvent constituer une architecture de MFA renforcée. Certains mécanismes d’authentification exigent une opération explicite de la part de l’utilisateur, d’autres se contentent d’une collecte passive (plus conviviale).

MOTSDEPASSEUn mot de passe est un secret partagé, connu de l’utilisateur et présenté par ce dernier au serveur pour s’authentifier. À l’heure actuelle, les mots de passe sont le mécanisme d’authentification par défaut sur le Web. Pourtant, à eux seuls, ils ne constituent pas une solution acceptable du fait de leur manque de convivialité ainsi que de leur vulnérabilité aux failles à grande échelle et aux attaques de phishing.

JETONSMATÉRIELSCe sont de petits équipements matériels que le détenteur porte sur lui pour autoriser l’accès à un service du réseau. L’appareil peut avoir la forme d’une carte à puce ou être intégré à un objet facile à transporter comme un porte-clé ou une clé USB. L’appareil contient lui-même un algorithme (une horloge ou un compteur), ainsi qu’un enregistrement seed utilisé pour calculer le nombre pseudo-aléatoire que les utilisateurs doivent saisir pour prouver qu’ils ont le jeton. Le serveur qui authentifie l’utilisateur doit aussi avoir une copie de chaque enregistrement seed de l’appareil, de l’algorithme utilisé et de l’heure exacte.

Une nouvelle forme de jetons matériels a vu le jour. De petits jetons sont insérés dans l’emplacement USB de l’ordinateur. Lorsque l’utilisateur a besoin de s’authentifier, il appuie sur une touche de l’appareil, ce qui génère un mot de passe à usage unique (OTP) et l’envoie au serveur comme si l’utilisateur l’avait entré lui-même.

JETONSLOGICIELSIl s’agit d’applications de jetons de sécurité de base logicielle, fonctionnant généralement sur un smartphone, qui génèrent un OTP de connexion. Les jetons logiciels présentent de grands avantages par rapport aux jetons matériels. Les utilisateurs risquent moins d’oublier leur smartphone chez eux que de perdre un jeton matériel servant uniquement pour les mots de passe. S’ils perdent leur téléphone, les utilisateurs auront plus tendance à signaler la perte et le jeton logiciel sera désactivé. Les jetons logiciels sont également plus faciles à distribuer et moins chers que les jetons matériels, qui doivent être livrés.

AUTHENTIFICATIONMOBILELes jetons logiciels se servent de la capacité des téléphones mobiles à générer des mots de passe à usage unique et profitent, le cas échéant, de leur réseau de communication. Un utilisateur peut prouver qu’il est en possession de son téléphone (qui aura été associé à cet utilisateur) en recevant un message envoyé à cet appareil. Un OTP peut être envoyé par SMS (pour être ensuite saisi par l’utilisateur sur un écran d’inscription). Une application peut aussi recevoir une demande d’authentification par le biais des services de notification du système d’exploitation mobile. Ou encore, le téléphone peut recevoir un appel. Une application mobile fournit des éléments de contexte utiles, permettant d’expliquer à l’utilisateur pourquoi il doit s’authentifier et ce qu’il peut autoriser implicitement ou explicitement. Il y a une grande différence entre « vous connecter à votre compte » et « vider votre compte ».

Si l’option de mot de passe à usage unique par SMS présente l’avantage de ne pas nécessiter de smartphone moderne prenant en charge les applications mobiles, elle a aussi de nombreux inconvénients :

• Le National Institute of Standards and Technology (NIST) considère les SMS comme un deuxième facteur moins sûr qu’on ne le pensait.

• Ils n’ont jamais été conçus dans une optique de sécurité.

• Ils s’appuient sur les pratiques des opérateurs en matière de portage de numéro, entre autres.

• Ils ne protègent pas contre le phishing, même si les agresseurs doivent agir en temps réel.

• Ils n’offrent pas la garantie de livraison nécessaire en matière d’authentification. Un retard de quelques minutes peut, de fait, entraîner le verrouillage du compte d’un client.

