La biométrie et plus encore : une exploration de l'état actuel de la MFA

L'authentification multifactorielle (MFA) peut être un sujet complexe, avec des controverses récentes telles que la facturation par Twitter/X de la MFA par SMS qui a fait la une des journaux. Et malgré l'efficacité de la MFA dans la protection contre les cyberattaques, son adoption est loin d'être unanime.

Le rapport State of MFA 2023 de Prove Identity a révélé que moins de la moitié (48 %) des employeurs obligeaient leurs employés à utiliser la MFA au travail. Seuls 19 % des consommateurs interrogés ont déclaré devoir utiliser la MFA sur leurs comptes professionnels. Malgré cette mauvaise presse, la MFA reste un outil essentiel pour sécuriser votre environnement informatique et les identifiants de vos utilisateurs.

Révision des principes de base de la MFA

Nous vous avons présenté les principes de base de la MFA en 2020, mais tout évolue rapidement dans le cyberespace et il est toujours bon de faire un petit rappel. La MFA est une méthode de protection de vos identifiants par l'ajout d'un facteur supplémentaire à saisir ou à fournir avant de pouvoir se connecter à un compte. Il existe trois types de facteurs parmi lesquels choisir :

• Information personnelle : il s'agit des mots de passe, du code PIN et des questions de sécurité, telles que la question classique « Quel est le nom de jeune fille de votre mère ? ».
  
• Élément en votre possession : Cela peut être un jeton ou une carte à puce. Il s'agit de plus en plus souvent d'un appareil mobile enregistré ou d'un compte e-mail qui peut recevoir un code ou un mot de passe à usage unique.
• Vous : il s'agit de facteurs biométriques tels que les empreintes digitales, la reconnaissance faciale ou les scans de l'iris.

Lorsqu'un compte exige que vous utilisiez la MFA pour vous connecter, il vous demandera le facteur « Information personnelle » et exigera ensuite que vous le vérifiiez avec au moins l'un des autres facteurs. Ce niveau de protection supplémentaire est très efficace pour bloquer les violations. Même si un pirate a eu accès à vos identifiants, il est très difficile pour lui de falsifier un jeton ou un facteur biométrique.

La MFA est-elle efficace ?

L'authentification multifactorielle reste l'un des meilleurs moyens de protéger vos identifiants ou ceux de vos employés. Alex Weinert, vice-président et directeur de la sécurité des identités chez Microsoft, estime que « d'après nos études, votre compte a plus de 99,9 % de chances en moins d'être compromis si vous utilisez la MFA ».

C'est une statistique plutôt encourageante. Cependant, l'efficacité de la MFA à prévenir les attaques a conduit à des campagnes qui tentent de tirer parti de la saturation de la MFA, lorsque les utilisateurs acceptent des demandes de MFA frauduleuses sans examen approfondi. Microsoft signale plus de 382 000 attaques de ce type en 2022. Cela a incité l'entreprise à mettre à jour son application Microsoft Authenticator afin de réduire les risques. Il y a également eu des attaques par phishing de type « adversary-in-the-middle » qui tentent de compromettre l'accès MFA. Une bonne politique de cybersécurité reste importante, même en cas d'utilisation de la MFA. Bien que ces attaques soient importantes, il existe des solutions : l'utilisation de l'authentification par certificat et de l'accès conditionnel peut minimiser le risque de succès d'une attaque de ce type.

La MFA est également de plus en plus considérée comme un élément fondamental de la sécurité des entreprises, notamment par les régulateurs et les organismes consultatifs. Au Royaume-Uni, l'Information Commissioner's Office, entre autres, conseille une certaine forme de MFA pour renforcer les mots de passe en tant que strict minimum pour une sécurité efficace.

Cependant, l'adoption de la MFA est un peu un champ de bataille, car comme toutes les mesures de sécurité, elle ne fonctionne que si vous la rendez praticable et aussi peu contraignante que possible pour vos utilisateurs. Le Centre national de cybersécurité du Royaume-Uni donne de bons conseils pour remplacer les mots de passe sans rendre les utilisateurs fous. En réalité, la plupart des gens utilisent déjà au moins l'authentification à deux facteurs pour les services en ligne de base. Le rapport State of MFA 2023 a révélé que plus de 60 % des consommateurs déclarent utiliser la MFA pour accéder aux services bancaires en ligne, aux portails et applications de soins de santé et aux comptes des compagnies d'assurance. C'est une chose que la plupart des gens ont expérimenté dans leur vie privée, ne serait-ce que pour refuser l'option d'activation de la MFA.

Veillez à rationaliser les processus de MFA pour maximiser les chances d'augmenter les taux d'adoption. L'utilisation de l'identification biométrique par téléphone mobile au lieu des mots de passe à usage unique est un facteur déterminant pour encourager l'adoption de la MFA. Si vous facilitez la tâche de vos collaborateurs, vous constaterez que la réticence à utiliser la MFA sera bien moindre et, en fin de compte, vous renforcerez votre protection contre toutes les violations impliquant le vol d'identifiants.