L’authentification à deux facteurs, parfois nommée « double authentification », authentification « en deux étapes », ou encore « 2FA », est une méthode d’authentification dite forte qui permet l’accès sécurisé à une ressource informatique (boite email, site web, services bancaires, etc.). L’authentification à deux facteurs permet d’augmenter la sécurité de l’accès à une ressource informatique, car toute connexion requiert au minimum deux étapes pour prouver son identité : même si une personne mal intentionnée parvient à obtenir le mot de passe de votre compte, elle ne pourra pas accéder facilement à la ressource, car il lui manquera le deuxième facteur.
Vous connaissez le VPN (Virtual Private Network) de l’UNIL sous le nom de Crypto ou Pulse Secure. Pour accéder à certaines ressources UNIL en dehors du campus, un client VPN permet de faire passer le trafic de votre appareil par le réseau de l’université comme si vous étiez présent à l’UNIL.
Nous utilisons tous le 2FA depuis très longtemps
Le principe du 2FA n’est pas nouveau : depuis des décennies, lorsque vous souhaitez retirer de l’argent dans un distributeur automatique, vous devez posséder et insérer votre carte bancaire (premier facteur) puis rentrer un code PIN (deuxième facteur) pour prouver votre identité et accéder à votre compte bancaire. La transaction ne peut jamais se faire si vous possédez uniquement un de ces deux facteurs.
Le principe est le même pour les comptes informatiques : lorsque l’authentification à deux facteurs est activée sur un service, vous devez posséder vos deux facteurs pour valider la connexion à ce service. Depuis plusieurs années, la tendance est de combiner un mot de passe comme premier facteur et votre smartphone comme deuxième facteur. Vous utilisez d’ailleurs très probablement la double authentification pour certains services depuis des années. Pour reprendre l’exemple de votre compte bancaire, les services requièrent pratiquement toujours une authentification à deux facteurs qui peut se présenter sous la forme de :
- Une « calculette » qui vous génère un code au moment de la connexion.
- Un code envoyé par SMS sur votre portable.
- Une application tierce qui vous génère un code à insérer.
- Une application qui vous permet de scanner un QR code pour générer un code à insérer…
L’authentification à deux facteurs fonctionnera à l’UNIL de la même manière. Pour vous connecter au VPN, vous devrez posséder votre nom d’utilisateur et mot de passe Switch-edu ID et une application sur votre smartphone (ou ordinateur) qui vous génèrera un code à insérer à chaque connexion. Vous pourrez également opter pour l’envoi d’un SMS dans le cas où vous utiliseriez un bon vieux téléphone portable.
Pourquoi s’imposer ces restrictions ?
Rajouter une étape et imposer la nécessité d’avoir son téléphone à proximité au moment de la connexion peut paraître agaçant. En effet, cette méthode de connexion rajoute une couche de complexité dont on se passerait bien. Mais c’est précisément cette deuxième étape qui permet d’améliorer la sécurité des services et de vos données. Le rajout d’un deuxième facteur permet de grandement limiter les abus d’identités, même si l’on vous a volé votre mot de passe. Ce n’est d’ailleurs pas par hasard que les premiers services à imposer cette fonctionnalité étaient des banques : sans cette étape, les services d’e-banking seraient trop faciles d’accès, et les vols trop courants, pour que ces services soient viables.
La majorité des brèches informatiques, comme celle qui a touché l’UNINE récemment, sont rendues possibles grâce aux vols de comptes et usurpations d’identité qui sont devenus très courants (environ 50 comptes UNIL compromis par année). En plus de compromettre votre compte et vos données, ces vols permettent aux cybercriminels d’infiltrer les services et systèmes des entreprises et institutions. Dans le cas de l’Université de Neuchâtel, c’est en commençant par compromettre un compte VPN que les pirates ont pu ensuite déployer leur attaque pour s’infiltrer dans les systèmes et récupérer de nombreuses données personnelles (contrats, fiches de salaires…).