AUTHENTIFICATIONBIOMÉTRIQUEL’authentification biométrique s’appuie sur différentes technologies, parmi lesquelles les scans de la rétine, de l’iris, de l’empreinte digitale ou des veines du doigt, la reconnaissance faciale et vocale, ou encore la géométrie de la main voire du lobe de l’oreille. Les appareils mobiles peuvent permettre l’utilisation de la méthode privilégiée, le modèle biométrique pouvant être enregistré sur l’appareil lui-même au lieu d’un serveur. Les téléphones les plus récents intègrent d’ores et déjà la biométrie, à l’instar du TouchID sur l’iPhone. Les facteurs biométriques peuvent exiger une action explicite de la part de l’utilisateur (par ex. faire glisser un doigt) ou être implicites (par ex. analyser la voix de l’utilisateur alors qu’il est en communication avec l’assistance).

LIVRE BLANC


L’Alliance FIDO définit une architecture standardisée permettant de transmettre l’authentification locale d’un utilisateur sur un appareil (ordinateur portable, téléphone, etc.) à un serveur. Lorsque l’authentification locale est biométrique (par ex. le scan de l’empreinte digitale par un capteur de téléphone ou la reconnaissance faciale), l’avantage de la technologie FIDO est que le modèle biométrique n’a pas besoin d’être enregistré sur le serveur, ce qui présenterait des risques de confidentialité.

IDENTIFICATIOND’APPAREILL’identification d’appareil est une procédure selon laquelle une empreinte digitale plus ou moins unique est créée pour l’appareil en question. Petit à petit, cette empreinte permet au serveur d’authentification de reconnaître l’appareil et de voir quand l’utilisateur qui lui est associé tente de s’authentifier depuis un autre appareil, ce qui pourrait être un signe d’activité frauduleuse. Les solutions d’identification d’appareil créent une empreinte digitale sur la base de caractéristiques telles que la géolocalisation, la version du système d’exploitation, le navigateur ou d’autres données spécifiques à l’appareil. Le mécanisme le plus simple d’identification d’appareil est un cookie à long terme, installé dans le navigateur mobile par le serveur d’authentification. Les applications d’identification d’appareil sont les plus indiquées pour les entreprises qui comptent un grand nombre d’utilisateurs devant accéder à des informations sensibles depuis Internet.

AUTHENTIFICATIONCONTEXTUELLECette procédure utilise des informations contextuelles – géolocalisation, adresse IP, heure de la journée ou identifiants d’appareil – pour déterminer le caractère authentique ou non d’une identité. Habituellement, le contexte actuel d’un utilisateur est comparé à un contexte enregistré précédemment en vue de pointer les incohérences et d’identifier une éventuelle fraude. Ces contrôles sont invisibles aux yeux de l’utilisateur autorisé, qui n’est donc pas dérangé dans son activité, mais ils peuvent constituer une barrière efficace en cas d’attaque. Visa, par exemple, s’appuie sur des mécanismes mobiles de confirmation du lieu qui déterminent l’emplacement du téléphone mobile d’un utilisateur afin de vérifier que celui-ci se trouve effectivement près du lieu où la carte de crédit est utilisée. Les risques de transaction frauduleuse sont plus importants si l’opération se déroule en un lieu qui n’est pas celui du téléphone. Il s’agit là d’un exemple d’utilisation du contexte du canal applicatif, et non du contexte d’un canal d’authentification spécifique, pour identifier une fraude potentielle.

Il existe beaucoup d’autres mécanismes d’authentification, dont les certificats X.509, qui conviennent davantage au monde de l’entreprise qu’aux clients, compte tenu des difficultés de déploiement et d’implémentation qu’ils comportent.

SIGNAUX D’AUTHENTIFICATIONL’authentification contextuelle suppose la collecte passive (en théorie) de toute une série de signaux concernant les utilisateurs et leur contexte. Ces signaux d’authentification peuvent être l’endroit où ils se trouvent (physiquement et sur un réseau), leur environnement informatique et les ressources auxquelles ils tentent d’accéder.

Les signaux peuvent être collectés par :

• Les pages Web sur lesquelles ils s’authentifient.

• Les appareils mobiles utilisés pour la MFA.

• Tout autre matériel sur le réseau.

• Des applications (ou les passerelles en amont).

• D'autres capteurs à proximité de l’utilisateur (appareils portatifs ou montres connectées, par ex.).

