L’AUTHENTIFICATION FORTE EST-ELLE LA SOLUTION AUX PROBLÈMES DE SÉCURITÉ ?
La sécurité : un enjeu majeur des télécommunications
Si pendant longtemps, la sécurité informatique était presque exclusivement réservée au secteur et applications bancaires, avec la transition numérique qui touche le monde depuis une quinzaine d’année, celle-ci est devenu aujourd’hui essentielle. L’émergence des sites d’e-commerce, des réseaux sociaux et des outils numériques en général, a fait apparaître de nouveaux besoins croissants en matière de sécurité. L’interconnexion de tous ces services à travers l’internet mondial les a ainsi exposé à de nombreuses attaques informatiques provenant de délinquants du web ne mesurant pas toutes les conséquences de leurs actes, parfois à l’abris d’un flou juridique.
Aujourd’hui, avec l’explosion des applications et services numériques, acteur de notre vie et garant de nos données personnelles, il devient impensable de laisser quiconque accéder à notre espace privé qui renferme chacun de ces services. Malheureusement, avec les fréquents scandales qui surgissent, même auprès des grands acteurs du numérique, la sécurité informatique est devenu une priorité pour les utilisateurs et une garantie primordiale pour le secteur du numérique. Le marché de la sécurité est ainsi en perpétuelle croissance occupant entre 5 et 8% du marché de l’informatique.
L’authentification : une garantie pour la sécurité ?
Pour commencer, rappelons qu’en informatique et télécommunications, la sécurité repose sur quelques grands principes indissociables :
- la disponibilité : garantir l’accès aux ressources ou à un service quand un utilisateur le demande
- la confidentialité : garantir l’accès aux ressources ou à un service seulement par les utilisateurs qui y sont autorisés
- l’intégrité : garantir que les données soient vraies et n’ont pas été modifiées en chemin par un autre utilisateur
- la non-répudiation : garantir qu’une action ou qu’une transaction ne peut pas être niée par l’utilisateur qui l’a initié
- l’authentification : garantir l’identité d’un utilisateur à un autre utilisateur ou service.
Notons que derrière le terme “utilisateur” se cache une personne “physique”. On comprend donc que pour chacune de ces propositions, si la personne physique qui se cache derrière l’utilisateur n’est pas la bonne personne, l’intégralité de ces principes ne sont plus respectés. C’est pourquoi, bien que l’authentification apparaisse comme un seul principe parmi les autres, il peut être considéré comme la pierre angulaire dont découle le bien-fondé des autres. En effet, si un doute apparaît sur l’association personne physique / utilisateur qui est garanti par l’authentification, les autres principes perdent sens.
Ainsi l’importance de l’authentification et de sa fiabilité n’est plus à démontrer. Cependant, si elle est une condition nécessaire à la sécurité informatique, elle n’est pas une condition suffisante et il ne faut donc pas se reposer uniquement sur celle-ci. Les autres aspect doivent évidemment être pris en compte et satisfait pour que la sécurité soit totale.
Comment fonctionne l’authentification forte ?
L’authentification forte repose sur la concaténation, l’addition, de plusieurs facteurs d’authentification. Si ces mécanismes sont au nombre de deux, on parle de double authentification ou authentification à deux facteurs (A2F), puis de triple authentification (A3F) etc… Ils rentrent tous dans la catégorie de l’authentification multi facteur (AMF).
Il existe une multitude de facteurs pour s’authentifier que l’on peut séparer en quatre catégories :
- les facteurs se basant sur ce que l’on sait, ce que l’on connaît (un mot de passe par exemple)
- les facteurs se basant sur ce que l’on est (notre empreinte digitale, notre voix)
- les facteurs se basant sur ce que l’on a, ce que l’on possède (une carte à puce, un code à recopier qui nous est envoyé par SMS, un périphérique matériel)
- les facteurs se basant sur ce que l’on sait faire (signature)
La philosophie de l’authentification forte aussi appelé authentification multifactorielle veut que l’on utilise au moins deux facteurs de catégorie différente. Un exemple simple de la double authentification est notre carte bancaire. Pour payer il est généralement nécessaire d’avoir la carte bancaire (ce que l’on possède) et un code confidentiel (ce que l’on connaît).
