Skip to content Skip to navigation Skip to footer

Définition de l'authentification à deux facteurs (2FA)

Contactez-nous

Définition de l’authentification à deux facteurs

L’authentification à deux facteurs (2FA) est un processus de sécurité qui augmente la probabilité qu’une personne soit ce qu’elle prétend être. Le processus demande aux utilisateurs de fournir deux facteurs d’authentification différents avant de pouvoir accéder à une application ou un système, plutôt que d’indiquer simplement leur nom d’utilisateur et leur mot de passe.

La 2FA est un outil de sécurité vital qui permet aux organisations de protéger leurs données et leurs utilisateurs face à un paysage de cybersécurité chargé d’un volume plus élevé de cyberattaques de plus en plus sophistiquées. Les entreprises de toutes tailles doivent suivre le rythme de la sophistication des attaquants et faire évoluer continuellement leurs défenses pour empêcher les malfaiteurs d’accéder à leurs réseaux et systèmes.

Pour répondre à ce qu’est la 2FA, un bon point de départ est de se souvenir qu’il s’agit d’un processus par lequel les organisations cessent de compter uniquement sur les mots de passe pour accéder aux applications et aux sites Web. La 2FA fait exactement ce qu’elle dit : fournir un processus d’authentification en deux étapes qui ajoute une couche de sécurité supplémentaire aux défenses des entreprises. 

Il est donc plus difficile pour les cybercriminels de voler l’identité des utilisateurs ou d’accéder à leurs appareils et comptes. Elle permet également aux organisations d’empêcher les attaquants d’accéder à leurs systèmes, même lorsque le mot de passe d’un utilisateur a été volé. Ce processus est de plus en plus utilisé pour prévenir les cybermenaces courantes, telles que les attaques de phishing, qui permettent aux attaquants d’usurper les identités après avoir volé les mots de passe de leurs cibles.

Quels sont les facteurs d’authentification ?

Il existe plusieurs types de facteurs d’authentification qui peuvent être utilisés pour confirmer l’identité d’une personne. Les plus fréquents sont les suivants :

  1. Un facteur de connaissance : il s’agit d’informations que l’utilisateur connaît, par exemple un mot de passe, un numéro d’identification personnel (PIN) ou un code d’accès.
  2. Un facteur de possession : il s’agit de quelque chose que l’utilisateur possède, par exemple son permis de conduire, sa carte d’identification, son dispositif mobile ou une application d’authentification sur son smartphone.
  3. Un facteur d’inhérence : il s’agit d’un attribut personnel ou un élément inhérent à l’utilisateur, généralement une forme de facteur biométrique. Il s’agit notamment des lecteurs d’empreintes digitales, de la reconnaissance faciale et vocale, ainsi que de la biométrie comportementale comme la dynamique des frappes et les traceurs de schémas vocaux.
  4. Un facteur d’emplacement : il est généralement guidé par l’emplacement où un utilisateur tente d’authentifier son identité. Les organisations peuvent limiter les tentatives d’authentification à certains dispositifs situés à des emplacements spécifiques, en fonction de la manière dont les employés se connectent à leurs systèmes et de l’endroit où ils se connectent. 
  5. Un facteur de temps : ce facteur restreint les demandes d’authentification à des moments spécifiques où les utilisateurs sont autorisés à se connecter à un service. Toutes les tentatives d’accès en dehors de ce délai seront bloquées ou restreintes. 

Comment fonctionne l’authentification à deux facteurs ?

Le processus d’authentification à deux facteurs démarre lorsqu’un utilisateur tente de se connecter à une application, un service ou un système jusqu’à ce qu’il se voit accorder l’accès pour l’utiliser. Le processus d’authentification ressemble à ceci :

  • Étape 1 : l’utilisateur ouvre l’application ou le site Web du service ou du système auquel il souhaite accéder. Il est ensuite invité à se connecter à l’aide de ses identifiants. 
  • Étape 2 : l’utilisateur entre ses identifiants de connexion, qui sont généralement son nom d’utilisateur et son mot de passe. L’application ou le site Web confirme les détails et reconnaît que les détails corrects de l’authentification initiale ont été saisis. 
  • Étape 3 : si l’application ou le site Web n’utilise pas les informations d’identification de connexion par mot de passe, il génère une clé de sécurité pour l’utilisateur. La clé sera traitée par l’outil d’authentification et le serveur validera la demande initiale.
  • Étape 4 : l’utilisateur est ensuite invité à soumettre un deuxième facteur d’authentification. Il s’agira généralement du facteur de possession, c’est-à-dire quelque chose dont lui seul devrait être en possession. Par exemple, l’application ou le site Web enverra un code unique au dispositif mobile de l’utilisateur.
  • Étape 5 : l’utilisateur saisit le code dans l’application ou le site Web, et si le code est approuvé, il sera authentifié et aura accès au système.