Une fois collectés et agrégés, ces signaux peuvent être analysés par l’infrastructure de risques et de politiques à la recherche de schémas anormaux, susceptibles d’indiquer une attaque ou un comportement frauduleux. Cette analyse peut être :

• Contextuelle : comparaison de la valeur d’un signal donné par rapport à une liste prédéfinie de valeurs autorisées ou rejetées (par ex. le refus de connexion pour toute adresse IP provenant d’Ouzbékistan).

• Comportementale : comparaison de la valeur d’un signal donné à la valeur attendue, en fonction d’un schéma préétabli (par ex., un employé voyage souvent en Ouzbékistan pour affaires, en toute légitimité, et est donc autorisé à se connecter par MFA, tandis que les autres employés n’ont pas le droit de se connecter depuis l’Ouzbékistan).

• Corrélative : comparaison de la valeur d’un signal donné à une autre valeur de signal collectée et recherche des incohérences entre les deux (par ex., d’après l’adresse IP de son ordinateur portable, un employé se trouve aux États-Unis, mais selon son téléphone mobile, il est au Canada).

LIVRE BLANC


CHOISIR LES BONS MÉCANISMESDE MFA RENFORCÉE

Comment choisir le bon mécanisme de MFA renforcée pour votre environnement ? Il vous faudra pour cela tenir compte des variables suivantes :

• Atouts :combien de faux positifs ? Combien de faux négatifs ?

• Avantagespourleserviceinformatique : la méthode d’authentification est-elle facile à déployer ? Demandera-t-elle des ressources supplémentaires ? Peut-elle fonctionner sur différents canaux (en ligne, téléphone, etc.) ?

• Avantagespourlesutilisateurs : la méthode d’authentification est-elle facile à utiliser ? Les utilisateurs finaux accepteront-ils la nouvelle procédure ? Peut-on partir du principe que les utilisateurs possèdent un appareil prenant en charge un certain mécanisme ? Fera-t-il peser une charge excessive sur les utilisateurs ? Les utilisateurs devront-ils s’inquiéter de la confidentialité de leurs données ?

• Avantagessectoriels : une méthode d’authentification présente-t-elle des aspects qui la rendent plus adaptée pour certains secteurs ou domaines fonctionnels ? Si, par exemple, des employés doivent porter des gants pour leur travail, la biométrie ne sera pas le meilleur choix.

• Coûtd’achatinitial : y a-t-il un coût par utilisateur qui augmentera à chaque nouvel ajout ? Quel est le coût de remplacement, tant pour l’appareil que pour la charge administrative associée ?

• Coûtdedéploiement : quels sont les coûts associés au déploiement du mécanisme d’authentification ? Nécessite-t-il l’acquisition de matériel ou d’un logiciel client ? Si tel est le cas, comment se passe la distribution aux clients et quels sont les coûts associés ?

APPLIQUER UN MODÈLE DE MFA RENFORCÉE BASÉ SUR LE RISQUE

Une authentification renforcée basée sur le risque présuppose l’évaluation dynamique du risque lié à une opération donnée en fonction des éléments suivants :

• Le statut actuel d’authentification de l’utilisateur.

• Le risque associé à la ressource en question.

• Le contexte de la requête ; le cas échéant, l’utilisateur peut être prié de s’authentifier avec un facteur supplémentaire si le résultat du calcul est en dessous du seuil.

Selon ce modèle, l’authentification renforcée est habituellement déclenchée par un contexte ou un comportement atypique et anormal (par ex. une connexion en provenance d’Ouzbékistan ou une tentative de transaction de plus de 100 000 dollars).

Comme illustré à la figure 2 sur la page suivante, un utilisateur doit, pour être autorisé à accéder à certaines ressources, s’authentifier avec un facteur donné – un mot de passe par exemple. Au moment de l’authentification, le système collecte également des signaux d’authentification et les contrôle. C’est seulement si ces contrôles détectent quelque chose d’inattendu ou d’anormal que l’utilisateur est prié de s’authentifier avec le deuxième facteur avant d’obtenir l’accès désiré.

LIVRE BLANC


Un des avantages majeurs de la MFA renforcée basée sur le risque réside dans le confort d’utilisation accru. L’utilisateur ne doit fournir un facteur d’authentification supplémentaire que si cela est nécessaire, d’après les contrôles contextuels passifs et non par défaut.

