À ce stade, vous utilisez probablement l’authentification multifacteur (MFA) pour protéger un ou plusieurs de vos comptes professionnels. Le scénario est généralement le suivant : vous entrez votre mot de passe, le site ou l’application vous demande un deuxième type d’authentification (comme un code envoyé par SMS ou généré sur votre téléphone par une application), vous entrez ce deuxième type d’authentification, et le site ou l’application vous accorde l’accès à votre compte. La MFA peut sembler relativement récente, mais elle existe en fait depuis assez longtemps.
Voici un aperçu de l’évolution de l’authentification multifacteur et de la manière dont elle progresse pour mieux protéger les entreprises contre les dernières cybermenaces.
Années 90 et 2000 : des outils A2F de niche aux solutions A2F conviviales
La MFA et son ancêtre l’authentification à deux facteurs (A2F) existent sous une forme ou une autre depuis plus de vingt ans. Si l’origine de l’A2F fait l’objet de débats (AT&T prétend l’avoir inventée au cours des années 90), l’A2F n’a pris son envol qu’à partir de la deuxième moitié des années 2000. Les consommateurs la trouvaient sans doute peu pratique et partaient du principe qu’une authentification unique, comme un mot de passe, était suffisante pour protéger leurs comptes. Si certaines grandes entreprises et organisations attachées à la sécurité ont adopté une forme de chiffrement par clé publique connue sous le nom de RSA, qui utilise deux jetons d’authentification distincts pour valider les connexions des utilisateurs, de nombreuses entreprises trouvaient ce type de solution bien trop coûteux et complexe à mettre en œuvre à l’époque. L’évolution de l’authentification multifacteur a connu une accélération au cours de la deuxième moitié des années 2000 lorsque les smartphones ont commencé à conquérir le grand public. De formidables outils pour améliorer la productivité, les entreprises ont également rapidement adopté les smartphones. Certaines entreprises ont même déployé des programmes BYOD autorisant les employés à utiliser leurs appareils personnels dans le cadre de leur travail. Une fois que les smartphones ont envahi la sphère privée et professionnelle, un grand nombre de personnes avaient soudain accès à des solutions A2F bien plus pratiques pour protéger leurs comptes en ligne. Elles pouvaient simplement recevoir des codes d’authentification par SMS ou par e-mail, rendant ainsi l’A2F bien plus digeste.Années 2000-2010 : les fuites de données incitent à la généralisation de l’A2F et de la MFA
Pendant que les entreprises et le grand public adoptaient l’A2F et la MFA sur leurs smartphones à la fin des années 2000 et au début des années 2010, les piratages et fuites de données commençaient à devenir une menace sérieuse pour la sécurité et la confidentialité en ligne. Le public américain a été témoin d’une vague impressionnante de fuites de données affectant aussi bien le secteur du privé que les particuliers, les entreprises de défense et les administrations. Les fuites chez Sony Pictures Entertainment ou encore l’Office américain de la gestion du personnel (OPM) ne sont que deux exemples particulièrement médiatisés à l’époque. Début 2016, le président Obama a écrit une tribune dans le Wall Street Journal dans laquelle il déclarait que les mots de passe n’étaient plus suffisants pour protéger les consommateurs et les entreprises. Prenant acte que 9 Américains sur 10 déclaraient avoir le sentiment d’avoir perdu le contrôle de leurs informations personnelles, le président a annoncé une nouvelle campagne de sensibilisation nationale, #Turnon2FA (Activez l’A2F) pour encourager davantage d’Américains à se protéger en ligne. Peu après, les smartphones ont commencé à prendre en charge des techniques d’authentification biométrique, comme la reconnaissance d’empreintes et du visage. Ce fut un nouveau coup d’accélérateur donné à l’authentification multifacteur, les particuliers et les professionnels pouvant désormais exploiter un éventail plus large de méthodes de MFA pour protéger leurs comptes.Évolution de la MFA en réponse aux nouvelles menaces
