MFA, 2FA, authentification forte : quelles différences ?
Définitions et explications de ces concepts fondamentaux.
Préambule : Les 3 familles d’authentification
Il existe trois grandes familles de facteur d’authentification :
- Le facteur de connaissance (ce que je sais et que je suis le seul à connaître) : mots de passe, codes PIN, questions secrètes.
- Le facteur inhérent (ce que je suis) : empreinte digitale, reconnaissance faciale ou vocale, mais aussi des dispositifs plus élaborés comme l’empreinte palmaire, la reconnaissance de l’iris, de l’haleine, l’ADN, le réseau de veines, certains comportements comme la façon de taper sur un clavier… Tous ces éléments sont des marqueurs biologiques et sont donc uniques pour chaque individu sur Terre.
- Le facteur de possession (ce que je détiens) : téléphone (SMS ou appli), carte à puce, certificat, clé…
Identification vs. Authentification
- L’identification consiste à reconnaître un individu unique par son état civil (nom, prénom, date de naissance, nationalité, etc.). Présenter une carte d’identité ou un passeport permet d’être identifié.
- L’authentification est le fait de vérifier la légitimité d’une personne ou d’un système à accéder à une ressource. Selon le contexte, il sera nécessaire ou non de s’identifier pour être authentifié. Pour ouvrir un compte en banque, vous devrez être identifié, mais pour accéder à l’espace client d’un site de e-commerce, votre identité ne sera pas exigée. Autrement dit, ne pas confondre identifiant avec identité.
L’authentification multifacteur (MFA ou 2FA)
L’authentification multifacteur (MFA) est le fait de demander plusieurs preuves d’authentification pour renforcer la sécurité en cas de compromission de l’un des facteurs. Quand seulement 2 preuves sont utilisées on parle aussi de 2FA (2-Factor Authentication en anglais).
Les 2 preuves doivent appartenir à des catégories différentes d’authentification (cf préambule). Lorsque deux preuves du même type sont demandées, on parle plutôt de double authentification. Par abus de langage, certaines personnes parlent de double authentification à la place d’authentification à deux facteurs qui est plus précis.
Typiquement, un facteur de connaissance et un facteur de possession seront combinés. Par exemple possession d’une carte bleue + connaissance d’un code PIN, ou connaissance d’un mot de passe + possession d’une ligne téléphonique pour recevoir un SMS.
L’authentification forte
Il ne faut pas confondre l’authentification forte avec l’authentification multifacteurs. La notion d’authentification forte correspond à un système souvent à base de cryptographie et qui répond à certains critères de sécurité bien précis définis par l’ANSSI ainsi :
- résistance aux attaques par écoute qui consistent pour un attaquant à passivement écouter ou observer le canal de communication entre le prouveur et le vérifieur : par exemple un code PIN d’immeuble n’est pas résistant à ce type d’attaque car quelqu’un qui vous observe peut voir le secret que vous tapez et rentrer dans l’immeuble. La plupart des systèmes d’authentification à base de facteur de connaissance, comme le mot de passe, ne résistent pas aux attaques par écoute (du moins pas sans l’utilisation d’un autre système de sécurité) et sont donc des systèmes d’authentification faibles.
- résistance aux attaques par rejeu qui consistent pour un attaquant à rejouer une séquence d’authentification qu’ils ont observé. Le mot de passe par exemple ne résiste pas à ce genre d’attaque car le même mot de passe est utilisé pour se connecter à chaque session. À l’inverse, un lien à usage unique pour réinitialiser un mot de passe ou un code TOTP n’est valide qu’une seule fois et ne peut donc pas être rejoué.
- résistance aux attaques de l’homme du milieu qui consistent pour un attaquant à intercepter et modifier les communications se déroulant entre le prouveur et le vérifieur lors de l’authentification sans être détecté. Si un pirate vous appelle et prétend être votre banquier pour vous demander votre mot de passe, rien ne vous empêche techniquement de le lui donner. Un système d’authentification forte vous empêcherait de divulguer votre secret à la mauvaise personne à votre insu.
- non-forgeabilité: l’observation par un attaquant de plusieurs échanges d’authentification d’un prouveur ne doit pas lui permettre d’usurper son identité dans un nouvel échange d’authentification.
Les facteurs utilisés dans une MFA, bien que multiples, ne sont pas forcément considérés comme étant forts individuellement. L’exemple typique étant un mot de passe associé à un code temporaire reçu par SMS, une combinaison peu sécurisée, car très facile à pirater !
Un système d’authentification forte n’a en théorie pas besoin d’être multi-facteurs. En pratique, les systèmes d’authentification forte reposent le plus souvent sur un facteur de possession lui-même verrouillé par un mot de passe ou par biométrie pour qu’il ne soit pas compromis en cas de vol.
Les exemples de systèmes d’authentification forte reposant sur un facteur de possession sont :
- l’authentification par certificat (sur carte à puce ou sur clé usb)
- les protocles FIDO2 et FIDO U2F
- les protocles TOTP
Conclusion
Le choix d’un type d’authentification doit se faire en rapport avec la criticité des données, du contexte dans lequel s’effectue l’authentification et des profils d’utilisateurs concernés. Ainsi, en 2021, l’ANSSI recommandait dans un grand nombre de cas de privilégier l’utilisation de l’authentification multifacteur, d’adapter la robustesse d’un mot de passe à son contexte d’utilisation et d’utiliser un coffre-fort de mots de passe.