En 2023, l’authentification forte, aussi appelée moderne, s’impose comme pratique de protection de base pour les comptes critiques, mais de quoi s’agit-il, comment bien le faire et comment ça marche ?
Connaissez-vous la fable du loup, de la chèvre et du chevreau ? Devant laisser son chevreau seul, la chèvre lui rappelle de n’ouvrir que si c’est elle. Elle lui donne une phrase de code que le loup entend. Quand le loup prononce cette phrase en imitant la voix de la chèvre, le chevreau demande de montrer la patte blanche. Le loup s’en va car il n’a pas la patte blanche.
L’authentification consiste à prouver que je suis la personne que je prétends être. Mon identité c’est mon nom ou l’identifiant de connexion. L’authentification repose sur ce que je sais (une phrase de passe), ce que je suis (ma voix, mon visage, une patte blanche), ce que j’ai (une clé ou un téléphone). Le chevreau, doutant de l’identité de sa mère, demande en plus de la phrase de passe et de la voix, de montrer l’équivalent d’une empreinte. Ésope déjà rappelle que deux suretés valent mieux qu’une.
Tout en doit pas être protégé de la même façon. Comparons avec votre maison. Vous avez un portail qui donne sur la rue, fermé avec une clé, puis vous avez une clé pour entrer dans la maison. Ensuite, chaque pièce est fermée avec une porte, qui n’a pas nécessairement de clé. Vous protégez vos biens en ajoutant différents niveaux de protection. Les choses les plus précieuses ont le niveau le plus élevé, comme un coffret de sécurité, dans un bureau fermé à clé, derrière la porte d’entrée et le portail également fermés à clé.
C’est le même principe pour vos biens numériques. Chaque compte a une porte, plus ou moins sécuritaire selon ce qu’il y a derrière. Vous ouvrez ces portes avec un identifiant et un mot de passe, et au besoin une deuxième sureté.
Vos comptes les plus précieux
- Messagerie : elle donne accès à tous les autres comptes, avec les rappels de mots de passes oubliés ou envoi de codes d’authentification. Protégez autant la messagerie professionnelle que personnelle.
- Réseaux sociaux : vous les utilisez peut-être pour vous connecter à d’autres comptes ou avez accès au profil d’une entreprise. Ils contiennent des listes d’amis et vous représentent.
- Gestion de la clientèle : que ce soit le marketing par email ou SMS, la prise de rendez-vous ou le CRM, ces comptes ont les données personnelles de vos clients et doivent être protégés selon le RGPD et la Loi 25 au Québec.
Ces trois types de comptes doivent avoir une protection plus solide que les autres. D’une part, un mot de passe unique, d’autre part une deuxième méthode pour prouver que c’est vous qui vous connectez. C’est l’authentifcation forte. Attention, tous ces comptes sont en général accessibles depuis votre téléphone, il est donc important de bien protéger votre téléphone.
Mettre en place l’authentification forte
Il y a plusieurs options, certaines sont plus sécuritaires que d’autres. Choisissez toujours la plus sécuritaire offerte par l’application ou la solution. Dans l’ordre :
- Clé de sécurité (exemple : Yubikey), que vous connectez au port USB et gardez avec vos clés.
- Biométrie : reconnaissance du visage ou de l’empreinte digitale, souvent dans une application sur le téléphone.
- Application d’authentification : code de 6 chiffres dans Microsoft Authenticator, Google Authenticator ou bouton à cliquer dans l’application mobile.
- Envoi d’un code par email ou SMS (déconseillé).
Allez dans les paramètres de sécurité du compte que vous souhaitez sécuriser et activez l’option d’authentification forte.
Attention ! Si vous perdez votre téléphone ou désinstallez l’application d’authentification, vous pouvez perdre l’accès à votre compte. Vous devez donc créer une solution d’urgence, de type brise-glace (break glass). Si vous perdez les clés de votre maison, vous pouvez briser la fenêtre pour entrer (ou appeler un serrurier, mais ça va être beaucoup plus long)
Pour vos comptes, il s’agit d’activez plusieurs méthodes d’authentification forte ou d’imprimer des codes de secours. J’ai bien écrit : imprimer… une fois les codes obtenus, ne laissez pas ces codes dans votre ordinateur. Imprimez la fiche et conservez là avec votre clé de secours chez une personne de confiance ou avec vos passeports.
Depuis le 11 octobre 2023, Google a mis en place Keypass (clés d’accès). Plus de mot de passe, plus d’application, mais la reconnaissance automatique de votre appareil. C’est très sécuritaire et vous pouvez l’utiliser à la place de toutes ces méthodes.
Est-ce vraiment sécuritaire ?
Oui, c’est plus sécuritaire d’avoir de l’authentification forte que de ne pas en avoir ! Par contre, à mesure que nous nous protégeons, les cyber criminels innovent et trouvent des moyens de déjouer nos protections. Voici deux exemples.
Le SIM-swapping consiste à usurper votre numéro de téléphone. Un pirate pourrait obtenir le code d’authenfication envoyé sur votre cellulaire, c’est pourquoi l’envoi de code par SMS n’est pas recommandé.
En 2022, Uber a été victime d’une attaque appelée fatigue MFA. L’attaquant, un jeune anglais de 16 ans, avait le mot de passe d’un employé d’Uber. Il a essayé de se connecter et envoyé de multiples requêtes pour authentifier la connection. Au bout d’un moment, l’employé a cliqué sur « accepter », et le jeune est entré dans le compte Uber.
Il y a des attaques bien plus sophistiquées, mais la majorité des attaques sont opportunistes et ciblent des portes ouvertes, mal fermées ou avec une clé sur la porte.