Contrairement à l’A2F qui n’exploite que deux facteurs (ou formes) d’authentification, la MFA utilise généralement trois facteurs pour valider votre identité : quelque chose que vous savez, comme la réponse à une question de sécurité, quelque chose que vous possédez, comme un code de sécurité généré par une application d’authentification sur votre téléphone, et un aspect de qui vous êtes, comme votre empreinte digitale, votre visage ou votre voix. Lorsque l’accès à votre compte est protégé par trois facteurs d’authentification, les cybercriminels ont beaucoup plus de mal à usurper votre identité ou à se faufiler inaperçu. Si la MFA offre aux entreprises une bien meilleure protection que les mots de passe seuls, il ne s’agit pas pour autant d’une solution miracle. Par exemple, si les informations personnelles d’un utilisateur ont déjà fuité et qu’un pirate les a achetées sur le dark web, ce dernier aura moins de mal à pirater le compte de l’utilisateur. Les acteurs malveillants ont l’habitude de parcourir les réseaux sociaux à la recherche d’informations et de détails personnels qui pourront les aider à accéder à un compte de la personne ciblée. Certaines méthodes d’authentification souffrent également de vulnérabilités. En échangeant la carte SIM, un pirate peut facilement s’introduire dans le téléphone de quelqu’un et l’utiliser pour effectuer l’authentification par SMS avant que l’utilisateur ne s’en aperçoive. Ou si quelqu’un vole le téléphone et que celui-ci n’est pas verrouillé à l’aide d’un facteur biométrique comme la reconnaissance d’empreintes ou du visage, le pirate pourra accéder sans trop de mal aux comptes de la victime et dérober des données professionnelles sensibles. Même les facteurs d’authentification biométrique peuvent être contournés si le pirate dispose d’outils suffisamment sophistiqués, ce qui signifie que la MFA doit continuer à évoluer pour assurer la sécurité des entreprises. Comment la MFA ouvre la voie à un avenir sans mot de passe Au fil de son évolution, la MFA a par ailleurs ouvert la voie à un avenir sans mot de passe. Avant son entrée en scène, de nombreux employés ne savaient que se servir des mots de passe. Si un seul individu avait une mauvaise hygiène des mots de passe, ses identifiants étaient d’autant plus faciles à pirater, et son entreprise était d’autant plus exposée à un risque sérieux de fuite de données. Mais lorsque les employés ont appris à utiliser la MFA pour renforcer la protection de leurs comptes et des données de l’entreprise, ils ont découvert qu’il n’était pas si compliqué d’ajouter différentes formes d’authentification aux procédures de connexion par mot de passe. Par exemple, un utilisateur qui reçoit un code MFA par SMS sur iPhone ou Android peut choisir de l’insérer automatiquement dans le formulaire de demande de MFA. S’il utilise une application d’authentification, il peut ouvrir l’application, copier le code actif, puis le coller directement dans le formulaire de demande de MFA. L’authentification biométrique est encore plus simple, puisqu’elle permet littéralement de s’identifier du bout des doigts. Au bout d’un moment, ces étapes supplémentaires deviennent des automatismes, et l’utilisateur se retrouve mieux protégé contre les cyberattaques. Les entreprises et leurs employés qui ont pris l’habitude d’utiliser la MFA se retrouvent dans une situation idéale pour adopter l’authentification sans mot de passe. Par exemple, avec un protocole d’authentification sécurisé comme FIDO2, vous pouvez désormais utiliser la MFA pour remplacer ou éliminer les mots de passe. FIDO2 permet de s’identifier auprès des services en ligne sur mobile comme sur ordinateur, y compris à l’aide de méthodes déjà familières comme la biométrie, et vos employés trouveront donc l’authentification sans mot de passe sans doute aussi simple à utiliser que la MFA. Ils pourront ainsi exploiter des compétences déjà acquises au lieu de repartir de zéro, et votre entreprise sera plus tranquille en sachant que ses données sont mieux protégées.Comment la MFA peut protéger votre entreprise
La technologie de MFA adaptative de LastPass évolue en permanence pour prendre en compte les cybermenaces les plus graves, comme les attaques par rançongiciels. Voici comment les avantages de la MFA peuvent contribuer à protéger votre activité dans un univers de cybermenaces en constante évolution :- Authentification adaptative. LastPass MFA associe intelligence biométrique et contextuelle pour valider l’identité de l’utilisateur en croisant plusieurs facteurs, afin que votre entreprise bénéficie de la meilleure protection possible lorsque l’environnement évolue.
- Expérience utilisateur sans mot de passe. Vos employés peuvent utiliser LastPass pour accéder à leurs tâches sur tous leurs appareils, mobiles ou de bureau, sans saisir de mots de passe.
- Méthodes de MFA personnalisables. LastPass fournit différentes options d’authentification à votre entreprise. Vous pouvez créer et appliquer les facteurs de MFA uniques au niveau des utilisateurs ou des groupes pour assurer une sécurité d’ensemble.
- Administration facile de la MFA. LastPass simplifie l’application de la MFA par votre SI à différents points d’accès, comme les applications dans le cloud, les réseaux privés virtuels (VPN), les postes de travail, les fournisseurs d’identité, etc. Votre organisation peut ainsi entamer une transition vers une architecture Zero Trust et renforcer sa posture de cybersécurité.