La figure 3 montre des copies d’écran d’une application mobile bancaire utilisant une forme de MFA renforcée. Certains éléments de l’application, comme les numéros de téléphone des agences, sont accessibles même aux utilisateurs non authentifiés. Mais lorsqu’un utilisateur tente d’accéder à un élément plus sensible, comme un transfert d’argent, il doit s’authentifier.

Notez qu’une banque britannique a rejeté le modèle d’authentification renforcé. À la place, elle a choisi d’authentifier ses clients avec le mécanisme LoA le plus élevé possible au début de leur session, indépendamment de l’opération prévue. La banque pensait que demander une authentification renforcée plus tard, uniquement suite à un changement dans le profil de risque, pourrait troubler ses clients. Elle a donc préféré opter pour un modèle plus simple.

Figure 3 : seuls les aspects sensibles d’une application bancaire, comme le transfert d’argent, déclenchent la MFA avec un modèle de renforcement basé sur le risque

DEMANDE D’ACCÈS

1er facteur OK ? Contexte OK ? Authentification avec 2ème facteur

2ème facteur OK ?Demande approuvée

Demande refusée

OUI NON

OUI

OUI

NON

NON

Figure 2 : la MFA renforcée basée sur le risque est déclenchée par un contexte ou un comportement atypique et anormal. Lorsque le contexte déterminé par le premier facteur d’authentification indique quelque

chose d’inattendu, un deuxième facteur d’authentification est demandé avant d’autoriser l’accès.

LIVRE BLANC


Ping Identity a compilé les meilleures pratiques suivantes en matière de MFA renforcée à partir des tendances du marché, d’entretiens avec des clients qui l’ont mise en place et de sa propre expérience et analyse.

ANALYSE DU RISQUEUn modèle d’authentification basé sur le risque suppose la détermination préalable du risque associé à différentes ressources et opérations d’une application. Le mémorandum M-04-04 du United States Office of Management and Budget (OMB) intitulé « E-Authentication Guidance for Federal Agencies », définit un modèle d’évaluation du risque qui peut être applicable à l’espace grand public :

Le risque découlant d’une erreur d’authentification dépend de deux facteurs :

1. Le risque de préjudice ou d’impact potentiel

2. La probabilité d’un tel préjudice ou impact

Il existe diverses catégories de préjudice et d’impact, notamment :

• Désagrément, difficultés, perte de crédit ou de réputation

• Perte financière ou engagement de la responsabilité publique

• Préjudice à l’égard de programmes gouvernementaux ou d’intérêts publics

• Publication non autorisée d’informations sensibles

• Sécurité personnelle

• Infractions civiles ou pénales

L’évaluation du risque doit être effectuée par les équipes de marketing, sécurité et conformité, qui doivent s’entendre sur le niveau de risque qu’elles sont prêtes à accepter. Une fois que les ressources ont été ainsi classifiées, on peut déterminer le niveau d’assurance (LoA) requis pour chaque catégorie de risque. Les facteurs et modèles d’authentification peuvent dès lors être choisis en fonction du niveau d’assurance auquel ils peuvent satisfaire.

Regardons un exemple d’analyse du risque. Une banque britannique a mis en place un modèle « ce que vous pouvez faire quand... ». Elle a suivi la logique suivante : « Lorsqu’il s’authentifie avec un ou plusieurs mécanisme(s), un utilisateur peut effectuer les opérations suivantes. » La banque a attribué des degrés de force (de 0 à 40) aux différents mécanismes d’authentification qu’elle a mis à la disposition de ses clients. Exemple :

• Un lecteur de carte physique associé à un code PIN générant un mot de passe à usage unique (OTP) a obtenu le degré de force 40.

• Une application mobile pouvant générer des OTP le degré 35.

• Un mot de passe se situait au degré 20.

À chaque degré de force correspond une liste d’opérations (consultation du solde, transfert de fonds, etc.) que le client est autorisé à réaliser une fois authentifié avec le mécanisme en question. Il existe d’autres méthodes d’analyse du risque, mais le critère essentiel est le rattachement de mécanismes d’authentification possibles à différentes ressources de l’application.