Pourquoi choisir l’authentification forte ?
Le type d’authentification encore majoritairement répandu aujourd’hui repose sur le modèle traditionnel login / mot de passe. Or celui-ci est depuis bien longtemps source de bon nombre de problèmes de sécurité. Si la méthode “brute force” (consistant à essayer des combinaisons de mot de passe jusqu’à trouver le bon) peut facilement être contrée en bloquant le compte à cause d’un trop gros nombre de tentatives par exemple, d’autres moyens de récupérer ce précieux mot existent. Effet, il y aura toujours des utilisateurs trompés par du phishing (et divulguant donc leur mot de passe à un tiers malveillant), et personne n’est à l’abris d’une fuite ou d’un vol de base de données (exposant donc ces mots de passes qui mêmes chiffrés peuvent être retrouvés).
L’authentification forte prétend justement subvenir à ces problèmes de fraude et de vol d’identité de façon générale en ajoutant un ou plusieurs facteurs de natures différentes annihilant tous les défauts du mot de passe, et empêchant ainsi l’attaquant d’avoir un accès permanent aux informations de l’utilisateur. En effet, les autres facteurs seraient bien plus compliqués à contourner ou dérober pour un attaquant, ce qui permet de rassurer les utilisateurs en leur garantissant un gain de sécurité considérable.
Les grandes entreprises du numérique sont d’ailleurs pour beaucoup passées à ce système qu’elles qualifient de bien plus robuste auprès de leurs utilisateurs qui le trouvent parfois trop contraignant et trop lent. D’autre part, des lois commencent aussi à émerger obligeant certains secteurs et certains services à implémenter cette technique. Relevons également que des entreprises se regroupent ensemble afin d’établir des standards de l’authentification forte tout en promouvant ses principes. FIDO Alliance en est un exemple formant un consortium de plusieurs groupes dont Google, Facebook, Samsung, Microsoft et bien d’autres.
Un fonctionnement discutable
Nous avons jusqu’à présent vu que l’AMF semble être une bonne chose puisqu’elle permet de limiter fortement le vol de compte utilisateur par rapport à une authentification simple. Cependant il est important de nuancer l’intérêt de l’AMF en fonction des facteurs qui sont utilisés. Il est par exemple intéressant de se demander dans un premier temps quel est le gain en sécurité de l’utilisation de deux ou de trois facteurs par rapport à un seul. Est-on deux fois plus en sécurité, trois fois plus, dix fois plus ou bien est-ce négligeable ? Et si jamais on arrive à contourner le premier facteur, contourner le second, contourner le troisième demande t-il vraiment un si grand effort pour les attaquants ? Ces interrogations sont inévitables si l’on souhaite réellement connaître la pertinence de l’authentification multifactorielle.
En effet, bon nombre de méthodes, mis en place par la plupart des grands sites peuvent être remises en cause. Par exemple, une des approches les plus répandues concerne l’A2F via mot de passe en premier facteur (ce que je sais) et OTP en second (code ou mot de passe unique envoyé par SMS sur un téléphone que l’on possède). Or si le premier facteur n’apporte aucun gain de sécurité par rapport une authentification classique, le second en apporte un tout relatif qu’il convient de nuancer. Effectivement, même si ce n’est pas à la portée de tous, l’interception des SMS en cours de chemin par un tiers est tout à fait possible (dû à un protocole d’échange nommé SS7 vieillissant et peu robuste). On peut aller encore plus loin en évoquant des cas où l’attaquant a réussi à cloner la carte SIM de la victime pour pouvoir recevoir ses messages en s’étant fait passer pour lui auprès de l’opérateur télécom et en contournant donc les procédures administratives.
