Avec une expérience de plus de 15 ans dans l’informatique, nous aidons les entreprises à atteindre leur objectif de digitalisation et de transformation. LeenDIS est une agence technologique axée sur des valeurs dédiées telles que :

  • L’expérience,
  • Le savoir-faire,
  • La rigueur,
  • la polyvalence,
  • l’adaptabilité,
  • la proximité,
  • la confiance…
Exemples de projets

Contacts

6 rue d'Armaillé 75017 Paris

hello@leendis.com

+33 666 710 812

Linkedin User-astronaut Youtube
Internet Sécurité
_ _ Harry Cover_ 0 Commentaires

MFA ou pas MFA ?

Qu’est ce que l’authentification multi-facteurs (MFA) ?

L’authentification multi-facteurs (MFA), ou authentification forte, est un processus de sécurité qui nécessite deux ou plusieurs facteurs de vérification pour prouver l’identité d’un utilisateur. Le plus souvent, cela implique de se connecter à un réseau, une application ou une autre ressource sans se contenter d’une simple combinaison « nom d’utilisateur » + « mot de passe ».

Très en vogue depuis quelques années en particulier dans les services bancaires ou les sites e-commerce, l’utilisation du MFA s’est imposée peu à peu à tous les domaines compte tenu des problématiques actuelles liées à l’évolution des modes de travail, mais aussi au paysage de la sécurité et aux réglementations en vigueur…

Pourquoi le MFA ?
  • Pour simplifier l’expérience des utilisateurs,
  • Pour s’adapter à l’évolution des modes de travail,
  • Pour prévenir les cyberattaques,
  • Pour se conformer à la législation en vigueur. 
Comment fonctionne le MFA ?

Le MFA utilise plusieurs technologies pour authentifier l’identité d’un utilisateur. En revanche, l’authentification à facteur unique (ou simplement « authentification ») utilise une seule technologie pour prouver l’authenticité de l’utilisateur. Avec le MFA, les utilisateurs doivent combiner les technologies de vérification d’au moins deux groupes ou facteurs d’authentification différents. Ces facteurs se répartissent en trois catégories : ce que vous savez, ce que vous avez et ce que vous êtes. C’est pourquoi l’utilisation d’un code PIN et d’un mot de passe (tous deux appartenant à la catégorie « quelque chose que vous savez ») ne serait pas considérée comme une authentification multifactorielle, alors que l’utilisation d’un code PIN et d’une reconnaissance faciale (appartenant à la catégorie « quelque chose que vous êtes ») le serait. Notez qu’un mot de passe n’est pas nécessaire pour bénéficier du MFA. Une solution MFA peut être entièrement sans mot de passe.

Il est également acceptable d’utiliser plus de deux méthodes d’authentification. Cependant, la plupart des utilisateurs souhaitent une authentification sans friction (la possibilité d’être vérifié sans avoir à effectuer de vérification).

La question que je me pose : MFA réellement sécure ?

Il y a encore quelques temps, on ne jurait que par le MFA… MFA par-ci, MFA par-là. Super !!! Sauf que aujourd’hui, qu’est-ce qu’il en est réellement ? Et là, c’est la douche froide…

                                           Le MFA ne serait pas suffisante face aux hackers

Une entreprise britannique (dans la Cybersécurité), MyCena, explique que le protocole MFA, censé être sécure et fiable, souffre en réalité d’une vulnérabilité exploitée par des pirates chevronnés.

« C’est bien connu : nous, les Gaulois, n’avons peur que d’une chose, c’est que le ciel nous tombe sur la tête ! » Et là, c’est le cas… C’est l’effet d’une bombe dans le monde de la Cyber… L’authentification multifacteur ne constituerait plus une barrière suffisamment forte pour résister aux pirates informatiques. Pourtant, le MFA est considérée par les acteurs de la Cybersécurité comme une véritable couche de protection supplémentaire, bien plus sûre que la combinaison login / mots de passe habituel…

La Cybersecurity and Infrastructure Security Agency (CISA) et la Division de la cybersécurité du FBI ont publié un avis conjoint sur la cybersécurité (CSA), avertissant les organisations que des pirates parrainés par certains pays ont obtenu un accès au réseau grâce à l’exploitation des protocoles d’authentification multifacteur (MFA) par défaut et d’une vulnérabilité connue.

Dès mai 2021, des pirates ont eu accès à une organisation non gouvernementale en exploitant les protocoles MFA par défaut pour contrôler leur réseau. Les organisations qui implémentent l’authentification multifacteur ont été invitées à revoir leurs configurations par défaut et à les modifier si nécessaire afin de réduire la probabilité que les attaques puissent contourner ce contrôle à l’avenir.

Conclusion

A choisir entre un simple login / mot de passe et du MFA, y a pas photo : MFA absolument ! Proposée, voire imposée de plus en plus par un nombre de services en ligne, le MFA demande à l’utilisateur, pour accéder à un compte ou à une application, de confirmer son identité par le biais d’un code reçu par téléphone  ou en scannant par exemple son empreinte biométrique. Cette méthode est censée mieux protéger l’utilisateur et faire obstacle par exemple à une usurpation d’identité ou à une attaque par force brute.

Par contre, il faut nuancer cette réponse… Le MFA oui mais pas n’importe comment ! Déjà, on bannit de suite les configurations de base et on passe plutôt sur des configurations telles que FIDO2 (authentification passwordless), clés privées / clés publiques, authentificateurs intégrés (matériel), etc… Les mots de passe des utilisateurs doivent-être très robustes (minimum 12 caractères : voir section des mots de passe). Ne pas mettre tous leurs œufs dans le même panier, tous les systèmes derrière une porte unique. Une solution bien plus efficace pour éliminer complètement le potentiel de faute ou fraude humaine de l’équation est de reprendre la main sur le commandement et contrôle des accès, en segmentant les accès et en distribuant des mots de passe chiffrés aux employés.

A bientôt !

Source : Mycena, Cisa

26

Auteur

Harry Cover

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

error: Le contenu est protégé !!