MEILLEURES PRATIQUES D’AUTHENTIFICATION MULTIFACTEUR RENFORCÉE

LIVRE BLANC


CHOIX DES FACTEURS D’AUTHENTIFICATIONOn ne peut pas se contenter d’une approche universelle. Un petit groupe d’utilisateurs accédant à des ressources sensibles ne nécessitera pas les mêmes facteurs d’authentification qu’un groupe plus important accédant à des ressources moins exposées. La troisième partie de ce livre blanc, « Choisir les bons mécanismes de MFA renforcée » peut vous aider à sélectionner les facteurs d’authentification adéquats.

Les entreprises doivent trouver l’équilibre entre convivialité, coût et sécurité afin d’améliorer l’expérience et éviter la désaffection de leurs utilisateurs. En termes d’expérience utilisateur, les facteurs d’authentification peuvent varier du tout au tout, d’invasif à totalement imperceptible. Un modèle basé sur le risque garantit que l’utilisateur est confronté à une authentification explicite uniquement lorsque cela est nécessaire, l’authentification contextuelle passive étant la règle par défaut.

Une solution de MFA flexible permet de passer facilement d’un mode à l’autre. Par exemple, si un téléphone mobile est hors ligne ou si l’utilisateur est en itinérance, le recours sera la génération d’un OTP. Vous améliorerez l’adoption parmi les utilisateurs, en particulier les clients, en proposant plusieurs options de mécanismes renforcés. Certains utilisateurs peuvent ne pas avoir de téléphone pour effectuer les mécanismes mobiles. D’autres mécanismes n’entreront peut-être pas en ligne de compte pour les utilisateurs handicapés. Enfin, il y a des utilisateurs qui sont simplement réticents aux nouvelles technologies.

La figure 4 montre le nombre de mécanismes de MFA pris en charge par Google. Ces mécanismes couvrent les différentes préférences et contraintes associées aux utilisateurs, et servent en outre d’alternative en cas d’indisponibilité du mode principal.

Figure 4 : Google prend en charge une vaste gamme de mécanismes de MFA principaux et de secours afin de tenir compte des préférences et des contraintes

de ses utilisateurs.

LIVRE BLANC


Les jetons matériels offrent davantage de sécurité par rapport aux jetons logiciels mobiles, mais les coûts associés, supérieurs, et le manque de convivialité les rendent moins attrayants.

Pour une application mobile grand public, il vaut mieux que les fonctionnalités de MFA soient intégrées à une application native que d’exiger du client qu’il télécharge une application d’authentification indépendante. Comme illustré à la figure 5, les utilisateurs de l’application Twitter peuvent activer ce qui est appelé la « validation en deux étapes » depuis l’application. Via l’application Twitter principale, les utilisateurs doivent approuver certaines opérations – par exemple une connexion à leur compte depuis un nouvel appareil.

Cela présuppose qu’une solution de MFA basée sur l’application mobile propose un SDK permettant d’intégrer cette fonctionnalité aux applications métier existantes.

CONFIDENTIALITÉDifférents mécanismes d’authentification nécessitent la collecte de différentes quantités d’informations utilisateur potentiellement sensibles. Par exemple, un modèle d’OTP par SMS requiert le numéro de téléphone des utilisateurs. Dès lors que des informations permettant d’identifier une personne sont collectées, le but de leur utilisation doit être expliqué aux utilisateurs. Les solutions d’identification d’appareil créent effectivement une empreinte digitale de l’appareil. Si elle est mal utilisée, cette empreinte peut permettre de suivre un client sur plusieurs applications. Les lois européennes sur la protection de la vie privée limitent la quantité d’informations qu’il est possible de collecter sur des utilisateurs. Par conséquent, dans certaines régions, les entreprises doivent autoriser les clients à refuser des applications d’identification d’appareil.

La protection de la vie privée des utilisateurs implique la mise à disposition de modèles de MFA avec consentement et de diverses options relatives au mécanisme de MFA. Laisser la flexibilité aux utilisateurs et leur permettre de contrôler leurs informations personnelles est primordial dans l’espace grand public, mais utile également au niveau entreprise. Habitués à des contrôles accrus de la confidentialité dans leur vie privée, les employés ne consentent plus passivement à des politiques de sécurité informatique désuètes.