Certains types courants d’authentification à deux facteurs

Il existe plusieurs types de 2FA qui peuvent être utilisés pour confirmer plus clairement qu’un utilisateur est bien celui qu’il prétend être. Certains des exemples les plus simples incluent la réponse à des questions de sécurité et la fourniture de codes à usage unique. D’autres utilisent différents types de jetons et d’applications pour smartphone. Les types courants d’authentification à deux facteurs sont les suivants :

Jetons matériels pour 2FA

Les jetons matériels sont l’un des types de formats de 2FA d’origine. Ce sont généralement de petits dispositifs de clés électroniques qui génèrent un code numérique unique toutes les 30 secondes. Lorsqu’un utilisateur soumet sa première demande d’authentification, il peut se diriger vers la télécommande clé et émettre le code qu’elle affiche. Les autres formes de jetons matériels incluent les périphériques de bus universel en série (Universal Serial Bus, USB) qui, lorsqu’ils sont insérés dans un ordinateur, transfèrent automatiquement un code d’authentification.

YubiKey, l’abréviation d’une clé « ubiquitous » (qui signifie omniprésente), est un exemple de clé de sécurité qui permet aux utilisateurs d’ajouter un deuxième facteur d’authentification à des services, tels qu’Amazon, Google, Microsoft et Salesforce. Le dispositif USB est utilisé lorsque les utilisateurs se connectent à un service qui prend en charge les mots de passe à usage unique (One-Time Passwords, OTP), tels que GitHub, Gmail ou WordPress. L’utilisateur connecte la YubiKey à son port USB, saisit son mot de passe, clique sur le champ YubiKey et touche un bouton sur le dispositif. Cela génère un OTP de 44 caractères et le saisit automatiquement sur le dispositif de l’utilisateur pour vérifier qu’il est en possession d’un facteur d’authentification 2FA.

Il est généralement coûteux pour les organisations de distribuer des dispositifs de jetons matériels. De plus, les jetons matériels sont faciles à égarer et peuvent eux-mêmes être piratés par les hackers, ce qui en fait une option d’authentification non sécurisée.

Authentification à deux facteurs par message texte et par SMS

Les facteurs 2FA par message textuel court (Short Message Service, SMS) et message texte sont générés lorsqu’un utilisateur tente de se connecter à une application ou un service. Un message SMS contenant un code unique que l’utilisateur saisit ensuite dans l’application ou le service sera envoyé à son dispositif mobile. Ce type de facteur d’authentification 2FA a été utilisé par les banques et les services financiers pour vérifier les achats ou les modifications que les clients ont apportés à leurs comptes bancaires en ligne. Cependant, à l’heure actuelle, ils ont tendance à abandonner cette option, étant donné la facilité avec laquelle les messages texte peuvent être interceptés.

L’appel vocal 2FA est similaire au facteur SMS. Lorsqu’un utilisateur entre ses identifiants de connexion, il reçoit un appel sur son dispositif mobile qui lui indique le code 2FA à saisir. Ce facteur d’authentification est utilisé moins fréquemment, mais il est déployé par les organisations dans les pays qui ont de faibles niveaux d’utilisation de smartphones.

Notifications push pour 2FA

Les notifications push sont un format d’authentification en deux étapes sans mot de passe plus couramment utilisé. Plutôt que de recevoir un code sur leur dispositif mobile par SMS ou message vocal qui peut être piraté, les utilisateurs peuvent recevoir une notification push sur une application sécurisée sur le dispositif enregistré dans le système d’authentification. La notification informe l’utilisateur de l’action qui a été demandée et lui indique qu’une tentative d’authentification a eu lieu. Ensuite, il lui suffit d’approuver ou de refuser la demande d’accès. 

Ce format d’authentification crée une connexion entre l’application ou le service auquel l’utilisateur tente d’accéder, le fournisseur de services 2FA, l’utilisateur lui-même et son dispositif. Il est convivial et réduit les risques de sécurité potentiels, tels que le phishing, les attaque de l’intercepteur (Man-In-The-Middle, MITM), l’ingénierie sociale et les tentatives d’accès non autorisées.

Ce format d’authentification est plus sécurisé que les SMS ou appels vocaux, mais comporte toujours des risques. Par exemple, il est facile pour un utilisateur de confirmer accidentellement une demande d’authentification qui a été frauduleusement envoyée en appuyant rapidement sur le bouton d’approbation lorsque la notification push apparaît.

