Cybersécurité : renforcer son authentification avec le « multifacteur adaptatif »
Les établissements bancaires montrent le chemin à suivre pour améliorer la sécurité sans (trop) entraver l’accès à leurs services, grâce à une nouvelle méthode : l’authentification multifacteur adaptative. Comment fonctionne-t-elle ?
Un grand nombre de données personnelles sont aujourd’hui stockées dans des systèmes informatiques accessibles via Internet et à la portée des attaques de cybercriminels. Protéger ces dispositifs par un mot de passe n’est plus suffisant : il faut passer à la vitesse supérieure. Dans le cadre de la seconde Directive européenne sur les Services de paiement (la DSP2), les acteurs gérant des transactions financières deviennent des experts de la mise en place de procédures d’authentification renforcée. Comment opèrent-ils ?
Authentification multifacteur : pour la sécurité
L’authentification renforcée s’appuie sur l’application de plusieurs facteurs. Le mot de passe est généralement l’un d’eux. Tout comme un code à usage unique reçu par SMS. Utiliser conjointement les deux constitue une authentification multifacteur.
Les facteurs d’authentification sont répartis dans trois grandes catégories : ce que vous connaissez, comme un mot de passe ; ce que vous possédez, comme un téléphone portable ; ce qui vous définit, comme une empreinte digitale.
Pour être efficace, la procédure d’authentification multifacteur doit faire appel à des facteurs issus de catégories différentes. Ainsi, vous demander un mot de passe (que vous connaissez), puis la saisie d’un code reçu par SMS sur votre téléphone portable (que vous possédez) est une procédure valide pour se connecter à un site.
Par contre, vous demander le numéro de validation de votre carte bancaire (que vous possédez), puis compléter la procédure d’achat par l’envoi d’un code par SMS sur votre téléphone (que vous possédez également) n’est pas recommandé, car les deux facteurs sont issus de la même catégorie. Or, en cas de vol, il est probable que carte bancaire et téléphone portable soient subtilisés en même temps. C’est pour cette raison que nombre de banques ont aujourd’hui modifié leur procédure pour les achats en ligne, en vous demandant de recopier les numéros de votre carte de paiement (que vous possédez), puis de saisir un code généré par un dispositif activable par un code secret (que vous connaissez).
Authentification multifacteur adaptative : pour le confort
La DSP2 insiste sur la nécessité d’adapter la sécurité au risque encouru. Dans l’absolu, tout le monde est tenté de mettre en place le meilleur niveau de sécurité possible. Dans la pratique, mettre en place un sas sécurisé pour l’accès à la cantine d’une entreprise risque fort de mener à la situation du « caillou bloquant la porte en position ouverte » ! Sur un système informatique exigeant de renouveler un nouveau mot de passe de quatre chiffres chaque semaine, cela se traduit par une profusion de suites logiques comme 1234, 2341, 3412 et 4123 : des codes facilement mémorisables… mais aussi facilement piratables…
Le confort est donc essentiel. Et c’est ici qu’entre en jeu l’authentification multifacteur adaptative : le niveau de sécurité ne monte d’un cran qu’en cas de doute. Par exemple, la saisie d’un mot de passe est suffisante pour accéder à ses comptes bancaires, mais un second facteur d’authentification sera demandé lors d’un virement. Autre cas d’usage, le paiement sans contact. Toujours accepté dans vos magasins habituels, il risque fort d’être refusé la première fois que vous en ferez avait fait usage dans un supermarché situé sur votre lieu de vacances. Une contrainte qui ne vous sera toutefois imposée qu’une fois, afin de ne pas pousser à des comportements à risque, comme stocker des fortes sommes en liquide dans son sac banane de voyage.
David FEUGEY