En activant la double authentification sur son VPN, l’UNIL renforce donc la grande majorité de ses services sensibles (portail administratif, édition de site web, accès aux serveurs de données…) en limitant les possibilités d’accès au réseau en dehors du Campus. Ce système protège donc l’UNIL mais aussi l’ensemble des collaborateurs et collaboratrices en empêchant le vol et la diffusion de ces données privées. Dans le cadre d’un scénario d’un vol de mot de passe, un hacker qui possèderait un compte UNIL dérobé ne pourrait pas se connecter à ces services sensibles sans se rendre physiquement sur le campus de l’UNIL. Étant donné que la majorité de ces grandes attaques informatiques proviennent de cybercriminels qui habitent en dehors du territoire suisse, cela limite grandement les risques de piratage.
Les dangers
Même si le vol provisoire d’un compte peut paraitre anodin si l’on réagit rapidement, il faut très peu de temps aux pirates pour mettre en place des stratégies qui peuvent impacter toute la communauté UNIL. Par exemple, dans de nombreux cas, un compte compromis sert de tremplin pour envoyer une grande quantité de spams à ses contacts. Cela peut avoir deux conséquences assez chronophages : premièrement, la personne dont le compte a été usurpé pourrait être très embarrassée selon la nature de l’email envoyé. Deuxièmement, après l’envoi massif de spam depuis un compte UNIL, de nombreux services bloqueront les emails provenant des adresses UNIL pendant plusieurs heures, voire plusieurs jours, paralysant ainsi toute la communauté universitaire.
Pourquoi l’authentification à deux facteurs n’est pas activée partout ?
L’authentification à deux facteurs reste une technologie qui alourdit le processus de connexion et augmente le temps nécessaire pour se connecter : si l’on doit se connecter à ce service plusieurs fois par jour, l’utilisation d’un double facteur peut se révéler chronophage. De plus, la perte du deuxième facteur (par exemple perte du téléphone) rend la connexion au service très compliquée, voire impossible. Les services de double authentification fournissent généralement des codes d’accès uniques à conserver précieusement en cas de perte du deuxième facteur, mais dans les cas où ces codes sont eux aussi égarés, la connexion est impossible sans un long processus avec le service de support (dans le cas de l’UNIL, la fondation Switch).
Un compromis sécurité et facilité d’utilisation doit donc être trouvé pour garantir un niveau de sécurité fort tout en permettant à la communauté universitaire de continuer à utiliser les outils informatiques mis à sa disposition avec la plus grande facilité possible. En activant le 2FA tout d’abord pour son VPN, l’UNIL peut ainsi introduire une fonctionnalité qui améliore la sécurité de ses services sensibles tout en limitant l’impact sur ses utilisateurs et utilisatrices. L’activation du 2FA sur d’autres services sensibles est à l’étude et pourrait se faire au gré des impératifs de sécurité.
Le bon sens avant tout
En activant l’authentification à deux facteurs sur son VPN, l’UNIL rajoute une couche de sécurité nécessaire pour protéger ses services et vos données. Néanmoins, cette technologie a ses limites et ne remplacera jamais le bon sens. Nous vous rappelons donc ces quelques règles de sécurité pour que nous puissions tous assurer la sécurité informatique du campus :
- Ne communiquez jamais votre mot de passe à une tierce personne.
- Utilisez un générateur de mots de passe uniques pour tous vos services.
- Restez vigilant et ne rentrez jamais vos mots de passe sur des sites web qui ne sont pas chiffrés (dont l’adresse ne commencent pas par HTTPS => méfiez-vous si votre navigateur web n’affiche pas un cadenas mais une mise en garde comme « Non sécurisé » dans la barre d’adresse)
Plus d’infos
- Activez dès à présent le service de double authentification chez Switch
- VPN à l’UNIL
Image d’en-tête : Vladislav Lukyanov | Dreamstime.com
Photo 1 : Tero Vesalainen | Dreamstime.com