Authentification multifacteur, double authentification et authentification forte : quelles différences ?

Voici quelques définitions de quelques concepts souvent mal compris mais pourtant très importants à bien distinguer. MFA, 2FA, identification, authentification, authentification forte, comprenez enfin de quoi il s’agit.

 

Les 3 types d’authentification

Il existe trois grandes familles de facteur d’authentification :

• Le facteur de connaissance (ce que je sais et que je suis le seul à connaître) : mots de passe, codes PIN, questions secrètes.
• Le facteur inhérent (ce que je suis) : empreinte digitale, reconnaissance faciale ou vocale, mais aussi des dispositifs plus élaborés comme l’empreinte palmaire, la reconnaissance de l’iris, de l’haleine, l’ADN, le réseau de veines, certains comportements comme la façon de taper sur un clavier… Tous ces éléments sont des marqueurs biologiques et sont donc uniques pour chaque individu sur Terre.
• Le facteur de possession (ce que je détiens) : téléphone (SMS ou appli), carte à puce, certificat, clé…

 

Identification vs. Authentification L’identification consiste à reconnaître un individu unique par son état civil (nom, prénom, date de naissance, nationalité, etc.). Présenter une carte d’identité ou un passeport permet d’être identifié. L’authentification est le fait de vérifier la légitimité d’une personne ou d’un système à accéder à une ressource. Selon le contexte, il sera nécessaire ou non de s’identifier pour être authentifié. Pour ouvrir un compte en banque, vous devrez être identifié, mais pour accéder à l’espace client d’un site de e-commerce, votre identité ne sera pas exigée. Autrement dit, ne pas confondre identifiant avec identité.

 

L’authentification multifacteur (MFA ou 2FA)

L’authentification multifacteur (MFA) est le fait de demander plusieurs preuves d’authentification pour renforcer la sécurité en cas de compromission de l’un des facteurs. Quand seulement 2 preuves sont utilisées on parle aussi de 2FA (2-Factor Authentification en anglais).  

Les 2 preuves peuvent appartenir ou non à la même catégorie d’authentification. Évidemment, l’idée est plutôt d’utiliser des  facteurs de catégories différentes car chaque facteur est vulnérable ou résistant à des typologies d’attaque différentes.

Typiquement, un facteur de connaissance et un facteur de possession seront combinés. Par exemple possession d’une carte bleue + connaissance d’un code PIN, ou connaissance d’un mot de passe + possession d’une ligne téléphonique pour recevoir un SMS.

 

L’authentification forte

Il ne faut pas confondre l’authentification forte avec l’authentification multifacteurs. La notion d’authentification forte correspond à un système souvent à base de cryptographie et qui répond à certains critères de sécurité bien précis définis par l’ANSSI ainsi  :

• • résistance aux attaques par écoute qui consistent pour un attaquant à passivement écouter ou observer le canal de communication entre le prouveur et le vérifieur : par exemple un code PIN d’immeuble n’est pas résistant à ce type d’attaque car quelqu’un qui vous observe peut voir le secret que vous tapez et rentrer dans l’immeuble. La plupart des systèmes d’authentification à base de facteur de connaissance, comme le mot de passe, ne résistent pas aux attaques par écoute et sont donc des systèmes d’authentification faibles.
  • résistance aux attaques par rejeu qui consistent pour un attaquant à récupérer des informations d’authentification (comme un mot de passe ou l’empreinte) ou leurs dérivés (par exemple un hash) et à utiliser ces informations pour usurper l’identité de la cible.

• résistance aux attaques de l’homme du milieu qui consistent pour un attaquant à intercepter et modifier les communications se déroulant entre le prouveur et le vérifieur lors de l’authentification sans être détecté. Si quelqu’un vous appelle et vous dit qu’il est votre banquier pour vous demander votre mot de passe, rien ne vous empêche techniquement de le lui donner. Un système d’authentification forte vous empêcherait de divulguer votre secret à la mauvaise personne à votre insu

• non-forgeabilité : l’observation par un attaquant de plusieurs échanges d’authentification d’un prouveur ne doit pas lui permettre d’usurper son identité dans un nouvel échange d’authentification.

 

Les facteurs utilisés dans la MFA, bien que multiples, ne sont pas forcément considérés comme étant forts individuellement. L’exemple typique étant un mot de passe associé à un code temporaire reçu par SMS, une combinaison peu sécurisée, car très facile à pirater !

Un système d’authentification forte n’a en théorie pas besoin d’être multi-facteurs. En pratique, ces systèmes reposent le plus souvent sur un facteur de possession lui-même verrouillé par un mot de passe ou par biométrie pour qu’il ne soit pas compromis en cas de vol.

 

Le choix d’un type d’authentification doit se faire en rapport avec la criticité des données, du contexte dans lequel s’effectue l’authentification et des profils d’utilisateurs concernés. Ainsi, en 2021, l’ANSSI recommandait dans un grand nombre de cas de privilégier l’utilisation de l’authentification multifacteur, d’adapter la robustesse d’un mot de passe à son contexte d’utilisation et d’utiliser un coffre-fort de mots de passe.