L'authentification multi-facteur (MFA/2FA) : oui mais de façon maîtrisée

Il est fortement recommandé de protéger vos comptes importants, là où c'est possible par un système d'authentification multi-facteur. C'est recommandé par les professionnels de la sécurité et notamment la CNIL. Très bien, mais comment s'y prendre concrètement et sans créer une couche de complexité supplémentaire ?

Comment ça marche

Comprendre le fonctionnement d'un système permet de mieux faire son choix parmi les solutions proposées. Prenons l'exemple de la solution la plus couramment proposée basée sur un facteur de possession avec un élément secret non mémorisable, tel qu'un code à usage unique, généralement nommés protocole OTP (pour one-time password en anglais). On parle donc typiquement d'un jeton logiciel lié (device-bound soft token en anglais) reposant sur une application associée à un appareil enrôlé, typiquement votre smartphone. Une application permettra de fournir un mot de passe à usage unique temporisé (typiquement 30 à 60 secondes). On utilise un mot de passe secret et un horodatage pour créer une séquence de caractères chiffrée. Le mot de passe est aussi bien connu de l’utilisateur que du serveur sans aucune communication entre eux puisqu'ils sont parti d'une même séquence lors de l'enrôlement. C'est donc "impossible" à craquer de façon logicielle et la seule option d'une personne malveillante pour obtenir ce type de code à l'insu de sa victime est l'utilisation de l'ingénierie sociale (Social Engineering).

Les outils les plus connus

Dans la pratique, lors d'un enrôlement d'un appareil, on se voit proposé typiquement des outils de géants du Cloud bien connus.

Dans la plupart de ces outils, il manque une fonction fondamentale : la sauvegarde. Oui, car admettons que vous n'avez plus accès à votre téléphone (perte, vol, casse, ...) vous allez être très embêté pour accéder à vos applications sécurisé par 2FA. Certains applications proposent un « stock » de 10 codes d'urgence qui pourrait servir dans ce cas de figure. Encore faut-il les avoir sous la main pour ensuite faire un tour complet sur chaque application pour laquelle le 2FA a été activé afin de la resynchroniser. Une tâche fastidieuse et longue surtout quand vous avez un certain nombre de comptes concerné par le 2FA.

D'autres applications encore proposent une synchronisation vers son compte Cloud du même fournisseur. Mais cela va à l'encontre même du principe du 2FA qui doit tourner sur 2 systèmes indépendants sans être connecté. Dans le cas d'une synchronisation vers son compte Cloud, en cas de piratage, vous perdrez la sécurisation de vos accès et ce principe est donc à proscrire.

Quelle solution choisir alors ?

Une application qui ne se sauvegarde/synchronise pas dans le Cloud mais propose une vraie sauvegarde « hors-ligne » que vous pouvez stocker où vous le souhaitez et restaurer vers le mobile de votre choix. Nous avons testé « Pixplicity Authenticator » (renommé récemment en « Drop Authenticator ») qui répond parfaitement à ce besoin. En effet, aucune échange de données à lieu avec l’extérieur ET une sauvegarde hors-ligne est possible simplement en fournissant une phrase secrète et un fichier de sauvegarde chiffré est créée que vous pouvez stocker où vous voulez. Le fichier est restaurable avec la phrase secrète.

Conclusion

Choisissez bien l’outil 2FA qui convient à votre environnement. Ce n’est pas forcément celui du votre fournisseur Cloud ou le plus connu.

PS. faire des sauvegardes c’est bien mais il faut penser à tester la restauration périodiquement.

Contactez-nous pour parler de vos besoins d’audit et sécurité.