Authentification à deux facteurs pour les dispositifs mobiles

Les smartphones offrent une variété de possibilités pour 2FA, et permettent ainsi aux entreprises d’utiliser ce qui leur convient le mieux. Certains appareils sont capables de reconnaître les empreintes digitales. Une caméra intégrée peut être utilisée pour la reconnaissance faciale ou le balayage de l’iris, et le microphone peut être utilisé pour la reconnaissance vocale. Les smartphones équipés d’un système de géolocalisation (Global Positioning System, GPS) peuvent vérifier l’emplacement en tant que facteur d’authentification supplémentaire. La voix ou les SMS peuvent également être utilisés comme canal pour l’authentification hors bande.

Un numéro de téléphone approuvé peut être utilisé pour recevoir des codes de vérification par message texte ou appel téléphonique automatisé. Un utilisateur doit vérifier au moins un numéro de téléphone approuvé pour s’inscrire à la 2FA. Apple iOS, Google Android et Windows 10 ont tous des applications qui prennent en charge la 2FA, permettant ainsi au téléphone lui-même de servir de dispositif physique pour satisfaire au facteur de possession. 

Duo Security, basé à Ann Arbor dans le Michigan, qui a été acheté par Cisco en 2018 pour 2,35 milliards USD, est un fournisseur de plates-formes 2FA dont le produit permet aux clients d’utiliser leurs appareils approuvés pour la 2FA. La plateforme de Duo établit d’abord qu’un utilisateur est approuvé avant de vérifier que le dispositif mobile peut également être approuvé pour authentifier l’utilisateur.

Grâce aux applications d’authentification, il n’est plus nécessaire d’obtenir un code de vérification par SMS, appel vocal ou e-mail. Par exemple, pour accéder à un site Web ou à un service Web qui prend en charge Google Authenticator, les utilisateurs saisissent leur nom d’utilisateur et leur mot de passe, soit un facteur de connaissance. Les utilisateurs sont ensuite invités à saisir un numéro à six chiffres. Au lieu d’avoir à attendre quelques secondes pour recevoir un message texte, un authentificateur génère le numéro pour eux. Ces numéros changent toutes les 30 secondes et sont différents pour chaque connexion. En saisissant le nombre correct, les utilisateurs terminent le processus de vérification et prouvent qu’ils sont en possession du bon dispositif, soit un facteur de propriété.

L’authentification multifacteur par rapport à l’authentification à deux facteurs (MFA par rapport à 2FA)

La 2FA est un sous-ensemble du concept plus large d’authentification multifacteur (Multi-Factor Authentication, MFA). La MFA exige que les utilisateurs vérifient plusieurs facteurs d’authentification avant d’obtenir l’accès à un service. Il s’agit d’un élément central de toute solution de gestion des identités et des accès (Identity and Access Management, IAM) qui réduit les risques de violation de données ou de cyberattaque en renforçant la certitude accrue qu’un utilisateur est bien celui qu’il prétend être.

La principale différence entre la 2FA et la MFA est que la 2FA ne nécessite qu’une forme supplémentaire de facteur d’authentification. Le MFA, en revanche, peut utiliser autant de facteurs d’authentification que l’application l’exige avant de s’assurer que l’utilisateur est bien celui qu’il prétend être.

Cela est dû au fait qu’un attaquant peut pirater un facteur d’authentification, tel que la carte d’identification ou le mot de passe d’un employé. Par conséquent, les entreprises doivent ajouter d’autres facteurs d’authentification qui rendent la tâche du hacker plus difficile. Par exemple, les environnements hautement sécurisés exigent souvent des processus MFA de plus haut niveau mettant en jeu une combinaison de facteurs physiques et de connaissance ainsi qu’une authentification biométrique. Ils prennent également souvent en compte des facteurs, tels que la géolocalisation, le dispositif utilisé, l’heure à laquelle le service est consulté et la vérification continue du comportement.

La clé de tout processus d’authentification est de trouver le juste milieu entre un système que les utilisateurs finaux trouvent facile à utiliser et un système qui fournit le niveau de sécurité qu’une entreprise exige pour protéger ses données et ses systèmes. Les employés ne veulent pas être freinés par une solution d’authentification lente et peu fiable, et chercheront inévitablement à contourner des processus encombrants qui les empêchent de faire leur travail. 

L’authentification à deux facteurs est-elle sécurisée ?

Il est intrinsèquement plus sûr d’exiger plusieurs facteurs d’authentification avant qu’un utilisateur n’obtienne l’accès à une application ou un site Web que de s’appuyer uniquement sur des combinaisons de nom d’utilisateur et de mot de passe. Par conséquent, la 2FA est plus sécurisée que la protection qui se contente de demander aux utilisateurs de saisir un mot de passe unique. Dans la même logique, la MFA peut également être considérée comme plus sécurisée que la 2FA, puisqu’elle permet aux organisations de demander davantage de facteurs d’authentification aux utilisateurs.

