MISE À JOUR DE LA SÉCURITÉ INTERNET : authentification à deux facteurs et authentification multifacteur

Au milieu des années 1980, lorsque j’ai commencé mon parcours dans l’informatique électronique, les gens ne disposaient pas de plusieurs comptes en ligne comme c’est le cas aujourd’hui. Si vous aviez un quelconque « compte » informatique, vous étiez probablement connecté à une agence gouvernementale, un centre de recherche ou une sorte d’université, en utilisant ARPANET, CSNET OU NSFNET, les précurseurs de l’Internet moderne.

Alternativement, si vous étiez comme moi et limité à des aspirations informatiques plus modestes, vous utilisiez un ordinateur « domestique » (le mien était un Commodore 64) et vous connectiez à des « systèmes de tableau d’affichage », qui étaient similaires à ceux de l’Internet moderne, à l’aide d’un compteur. . – Mise en place du modem via les réseaux téléphoniques. Vous pouvez également vous abonner à des services réseau destinés aux consommateurs tels que FidoNet ou Compuserve, facturés à la minute.

Pour accéder à toutes ces merveilleuses technologies, vous utilisiez, comme aujourd'hui, un « compte », composé d'un nom d'utilisateur (attribué ou inventé par vous) et d'un mot de passe. Ces deux choses lui ont ouvert toutes les portes d’Internet dont il disposait. Les exigences en matière de mot de passe étaient simples ; la sécurité n’est pas une considération majeure et la cybercriminalité est relativement rare.

Avance rapide jusqu’à aujourd’hui, et les choses ont radicalement changé. Même si la criminalité en ligne a explosé jusqu'à atteindre des proportions pandémiques colossales, nous utilisons toujours des noms d'utilisateur et des mots de passe. Bien que les exigences en matière de mots de passe soient devenues plus strictes et que la sécurité soit devenue une priorité, nous avons besoin de davantage dans la lutte pour rester en sécurité en ligne ; les noms d’utilisateur et les mots de passe ne suffisent plus. Entrez 2FA et MFA.

L'authentification à deux facteurs (2FA) et l'authentification multifacteur (MFA) sont des termes qui décrivent essentiellement la même chose : un moyen de présenter des preuves supplémentaires (appelées « facteurs ») pour prouver que vous êtes celui que vous prétendez être lorsque vous essayez de accéder à un service en ligne. L'ensemble du processus est appelé « authentification », c'est-à-dire que vous êtes de bonne foi, ou « authentique », le vrai « vous ».

L’ancien modèle nom d’utilisateur/mot de passe n’utilise qu’un seul « facteur », qui est le mot de passe. L’une des raisons pour lesquelles il existe un autre « facteur » est que de nombreuses bases de données de mots de passe ont été piratées et exposées à quiconque souhaite les consulter. Certaines personnes sont également coupables d’utiliser des mots de passe faibles, faciles à deviner, qu’elles ne changent jamais. Une autre raison d’avoir besoin d’un autre « facteur » est que de nombreuses personnes utilisent le même mot de passe pour tous leurs comptes. Le fait d’avoir plus de facteurs rend plus difficile l’accès à un compte par la mauvaise personne.

Les facteurs incluent quelque chose que vous possédez (comme une carte bancaire), quelque chose que vous connaissez (comme un mot de passe ou un code PIN), quelque chose que vous êtes (biométrique, comme une empreinte digitale ou d'autres caractéristiques physiques uniques) et un endroit où vous vous trouvez (comme comme connecté à un réseau spécifique ou à des informations de localisation telles que le GPS).

L'utilisation la plus courante de l'authentification multifacteur consiste à envoyer un code dans un message texte sur votre téléphone lorsque vous essayez de vous connecter à un compte en ligne. Par exemple, vous vous connectez à Amazon en saisissant votre mot de passe (le premier facteur). Amazon vous envoie un code que vous devez saisir (le deuxième facteur) et vous êtes ensuite autorisé à utiliser votre compte Amazon.

Malheureusement, bien que toujours largement utilisé, l’utilisation de messages texte comme moyen d’obtenir des codes MFA/2FA n’est plus conseillée. Les méchants d’Internet ont trouvé de nombreuses façons différentes de pirater la méthode texte. Microsoft a en fait publié une alerte en novembre dernier disant que, pour des raisons de sécurité, les gens devraient abandonner le 2FA basé sur les messages texte et commencer à utiliser des applications d'authentification comme Authy, Microsoft Authenticator ou des « tokens sécurisés » comme YubiKey.

Colonne suivante : comment utiliser les outils MFA/2FA comme Authy et Yubikey.

Dave Moore, CISSP, répare des ordinateurs dans l'Oklahoma depuis 1984. Fondateur de l'organisation à but non lucratif Internet Safety Group Ltd, il donne également des séminaires de formation communautaires sur la sécurité sur Internet. Il peut être contacté au 405-919-9901 ou internetsafetygroup.org