VERROUILLAGELorsque vous bloquez l’accès d’un utilisateur à une application, vous faites inévitablement mauvaise impression. Cela peut avoir un impact financier négatif, par exemple lorsqu’un client ne peut pas terminer un achat. Cela peut aussi entraîner une perte de productivité ; quand les applications de travail d’un employé sont verrouillées, il ne peut plus accomplir sa tâche pendant un certain temps.

Le verrouillage doit rester le dernier recours. Il y a de meilleures options. Par exemple, si un utilisateur entre plusieurs fois un mot de passe incorrect, une démarche de MFA judicieuse consiste à l’aiguiller vers une procédure de réinitialisation du mot de passe, plutôt que de lui interdire directement l’accès à l’application. Par ailleurs, le modèle d’authentification continue rend la nécessité de recourir au verrouillage moins probable. Plus vous collectez et analysez de signaux d’authentification, moins une valeur atypique (qui pourrait justifier en soi un verrouillage) pèsera dans la balance.

INSCRIPTIONUn mécanisme d’authentification ne peut être fort que si la procédure d’inscription qui a émis les identifiants l’est aussi. Une procédure d’inscription rigoureuse qui lie étroitement les identifiants à un seul utilisateur est obligatoire.

Pour les systèmes reposant sur une application mobile, l’affichage d’un code QR constitue un mécanisme puissant et utile pour le serveur d’authentification qui a déjà authentifié l’utilisateur avec le premier facteur (par ex. un mot de passe). La figure 6 montre un exemple de code QR apparaissant lors de la procédure d’inscription à PingID. L’utilisateur se sert de l’application préalablement téléchargée et installée (soit dédiée à l’authentification, soit intégrée à une autre application) pour scanner le code QR. Étant donné que le code QR mentionne l’identité du client, l’application est automatiquement liée à ce compte.

Figure 5 : Twitter intègre des fonctionnalités MFA à son

application mobile.

Figure 6 : l’application mobile PingID utilise un code QR durant la procédure

d’enregistrement de l’appareil.

LIVRE BLANC


CONSENTEMENT DE L’UTILISATEURFace à la diversité des groupes d’utilisateurs, il peut être difficile d’obliger tous les utilisateurs à se soumettre à la MFA renforcée. Certains peuvent ne pas avoir de téléphone capable de prendre en charge l’authentification par application mobile. D’autres seront réticents et mettront du temps à adopter une nouvelle technologie. La MFA renforcée doit être présentée comme un moyen de protéger les données clients plutôt que les informations d’une entreprise.

Il est important d’éduquer les clients sur l’intérêt de la MFA. Mais il peut être plus efficace de créer des incitations au consentement. Certains clients seront éventuellement plus convaincus de consentir à une MFA renforcée si elle promet des services améliorés. Par exemple, une banque américaine accroît les limites de transfert quotidiennes et hebdomadaires pour les clients qui adhèrent à son service de MFA. Google offre un bonus aux utilisateurs qui consentent à la MFA renforcée via un contrôle de sécurité, comme illustré à la figure 7.

Quant aux entreprises, où la MFA peut être obligatoire, on pourra organiser une transition graduelle, où les employés auront la possibilité de différer plusieurs fois ou pour une courte période l’inscription à la MFA.

SUSPENSION ET SOLUTIONS DE CONTOURNEMENTVous devez instaurer des procédures d’exception sécurisées et rigoureuses et des méthodes d’accès de secours pour les situations courantes comme l’oubli, la perte ou le vol d’identifiants de MFA.

Pensez à permettre aux utilisateurs de déroger à la MFA renforcée s’ils accèdent à l’application depuis un appareil connu et de confiance, sur lequel ils ont déjà effectué avec succès l’étape de MFA. Vous pouvez aussi appliquer une approche basée sur le risque à des appareils de confiance , ce qui vous évitera d’avoir à demander explicitement aux utilisateurs de déroger à la MFA.

Google utilise ce modèle d’appareils de confiance afin de réduire à un minimum les demandes explicites d’authentification supplémentaire,comme illustré à la figure 8.

