Sécurité: l’authentification à deux facteurs

par Karim Khouw Zegwaart, coordinateur de support informatique, Ci-UNIL

Le Ci a récemment mis à jour son système d’authentification dite « forte » en mettant en place un nouveau serveur d’authentification à deux facteurs.

© Allies Interactive Services Private Limited – Dreamstime.com

L’authentification à deux facteurs : c’est quoi ?

Le 2FA (two factor authentication dans la langue de Shakespeare) est une technique qui consiste à demander à l’utilisateur deux facteurs pour prouver son identité et légitimer son droit d’accès lorsqu’il souhaite se connecter à un compte ou utiliser un service. L’idée derrière ce dispositif est de compliquer la tâche des criminels en multipliant les facteurs qu’il faut réussir à obtenir pour usurper une identité. Par exemple, lorsque vous retirez de l’argent à un distributeur automatique de billets, insérer votre carte n’est pas suffisant. Vous devez aussi entrer votre code PIN (Personal Identification Number). Dans ce cas, vous possédez deux facteurs : la carte et le PIN. L’un ne sert à rien sans l’autre. Ce principe ne se limite donc pas aux comptes informatiques et il existe une multitude de types de facteurs qui sont généralement répartis en 3 catégories :

  • Quelque chose que vous savez.
    Typiquement votre nom d’utilisateur et son mot de passe associé que vous êtes le seul à connaitre.
  • Quelque chose que vous avez.
    Un compte email séparé ou un téléphone portable sur lequel vous pourriez recevoir un second code. Les récentes applications d’ebanking sont un bon exemple d’un service qui requiert une double authentification : la plupart des banques vous fournissent un second appareil d’authentification (sous forme de calculette ou carte) pour prouver votre identité lorsque vous désirez vous connecter à votre compte bancaire.
  • Quelque chose que vous êtes.
    Ces facteurs se focalisent sur des traits physiques qui pourraient être analysés pour prouver votre identité. Imaginez ici des scans d’empreintes, voix ou un système d’identification faciale. Relégué au rang de fiction il y a quelques années, ce type de facteur à fait son apparition sur les smartphones avec le scan d’empreintes ou la reconnaissance faciale. Encore imparfaits, ces facteurs pourraient rendre la tâche des cybercriminels très compliquée une fois perfectionnés.
L’authentification à deux facteurs renforce la sécurité de votre compte. Photo par Jose Fontano sur Unsplash

Le fonctionnement de ces systèmes d’authentification est très différent selon le type de facteur et les services, mais l’idée reste la même, multiplier les facteurs pour complexifier votre protection. Si dans le cas d’une carte bancaire, celle-ci vérifie le code PIN avant de communiquer avec la banque, dans le cas d’un web service, typiquement une connexion à un compte, vous possédez un nom d’utilisateur et un mot de passe qui sont liés à un second facteur. Lorsque vous tentez de vous connecter à votre compte en utilisant vos identifiants, un serveur est contacté pour vérifier ces informations. Une fois l’identifiant validé, une deuxième méthode de connexion est appelée pour vérifier le facteur supplémentaire. Sans le second facteur, la connexion est impossible, même si votre mot de passe est correct.

Si vous possédez un compte Google, Facebook ou Apple, ces services vous ont probablement déjà proposé d’activer cette option et vous utilisez peut-être déjà une méthode 2FA pour certains de vos comptes. Généralement le second facteur est un code à 6 chiffres, nommé jeton d’authentification ou token, généré par une application ou envoyé par SMS. Néanmoins, pour des systèmes plus sécurisés, certains de ces jetons peuvent se présenter sous forme d’une carte ou clé USB à insérer dans votre ordinateur. Plus le second facteur est compliqué à usurper plus votre compte sera protégé.

Google a développé une application pour la validation à deux étapes qui peut être utilisée pour une multitude d’autres comptes, notamment le service mis en place par le Ci. Une fois l’application liée à vos comptes via un identifiant, les codes (tokens) sont régénérés toutes les 30 secondes.

L’authentification à deux facteurs à l’UNIL

Afin de renforcer la sécurité de certains services dits « critiques », le Ci a récemment mis à jour son système d’authentification à deux facteurs, notamment la connexion au VPN du Ci. Voici comment le système fonctionne :

1. Comme pour une connexion au VPN Crypto, il faut passer par le logiciel Pulse Secure pour choisir sa connexion.

2. À la différence de Crypto, qui vous demande simplement votre nom d’utilisateur et mot de passe, la connexion au VPN du Ci demande un code de sécurité.

3. C’est durant cette étape que le serveur qui doit vérifier votre second facteur prend le relais. Ici, il vous faut utiliser une des méthodes que vous activé pour récupérer le code du second facteur. À l’UNIL, vous avez la possibilité d’utiliser la fonction SMS, une application d’authentification (Google Authentificator) ou encore des tokens physiques (carte ou Yubikey). À noter qu’une plateforme web vous permet de configurer vous-même vos jetons et multiplier vos méthodes de validation.

L’affichage d’un token SMS sur un iPhone

4. Une fois le second facteur envoyé, le serveur vérifie qu’il est bien associé à votre identifiant et la connexion sécurisée est établie.
L’authentification à deux facteurs à l’UNIL, une révolution ?

C’est indéniable, le second facteur renforce la sécurité d’un compte et complique la tâche des cybercriminels : il faut souvent avoir un accès physique au second facteur ce qui rend toute tentative de vols de mots de passe inutile. Néanmoins, la complexification des méthodes de connexion rend l’opération plus fastidieuse et chronophage. On peut alors se poser la question de sa pertinence selon le type de service. De plus, la perte du second facteur peut s’avérer très handicapante : si votre jeton est lié à un numéro de téléphone et que vous égarez votre téléphone, vous pourriez perdre l’accès à votre compte durant de nombreuses heures, voire plusieurs jours. L’authentification à deux facteurs est donc une bonne solution pour renforcer la sécurité de son compte, mais il faut être conscient de ces implications.

À l’heure actuelle, le 2FA se limite à quelques services critiques du Ci. Un passage à l’authentification à deux facteurs pour tous les comptes et services de l’UNIL n’est pas envisagé. La complexification des méthodes de connexion impliquerait des ressources qui ne sont malheureusement pas disponibles. De plus, les contraintes techniques sont encore trop nombreuses pour envisager une uniformisation de ces méthodes d’authentification au sein du campus. Néanmoins, avec un système déjà en place et fonctionnel, le Ci ouvre la porte à un service d’authentification à deux facteurs pour tout collaborateur qui gère des services aux données sensibles (gestion de contrats, gestion de données à caractère personnel, …).