L’authentification, cet élément crucial à ne pas négliger

C’est devenu un geste quotidien, et même, l’un des plus importants. On se réveille, on prend un café, puis on s’authentifie. Aujourd’hui, plus que jamais, nous avons une vie digitale et un devoir de la protéger. Avec Damien LEVEQUE, CTO de Wemanity Secure, revenons sur ce qu’est l’authentification digitale et les bons réflexes à prendre…

1. Pourquoi parler d’authentification  ?

Aujourd’hui, les utilisateurs ont besoin de solutions pratiques et choisissent souvent la facilité dans la gestion de leurs identités virtuelles. Selon une enquête de l’antivirus Avast : 93 % des Français utilisaient des mots de passe faibles en 2019.

2. Qu’est-ce que l’authentification ?

Au sens littéral, l’authentification permet de montrer que quelque chose est bien l’orignal, le réel. 

Désormais, l’authentification se rapporte plus à notre identité digitale. C’est une méthode qui, par chiffrement et déchiffrement protège les informations personnelles d’un utilisateur, mais garantit que l’utilisateur est bien celui qu’il prétend et qu’il est autorisé à accéder à certaines ressources dématérialisées.

« Elle permet de sécuriser un accès, de vous “ouvrir les portes” à un espace personnel. Au début, vous n’aviez besoin que d’un identifiant et d’un mot de passe pour un service. Mais le développement des activités en ligne fait que l’authentification ne protège plus seulement certains comptes e-mail, mais bien votre vie. » Damien LEVEQUE.

3. Quelle est la différence entre authentification et autorisation  ?

« En général, tout commence par un processus d’authentification, on vérifie votre identité, que vous êtes connu, vient ensuite l’autorisation, on vérifie que vous avez reçu le droit d’accéder à la ressource souhaitée. L’autorisation est donc un privilège supplémentaire accordé, par exemple, dans les entreprises où vous disposez d’un accès à un espace lié à vos tâches ou aux outils dont vous avez besoin, mais qui ne vous sont pas propres. C’est aussi votre responsabilité de protéger l’accès à ces ressources même si ce ne sont pas les vôtres.  » Damien LEVEQUE.

4. Quel est le rôle de l’authentification ?

L’authentification permet donc aux organisations ou à des personnes de sécuriser leurs réseaux en autorisant uniquement les utilisateurs ou les processus authentifiés à accéder à leurs ressources protégées.

« L’authentification est partout, elle concerne les systèmes informatiques, les réseaux, les bases de données, API, les sites Web et d’autres applications ou services qui fonctionnent sur internet ou via un réseau. » Damien LEVEQUE.

5. Quels sont les grands types de facteurs d’authentification ?

Il existe plusieurs facteurs d’authentification qui passent généralement par une clé ou une information que l’on connaît (comme un mot de passe), que l’on possède matériellement (comme une carte), et biométrique (comme une empreinte).

Les méthodes d’authentification les plus courantes sont…

L’authentification par mot de passe

L’authentification par mot de passe fournit une méthode simple permettant à l’homologue d’établir son identité à l’aide d’une clé rédactionnelle ou numérique définie.

« Aujourd’hui, des logiciels utilisés par des pirates permettent de tester tous les mots d’un dictionnaire ou toutes les combinaisons de caractères possibles. Avec l’augmentation de la puissance des ordinateurs, ce processus est de plus en plus rapide, d’où l’importance de définir des mots de passe toujours plus longs et complexes. » Damien LEVEQUE.

L’authentification biométrique 

L’authentification biométrique est un processus de sécurité qui repose sur les caractéristiques biologiques (physiques ou comportementales) uniques de l’utilisateur. Nous retrouvons principalement ce type d’authentification sur nos téléphones pour les déverrouiller. Elle permet de s’authentifier d’une manière simple et sûre sans devoir mémoriser une combinaison. 

« Cependant, vous devriez être vigilant. Pour éviter de stocker et sécuriser vos données biométriques, des services populaires qui proposent ce facteur d’authentification, n’offrent en réalité qu’un raccourci vers une combinaison utilisateur/mot de passe. » Damien LEVEQUE.

Le token d’authentification

Un jeton ou token d’authentification est une clé électronique transmise à un utilisateur pour accéder à une ressource restreinte. Ce dispositif de confiance permet d’apporter un facteur supplémentaire afin de confirmer son identité. Il offre une deuxième couche de sécurité et les administrateurs ont un contrôle détaillé sur chaque action et transaction.

« On me demande souvent quels sont les facteurs les plus efficaces. En réalité, ce n’est pas un type ou une technologie de facteurs qui protège, mais leur nombre. Certains hackers font appel à l’ingénierie sociale en utilisant les informations personnelles de leurs victimes pour deviner les mots de passe des services qu’ils utilisent. Donc même nos codes les plus intimes ne sont pas à l’abri. […] Plus on définit de contrôles de vérification, plus on s’assure que les informations sont uniques et que la personne qui se connecte est bien la bonne. Voilà pourquoi la double, voire triple authentification est très efficace, car elle complique grandement la tâche des hackers.  » Damien LEVEQUE.