Pour les appareils perdus ou volés, instaurez une procédure permettant aux utilisateurs d’accéder en toute sécurité à l’application ou de s’inscrire sur un nouvel appareil. Mécanismes de récupération possibles :

• Envoi d’un e-mail de réinitialisation à l’adresse enregistrée

• Réponses à base de connaissances

• Codes de récupération imprimés (qui supposent que les utilisateurs les stockent dans des conditions sûres et se souviennent de l’endroit en question)

Parmi les procédures de récupération non sécurisées, il y a les questions posées auxquelles ont peut facilement répondre avec quelques recherches sur Google ou Facebook, par exemple « Où es-tu allé(e) à l’école ? »

SELF-SERVICEDonner aux utilisateurs la possibilité de gérer eux-mêmes leurs mécanismes de MFA et leurs appareils peut générer d’importants gains d’efficacité. Les mécanismes de MFA en self-service peuvent être utiles à des moments tels que l’inscription, la récupération et la révocation, et limiter les besoins en interventions administratives coûteuses. Les mécanismes en self-service peuvent aussi donner aux utilisateurs davantage de contrôle et de visibilité sur leurs informations d’authentification, ce qui peut améliorer la confidentialité dans son ensemble.

Figure 7 : Google créedes incitations à consentir à la

MFA renforcée.

Figure 8 : Google utilise le modèle d’appareil de confiancecomme un moyen de contourner la MFA.

LIVRE BLANC


APPLICATIONS NATIVESLa meilleure pratique d’authentification des utilisateurs d’applications natives consiste à utiliser OAuth 2.0 ou OpenID Connect 1.0. Lors de la première installation de l’application native (ou peu après), celle-ci ouvre une fenêtre du navigateur (pas un affichage Web) et charge la page de connexion sur le serveur correspondant. Après authentification, les jetons sont renvoyés à l’application native pour un usage ultérieur lors d’appels de l’API concernée.

Au moment où le jeton est émis, le fournisseur peut choisir de renforcer la MFA. Selon la nature de l’application native, des règles peuvent imposer la MFA dès l’installation et la configuration initiales. L’authentification devant se faire dans une fenêtre de navigateur, et non dans l’interface utilisateur de l’application, il est possible d’exploiter la même page de connexion (et la même politique et architecture d’authentification renforcée) mise en place pour une application Web normale.

Par le biais de ce qu’on appelle des « jetons de rafraîchissement », OAuth permet d’assurer une session à long terme pour les applications natives. Autrement dit, les utilisateurs n’auront pas à se connecter explicitement sur de longues périodes. En cas d’utilisation de tels jetons de rafraîchissement longue durée, l’ajout de la MFA à la procédure de connexion peut aider à relier plus étroitement l’application native au bon utilisateur et à limiter ainsi le risque lié aux jetons à longue vie.

Il est également possible de mettre en place un modèle de MFA renforcée pour les applications natives. Lorsque l’application présente un jeton suite à une demande pour une fonction particulière, l’API peut évaluer le LoA associé à ce jeton et, s’il est insuffisant, refuser la demande et répondre à l’application qu’il faut un nouveau jeton (avec un LoA plus important). L’application renvoie cette exigence à la page de connexion, qui déclenche le flux d’authentification renforcée adéquat.

De plus, l’API peut collecter des informations contextuelles similaires (par ex. l’adresse IP, l’heure de la journée, le comportement de l’application) et en alimenter le moteur de risques.

PREMIÈRE AUTHENTIFICATIONSi la MFA limite certains des problèmes de sécurité inhérents aux mots de passe, ceux-ci resteront vraisemblablement dans l’immédiat le premier facteur d’authentification par défaut, autrement dit le premier identifiant que l’utilisateur présente au serveur d’authentification. Dans la configuration actuelle, les utilisateurs sont habituellement priés de fournir les deux sur un même écran.

À l’avenir, cependant, le premier identifiant demandé par le serveur d’authentification pourrait ne plus être le mot de passe. Le contexte ou un autre mécanisme pourraient être suffisants, ce qui annulerait le besoin d’avoir un mot de passe. Les entreprises auraient tout à gagner d’envisager une conception qui anticipe ce futur. C’est exactement ce que fait Google. Comme le montre la figure 9, Google a enlevé la demande de nom d’utilisateur et mot de passe de sa page de connexion en mai 2015.

