Un rapport du CISA-NSA met en lumière les défis des MFA-SSO

L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et l’Agence nationale de sécurité (NSA) appellent conjointement les organisations à mettre en œuvre, malgré tous les défis connus, l’authentification multifactorielle (MFA) et l’authentification unique (SSO) afin d’améliorer la cybersécurité.

Le rapport « Identity and Access Management: Developer and Vendor Challenges » (Gestion des identités et des accès – Un défi pour les développeurs et les fournisseurs), publié par un groupe d’experts d’un Enduring Security Framework (ESF) créé par la CISA et la NSA, souligne que l’authentification multifactorielle est l’un des outils les plus importants dont dispose une organisation, mais que de nombreux problèmes tendent à en limiter l’adoption, notamment la difficulté notoire de sa mise en œuvre.

Parmi les problèmes les plus courants : des définitions confuses et des procédures de contrôle peu claires pour les différentes variantes de l’authentification multifactorielle. Il existe un besoin de clarté, d’interopérabilité et de normalisation pour permettre aux organisations de faire des comparaisons et d’intégrer différentes solutions en fonction de leurs besoins. En l’absence de cette transparence, trop d’organisations optent pour des solutions d’authentification multifactorielle basées, par exemple, sur les services de messages courts (SMS), sans apprécier pleinement les différences entre les options d’authentification multifactorielle, note le rapport.

Il incombe à la communauté des fournisseurs de solutions de gestion des identités et des accès (IAM) de coopérer pour s’accorder sur la terminologie afin de réduire la confusion, précise le rapport.

D’autres problèmes se posent, notamment un manque de clarté concernant les propriétés de sécurité offertes par certaines implantations de l’authentification multifactorielle (MFA). Toutes les formes de MFA offrent un certain degré de protection contre la réutilisation et la compromission des mots de passe, mais elles présentent des niveaux de sécurité différents en ce qui concerne la manière dont les clés secrètes sont stockées et leur fiabilité globale face aux attaques par hameçonnage.

Enfin, les solutions de MFA offrent différents niveaux de prise en charge de l’infrastructure à clé publique (ICP) et des normes Fast Identity Online (FIDO) 2. La plupart des fournisseurs IAM qui proposent des plateformes SSO prennent en charge l’authentification PKI et FIDO2, mais pas tous, et la prise en charge peut être limitée. Par exemple, l’ICP peut ne pas être traitée comme un authentificateur « multifacteur » dans le cadre de la procédure d’authentification, car il s’agit d’un authentificateur qui fournit plusieurs « facteurs » en raison de la manière dont ses clés cryptographiques sont déverrouillées. De même, il peut exister des restrictions sur les types d’authentificateurs FIDO2 qui peuvent être enregistrés, et la possibilité de définir une politique basée sur l’attestation peut faire défaut.

La prise en charge des différentes plateformes client n’est pas non plus homogène, et la gestion du cycle de vie des identifiants fait souvent défaut, prévient le groupe d’experts.

Pour ce qui est de la SSO, le rapport note que les problèmes de facilité d’utilisation concernent également la configuration des services des fournisseurs de SSO, et qu’ils pourraient être améliorés par des normes plus strictes. Les outils permettant de comprendre les relations de confiance et l’impact des changements de configuration pourraient également être améliorés. En outre, les protocoles de fédération d’identité, tels que le langage de balisage d’accès sécurisé (SAML), prennent en charge une variété de profils de configuration différents qui sont connus pour être moins sûrs que d’autres.

Il ne fait aucun doute que la MFA et le SSO amélioreront considérablement l’état général de la cybersécurité, mais étant donné le niveau de maturité actuel, la plupart des organisations seraient bien avisées de s’assurer qu’elles ont une stratégie de cybersécurité basée sur une défense en profondeur. Après tout, les cybercriminels sont de plus en plus habiles pour se cacher après avoir volé des identifiants. Il ne faudra peut-être pas attendre des mois pour que l’on se rende compte que les cybercriminels ont trouvé un moyen de contourner la MFA.

La mise en œuvre de l’authentification multifactorielle (MFA) et de l’authentification unique (SSO) peut s’avérer complexe. Malgré tout, l’absence de MFA et de SSO laisse la porte ouverte au vol des noms d’utilisateur et des mots de passe, qui peuvent être vendus ou partagés par des criminels.