Ce qu’il faut savoir quand on utilise la 2FA avec des sites web et des services
L’authentification à deux facteurs (2FA) est un type spécifique d’authentification multifactorielle (MFA) qui renforce la sécurité d’accès en exigeant deux méthodes (également appelées facteurs d’authentification) pour vérifier votre identité. Ces facteurs peuvent inclure quelque chose que vous connaissez – comme un nom d’utilisateur et un mot de passe – plus quelque chose que vous avez – comme une application pour smartphone – pour approuver les demandes d’authentification.
L’authentification à deux facteurs (2FA) protège contre le phishing, l’ingénierie sociale et les attaques par force brute de mot de passe et sécurise vos connexions contre les attaquants exploitant des informations d’identification faibles ou volées.
L’authentification à deux facteurs (2FA) est l’élément fondamental d’un modèle de sécurité à confiance zéro. Afin de protéger les données sensibles, vous devez vérifier que les utilisateurs qui tentent d’accéder à ces données sont bien ceux qu’ils prétendent être. La 2FA est un moyen efficace de se protéger contre de nombreuses menaces de sécurité qui ciblent les mots de passe et les comptes des utilisateurs, telles que le phishing, les attaques par force brute, l’exploitation des crédences et plus encore.
Disons que vous utilisez un nom d’utilisateur et un mot de passe pour compléter l’authentification primaire à une application. Cette information est envoyée sur Internet (votre réseau primaire). Vous voudrez utiliser un canal différent (hors bande) pour compléter votre deuxième facteur. L’approbation d’une notification push envoyée sur votre réseau mobile est un exemple d’authentification hors bande.
Quels sont les types de 2FA ?
SMS 2FA
L’authentification à deux facteurs par SMS valide l’identité d’un utilisateur en envoyant par SMS un code de sécurité à son appareil mobile. L’utilisateur entre ensuite le code dans le site web ou l’application auquel il s’authentifie.
TOTP 2FA
La méthode 2FA à mot de passe unique basé sur le temps (TOTP) génère une clé localement sur le dispositif auquel un utilisateur tente d’accéder. La clé de sécurité est généralement un code QR que l’utilisateur scanne avec son appareil mobile pour générer une série de chiffres. L’utilisateur saisit ensuite ces chiffres dans le site web ou l’application pour obtenir l’accès. Les codes d’accès générés par les authentificateurs expirent après un certain temps, et un nouveau code sera généré la prochaine fois que l’utilisateur se connectera à un compte. TOTP fait partie de l’architecture de sécurité Open Authentication (OAUTH).
Push-Based 2FA
Push-based 2FA améliore les SMS et TOTP 2FA en ajoutant des couches de sécurité supplémentaires, tout en améliorant la facilité d’utilisation pour les utilisateurs finaux. Le 2FA basé sur le push confirme l’identité d’un utilisateur avec plusieurs facteurs d’authentification que les autres méthodes ne peuvent pas. Duo Security est le principal fournisseur de 2FA basé sur le push.
Tokens U2F
Les jetons U2F sécurisent l’authentification à deux facteurs en utilisant un port USB physique pour valider l’emplacement et l’identité d’un utilisateur qui tente de se connecter. Pour utiliser un jeton U2F, l’utilisateur insère le jeton dans son appareil et appuie sur le bouton situé sur le dessus de l’appareil. Une fois le jeton activé, l’utilisateur saisit son code PIN et accède à ses comptes.
WebAuthn
Créée par l’Alliance FIDO (Fast IDentity Online) et le W3C, l’API d’authentification Web est une spécification qui permet l’enregistrement et l’authentification forte, par cryptographie à clé publique. WebAuthn (Web Authentication API) permet à des tiers comme Duo de puiser dans les authentificateurs biométriques intégrés aux ordinateurs portables et aux smartphones, ce qui permet aux utilisateurs de s’authentifier rapidement et avec les outils qu’ils ont déjà au bout des doigts.
Quelles sont les menaces auxquelles le 2FA répond ?
- Mots de passe volés
- Tentatives de phishing
- Ingénierie sociale
- Brute-.Force Attacks
- Broken Logic
- Key Logging
Vulnérabilités dans l’authentification à deux facteurs
Bypassing two-factor authentication
At times, la mise en œuvre de l’authentification à deux facteurs est défectueuse au point qu’elle peut être entièrement contournée.
Si l’utilisateur est d’abord invité à saisir un mot de passe, puis à saisir un code de vérification sur une page distincte, l’utilisateur est effectivement dans un état « connecté » avant d’avoir saisi le code de vérification. Dans ce cas, il est intéressant de tester si vous pouvez passer directement aux pages « connectées uniquement » après avoir effectué la première étape d’authentification. Occasionnellement, vous constaterez qu’un site Web ne vérifie pas réellement si vous avez terminé ou non la deuxième étape avant de charger la page.
Codes d’authentification à deux facteurs
Les codes de vérification sont généralement lus par l’utilisateur à partir d’un dispositif physique quelconque. De nombreux sites Web hautement sécurisés fournissent désormais aux utilisateurs un dispositif dédié à cet effet, comme le jeton RSA ou le dispositif à clavier que vous pourriez utiliser pour accéder à votre banque en ligne ou à votre ordinateur portable de travail. En plus d’être conçus pour la sécurité, ces dispositifs dédiés ont également l’avantage de générer directement le code de vérification. Il est également courant que les sites Web utilisent une application mobile dédiée, telle que Google Authenticator, pour la même raison.
D’autre part, certains sites Web envoient des codes de vérification au téléphone mobile d’un utilisateur sous forme de message texte. Bien qu’il s’agisse encore techniquement de vérifier le facteur « quelque chose que vous avez », cette méthode est ouverte aux abus. Tout d’abord, le code est transmis par SMS et non généré par l’appareil lui-même. Il est donc possible que le code soit intercepté. Il existe également un risque d’échange de cartes SIM, par lequel un attaquant obtient frauduleusement une carte SIM portant le numéro de téléphone de la victime. L’attaquant recevrait alors tous les SMS envoyés à la victime, y compris celui contenant son code de vérification.