La distinction entre la manière que les utilisateurs ont de s’identifier à Google (comme on le voit à gauche de la figure 9) et de s’authentifier (à droite) offre une plus grande flexibilité pour les schémas d’authentification futurs. Lorsque Google instaurera de nouvelles méthodes d’authentification au-delà des mots de passe, la première page d’identification n’aura pas besoin de changer. De plus, la logique d’authentification se situant derrière la première page, elle permet de choisir la méthode d’authentification appropriée pour une combinaison d’utilisateur et de contexte donnée.

Figure 9 : anticipant un futur où le mot de passe ne sera peut-être plus le premier identifiant demandé par un serveur d’authentification, Google a séparé la demande de nom d’utilisateur et mot de passe de sa page de connexion.

#3001 | 06.2017 | v00c

14

À PROPOS DE PING IDENTITY : Ping Identity assure à chaque utilisateur un accès fluide et sécurisé à toutes les applications de l’entreprise numérique, ouverte et hyperconnectée, instaurant ainsi une nouvelle dimension de liberté numérique. Ping Identity protège plus d’un milliard d’identités de par le monde. Plus de la moitié des entreprises classées au Fortune 100, dont Boeing, Cisco, GE, Kraft Foods, TIAA-CREF et Walgreens, font confiance à Ping Identity pour résoudre les nouveaux défis de sécurité générés par l’utilisation des technologies cloud, mobile, API et Internet des objets. Consultez pingidentity.com.

PLUSIEURS POINTS DE CONTACT/CANAUXSi une entreprise offre plusieurs canaux permettant aux clients d’interagir avec les ressources et les données d’une application – par exemple le Web, des applications mobiles, la téléphonie ou encore des emplacements physiques – le choix de la MFA peut différer d’un canal à l’autre.

Par exemple, une banque américaine utilise l’authentification biométrique vocale passive pour son canal téléphonique. Dans la même idée, la banque canadienne Manulife a annoncé récemment une mise à jour vers son système de réponse vocale interactive (IVR) avec le déploiement de la compréhension du langage naturel (NLU) et de technologies de biométrie vocale passives.

CONCLUSIONIl ne fait aucun doute que les entreprises doivent évoluer et améliorer les modes d’authentification de leurs utilisateurs, au-delà des limites des mots de passe et de l’authentification classique à deux facteurs. La MFA est meilleure, mais la bonne approche pour les entreprises consiste à utiliser des données contextuelles pour renforcer dynamiquement l’authentification.

Aujourd’hui, l’authentification contextuelle est perçue comme un complément aux facteurs d’authentification actifs et explicites. Mais à l’avenir, selon Ping Identity, l’authentification contextuelle sera la norme, l’authentification explicite devenant moins fréquente. Une architecture d’authentification basée sur le risque associe la MFA renforcée à l’authentification contextuelle passive pour un maximum d’efficacité, de convivialité et de sécurité.

Ping Identity recommande les cinq meilleures pratiques suivantes en matière de MFA renforcée :

• La MFA renforcée doit être complétée par une authentification contextuelle passive.

• Une approche basée sur le risque, reposant sur les opérations demandées et des indicateurs contextuels, doit être mise en place afin de déterminer quand il convient d’exiger une MFA renforcée.

• La MFA renforcée doit rester optionnelle pour la majorité des scénarios clients. Les clients doivent être encouragés à consentir au renforcement de la MFA en en vantant les avantages et en créant des incitations à consentir. Les risques associés au non-consentement de clients à la MFA renforcée doivent être compensés pas d’autres mécanismes.

• Les employés doivent avoir le choix et des options concernant leurs mécanismes d’authentification. Si des employés dérogent à des modes d’authentification actifs améliorés, les entreprises doivent y remédier par des modes passifs.

• Il est recommandé de prendre en charge un éventail d’options de MFA afin de répondre aux besoins de différentes catégories d’utilisateurs – par exemple des utilisateurs présentant un handicap ou moins avertis sur le plan technique.

Pour plus d’informations, rendez-vous sur www.pingidentity.fr.

Documents

AUTHENTIFICATION MULTIFACTEUR : LES MEILLEURES … · • Comment choisir les bons mécanismes de MFA pour votre environnement. • Comment appliquer un modèle de MFA renforcée