Plus globalement, il est possible de trouver des contournements pour chaque type de facteur et qui sont plus ou moins exploitable. Les appareils électroniques du type “ce que je possède” pourraient par exemple être volés tout comme ils pourraient être falsifiés (ce qui nécessiterait de les sécuriser eux aussi du mieux qu’ils puissent). Quant aux facteurs du type “ce que je suis”, il est aussi possible de les contourner bien que ce soit plus difficile et que les constructeurs limites les risques. Relever les empreinte, prendre des photos pour une modélisation en 3D permettent parfois de tromper l’appareil. De manière extrême et peut-être un peu paranoïaque, on peut aussi imaginer enlever l’utilisateur ou lui couper son doigt.
Finalement, via le seul premier exemple, nous comprenons que si l’ajout de facteurs permet de ralentir les personnes malveillantes dans leur démarche, il ne permet pas de tous les arrêter complètement. De plus, il suffit qu’une faille soit détectée et plus précisément exploitée sur un des facteurs pour que ce dernier perde tout son intérêt et n’apporte plus aucun gain, même combiné à d’autres. Nous voyons donc qu’il est nécessaire de bien analyser quels mécanismes sont mis en place et à quelles vulnérabilités sont-ils fragiles.
Voir plus loin, s’adapter au contexte
Nous sommes donc conscient que l’authentification forte n’est pas une solution invulnérable et que son rôle est simplement d’ajouter une ou des contraintes supplémentaires, qui sont plus ou moins fortes pour les attaquants potentiels. Vient alors le choix de comment protéger ces données, quel système adopter et quels facteurs utiliser.
Dans un premier temps, il est bien sûr nécessaire de voir dans quelle mesure, en fonction de l’intérêt des données et de leur sensibilité, le mécanisme ajouté à une simple authentification est pertinent. Il est évident qu’il n’est pas nécessaire de mettre en place le même mécanisme pour assurer les données d’un compte bancaire ou d’un compte mail que pour les données d’un compte de jeu-vidéo en ligne par exemple. Ensuite, même si cela doit apparaître au second plan, il est important de prendre en compte tous les aspects d’expérience utilisateur, de difficulté de déploiement du système, de coût de mise en place… Enfin, pour rejoindre le premier point, il est très important d’estimer jusqu’où peut aller l’attaquant en fonction de ses motivations et s’il n’y a pas aussi un risque pour l’utilisateur (enlèvement, agressions… dans d’extrême cas).
Dans ce sens il peut être intéressant de réfléchir à d’autre systèmes d’authentification. Évoquons par exemple la présence simultanée de plusieurs utilisateurs, l’authentification en fonction de données horaires ou géographiques…
Dans tous les cas, il est essentiel d’adapter la méthode choisi au coût et à la sensibilité des données ciblées et prendre en compte plusieurs aspects afin de faire le meilleur compromis et garantir ainsi la meilleur sécurité possible.
Conclusion
Même si le marché de la sécurité explose, que les acteurs ne négligent plus cet aspect et que les techniques s’améliorent de jour en jour, il ne faut pas perdre de vue que tout n’est pas encore résolu et ne le sera peut-être jamais.
Les attaquants essaieront toujours de contourner ou passer les embûches qu’on leur met sur le passage. La solution pouvant être de leur en mettre des plus en plus grosses et en plus grand nombre. L’objectif serait alors de les décourager et les freiner dans leur manoeuvre : c’est ce que prétend faire l’authentification forte. Toutefois, précisons que la taille, le nombre, le type de ces obstacles et les combinaisons doivent être adaptés à ce que l’on souhaite protéger afin de minimiser le risque. Enfin, renouveler, faire évoluer et diversifier ces obstacles avant qu’un contournement soit trouvé est inévitablement un aspect à prendre en compte afin de rendre cette technique légitime.