Il existe cependant des lacunes dans les niveaux de sécurité de la 2FA. Par exemple, l’utilisation de jetons matériels peut rendre une organisation vulnérable au cas où le fabricant de l’appareil subirait un défaut de sécurité. C’est ce qui s’est produit lorsqu’en 2011, la société de sécurité RSA a fait l’objet d’une violation de données suite au piratage de ses jetons d’authentification SecurID.

D’autres facteurs d’authentification ont également leurs défauts. L’authentification à deux facteurs par SMS est bon marché et facile à utiliser pour les employés, mais vulnérable aux cyberattaques. L’utilisation de SMS pour la 2FA a été déconseillée par l’Institut national des normes et des technologies (National Institute of Standards and Technology, NIST), qui souligne sa vulnérabilité à diverses attaques de portabilité et problèmes de malwares.

Malgré cela, la plupart des cyberattaques proviennent de sites éloignés, ce qui fait de la 2FA un outil relativement utile pour protéger les entreprises. Elle empêche généralement les attaquants d’accéder à une application ou à un système avec des identifiants et des mots de passe d’utilisateur volés. Il est également peu probable qu’un attaquant puisse accéder au deuxième élément d’authentification d’un utilisateur, en particulier lorsqu’il s’agit de facteurs biométriques.

L’authentification à deux facteurs et la solution de gestion des accès par identification de Fortinet

Les entreprises gèrent de plus en plus d’environnements d’identité comprenant plusieurs systèmes sur des applications cloud, des services d’annuaire, des périphériques réseau et des serveurs. Cela se transforme rapidement en une tâche administrative extrêmement difficile qui se termine par une expérience utilisateur médiocre, des développeurs d’applications déconcertés et un cauchemar logistique pour les administrateurs. Par conséquent, les entreprises sont exposées aux violations de données dues à des vulnérabilités du code, à des niveaux d’accès utilisateur inappropriés et à des mises à jour logicielles mal gérées. 

La solution de gestion des identités et des accès de Fortinet fournit aux organisations le service dont elles ont besoin pour confirmer et gérer en toute sécurité les identités des utilisateurs et des dispositifs sur leurs réseaux. Cette solution robuste permet aux entreprises de prendre le contrôle de l’identité des utilisateurs et garantit que les utilisateurs n’ont accès qu’aux systèmes et ressources auxquels ils ont besoin d’accéder.

La solution IAM de Fortinet est constituée de trois composants principaux :

  1. FortiAuthenticator : FortiAuthenticator neutralise tout accès non autorisé aux ressources d’entreprises en fournissant des services centralisés d'authentification pour la Security Fabric Fortinet, dont des services d’authentification unique, la gestion des certificats et la gestion des invités.
  2. FortiToken : fournit une confirmation supplémentaire des identités des utilisateurs en fournissant un deuxième facteur d’authentification. Il le fait par le biais d’applications mobiles et de jetons physiques.
  3. FortiToken Cloud : fournit une authentification MFA en tant que service et est livré avec un tableau de bord intuitif qui permet aux organisations de gérer leur solution d’authentification MFA.

Ces trois composants combinés répondent aux défis de l’IAM auxquels les organisations sont confrontées lorsqu’elles gèrent des effectifs plus importants demandant l’accès à leurs systèmes depuis un nombre croissant d’appareils.

FAQ

Que signifie l’acronyme 2FA ?

2FA signifie « authentification à deux facteurs », un processus de sécurité qui permet aux organisations de renforcer la sécurité de leurs applications, systèmes et sites Web.

Que signifie l’authentification à deux facteurs ?

L’authentification à deux facteurs signifie qu’un utilisateur doit soumettre deux facteurs d’authentification qui prouvent qu’il est bien ce qu’il prétend être. Elle est utilisée lorsqu’un utilisateur se connecte à une application ou un système, et ajoute une couche de sécurité supplémentaire par rapport à une connexion à l’aide de ses seuls nom d’utilisateur et mot de passe, qui peuvent facilement être piratés ou volés.

L’authentification à deux facteurs peut-elle être piratée ?

Les processus d’authentification à deux facteurs peuvent être piratés. Les outils 2FA comme les jetons matériels peuvent être compromis, et les messages SMS peuvent être interceptés par des malfaiteurs. Cependant, la 2FA est un processus de connexion plus sécurisé que l’utilisation de mots de passe seuls.

Qu’est-ce qu’une authentification à multifacteurs ?

L’authentification à multifacteurs est un processus de sécurité qui permet d’utiliser plusieurs facteurs d’authentification pour confirmer qu’un utilisateur est bien celui qu’il prétend être. La MFA s’entend de l’utilisation de plus d’un facteur d’authentification pour permettre à un utilisateur d’accéder à son compte.