6. C’est quoi l’authentification à double facteur ?

« Quand on parle d’authentification à double facteur, c’est qu’on ajoute une étape. […] Aujourd’hui, on estime qu’on a besoin d’un facteur supplémentaire pour confirmer une identité de façon fiable. Un exemple très répandu est quand on rentre son identifiant et son mot de passe puis, qu’un service, offrant un degré de sécurisation élevé, vous demande un code temporaire (OTP), souvent sous forme d’une clé de 6 ou 8 chiffres. Il existe plusieurs moyens pour le recevoir, le plus courant étant par SMS ou e-mail, mais je ne le recommande pas, car il est assez simple pour un hacker de parvenir à l’intercepter (SIM-Swapping). Privilégiez l’utilisation d’une application sur votre téléphone comme Google Authenticator (disponible sur Android ou Apple) ou mieux, une application verrouillée par une clé cryptographique comme Yubico Authenticator (Android ou Apple). L’avantage est que si une personne malveillante met la main sur le premier facteur, il ne pourra jamais aller au bout de l’authentification sans le second facteur et donc votre approbation.  » Damien LEVEQUE.

L’OTP (One Time Password ou mot de passe à usage unique) est une chaîne de caractères générée automatiquement qui authentifie un utilisateur pour une seule transaction ou connexion. En effet, ce code expire généralement au bout de quelques secondes, ne laissant que très peu de temps à une personne mal-intentionnée pour l’intercepter et usurper votre identité. 

Parfois, des sites ou des applications vous proposent de configurer cette sécurité, mais il est conseillé de toujours vérifier les paramètres de votre compte pour s’assurer que cette option est disponible.

Source : Google Compte de Damien LEVEQUE

7. Comment définir le meilleur mot de passe ?

Dans un premier temps, il faut définir un mot de passe suffisamment complexe pour ne pas être deviné.

« Deux critères peuvent vous aider : la longueur du mot de passe et son aspect ultra personnel. […] On oublie trop souvent qu’on peut mettre des espaces, des accents… Une phrase par exemple est un bon moyen de complexifier et mémoriser un code. Ajoutez à cette phrase quelques majuscules et remplacez des lettres par des chiffres ou des symboles logiques comme un “1” ou “!” pour un “L” minuscule ou “$” pour un “S”. Avec ça, vous obtiendrez un mot de passe plus résistant face au piratage et plus simple à mémoriser. […] 

Si vous avez beaucoup de comptes et que vous craignez que votre mémoire vous fasse défaut, il existe des coffres-forts numériques, des logiciels comme KeePass et Bitwarden, que je recommande d’utiliser à la place de votre navigateur internet (Chrome, Safari…), ou de vos post-its. 
Ces logiciels peuvent vous apporter d’autres services comme la génération de mots de passe aléatoires ou la vérification de compromission d’un mot de passe dans une base de données piratée. ». Damien LEVEQUE.

Dans un deuxième temps, il faut que ce mot de passe soit unique pour chaque site.

« Une erreur récurrente qui facilite la vie des hackers c’est d’utiliser le même mot de passe partout. Tous les sites internet et applications ne disposent pas d’un niveau de sécurité égal. Le piratage de l’un d’entre eux pourrait être désastreux, car il exposerait l’ensemble de vos données personnelles. Un hacker connaît bien cette faiblesse et pourrait tester des accès découverts sur différents sites ou applications que vous utilisez permettant d’étendre le hack d’un simple jeu vidéo à vos espaces administratifs. » Damien LEVEQUE.

Finalement, il faut régulièrement les mettre à jour..

« Parfois, nos données d’authentification sont exposées à notre insu. Il existe des sites internet que j’utilise, reconnus comme fiables comme haveibeenpwned. Ce site internet est très intéressant, car il consulte des bases de données piratées et vous indique si votre adresse mail ou votre mot de passe s’y trouve. […]
Une autre pratique que je recommande afin de limiter l’impact d’un éventuel piratage, c’est d’utiliser 3-4 adresses e-mail en fonction du type de plateforme sur lequel vous cherchez à vous enregistrer (Réseaux sociaux, Newsletters, Comptes administratifs…). » Damien LEVEQUE.

8. Quelles sont les limites de l’authentification en matière de cybersécurité ?

Pour la meilleure authentification, il est crucial de :

• Définir des mots de passe complexes et uniques, 
• S’assurer systématiquement de la possibilité d’ajout de facteurs supplémentaires,
• Stocker dans des espaces chiffrés et sécurisés (ou dans sa mémoire), 
• Veiller à ne jamais les partager. 

« Même avec une personne qui se présenterait comme le support technique, un supérieur hiérarchique ou un e-mail. Surtout, ne jamais cliquer à la hâte sur des liens, car même si vous ne fournissez aucune information personnelle, vous devenez une victime d’arnaques toujours mieux ficelées. » Damien LEVEQUE.

La limite de l’authentification est la prudence. Comme l’explique Damien LEVEQUE, se protéger des processus d’authentification n’est ni compliqué ni chronophage, mais demande de prendre de bonnes habitudes. 

« Cela peut même devenir un jeu entre tous les caractères et moyens mnémotechniques personnalisables. À chacun d’adapter sa méthode pour sécuriser ses accès. Prenez conscience que nous sommes vulnérables aux hackers face à leurs techniques toujours plus innovantes. Notre meilleure défense est donc la vigilance. » Damien LEVEQUE

En résumé :