Cela fait quelques temps que le sacro-saint mot de passe complexe (avec des Majuscules, minuscules, Chiffres et caractères spéciaux), renouvelé périodiquement, a perdu ses lettres de noblesse. En effet il cumule des désavantages certains (mémorisation, ergonomie, expiration, …) et une sécurité discutable. Néanmoins d’autres solutions existent et notamment l’authentification multi-facteur (MFA). Celle-ci consiste à cumuler simultanément plusieurs moyens d’authentification, tous nécessaires, pour accéder à la ressource désirée. Ainsi, même si le premier secret est éventé ou perdu le deuxième facteur protège toujours le contenu ciblé.
Il est d’usage pour mettre en place une authentification dite « forte » de cumuler au moins 2 facteurs de différentes natures (sinon l’authentification est dite « renforcée »).
Ceux-ci peuvent être de type :
• Ce que je sais (mot de passe ou code PIN) ;
• Ce que je possède (Carte à puce, clef USB, téléphone, Passeport, …) ;
• Ce que je suis (Eléments biométriques : Empreintes digitales, reconnaissance faciale, iris, …) ;
• Ce que je sais faire (Signature, Comportement, …).
Il peut parfois y être ajouté des éléments de contexte de type localisation, plage horaire, etc.
L’authentification multi-facteur se présente habituellement sous la forme d’un code PIN associé à :
• Une carte à puce ;
• Une calculette physique ;
• Un mail ou SMS ;
• Une application mobile installée sur un smartphone ou tablette ;
• Une empreinte digitale ;
• etc.
Chacune de ces solutions sont soumise à un processus d’enrôlement préalable afin d’attribuer un facteur « ce que je possède » unique à chaque utilisateur. Durant ce processus le token est parfois initialisé avec une seed (« graine ») unique qui permettra à la solution d’authentification de vérifier l’authenticité du facteur utilisé.
Malheureusement l’ensemble de ces implémentations « classiques » de l’authentification multi-facteurs repose donc sur la mise à disposition des utilisateurs de matériel spécifique, souvent coûteux, avec toutes les contraintes logistiques liées (Cartes à puces, Calculettes, Smartphones professionnels, Lecteurs d’empreintes,…). Nos clients sont donc de plus en plus nombreux à nous demander de les conseiller dans la mise en place de moyens d’authentification multi-facteurs alternatifs.
Quelles sont ces alternatives ?
Le principal frein rencontré par nos clients repose essentiellement sur l’impossibilité (question de coûts, de complexité, …) de fournir à chacun de leurs utilisateurs le matériel nécessaire à la réalisation d’authentification multi-facteur. Il convient donc d’étudier les solutions alternatives ne nécessitant la distribution d’aucun périphérique tiers (pas de carte à puce, smartphone, …) et permettant de décentraliser aux maximum l’étape d’initialisation/distribution des hard tokens.
Certains fournisseurs mettent à disposition de leurs clients, en complément de leur offre classique (cf. ci-dessus), de simples exécutables à lancer directement depuis le poste de travail de l’utilisateur ou depuis une clef USB. Ceux-ci sont souvent de simples générateurs d’OTP (« One Time Passwords »), peu ergonomiques, qui nécessitent de recopier manuellement un code entre la fenêtre de l’exécutable et celle de l’application accédée.
De nouvelles solutions, plus pratiques, améliorant l’expérience utilisateur, existent.
Celles-ci sont aussi bien de type « soft token » que « hard token » et peuvent prendre la forme :
1. De solutions MFA installées directement sur le poste de travail, qui suppriment la nécessité d’un périphérique tiers tout en assurant par des moyens cryptographiques que l’utilisateur est bien en possession d’un ordinateur ou navigateur web pré-enrôlé ( exemples : Windows Hello, carte à puce virtuelle TPM, etc.). Celles-ci, quoique toujours assimilables à des exécutables installés sur le poste de travail, intègrent une intelligence permettant de rendre leur utilisation presque transparente pour l’utilisateur final. Certaines, comme celle d’Inwebo, peuvent même aller jusqu’à proposer une expérience utilisateur identique à l’habituel login/mot de passe.
2. De solutions MFA « Hard tokens » low cost (yubico, Feitian, Neowave, …), sous forme de clef usb. Ces solutions réduisent les coûts d’achat, d’éventuelle mise en place d’infrastructure (PKI) et la charge d’initialisation des jetons distribués mais améliorent aussi l’expérience utilisateur en supprimant la nécessité de mots de passe complexe tout en dispensant de recopier manuellement un OTP entre plusieurs fenêtres.
Des alternatives fiables et novatrices aux moyens d’authentification multi-facteurs classiques existent. Elles ont généralement l’avantage de proposer des coûts réduits et de s’affranchir de la nécessiter d’initialiser les token « physiques » en central. Ces solutions ne sont pas magiques et ne sont pas adaptées à n’importe quel contexte. Il convient, comme dans n’importe quel projet IAM, d’étudier et de sélectionner avec attention sa solution de MFA alternative avant de se lancer !
