Introduction
Il n’est pas une semaine où une nouvelle faille liée à l’authentification est rendue publique : accès à des services protégés, vols de mots de passe, compromission de données sensibles. Selon le rapport Data Breach Investigations Report 2024, plus de 80% des violations de données impliquent des identifiants compromis ou des erreurs d’authentification.
Avec le développement exponentiel des services en ligne, l’authentification est devenue la première ligne de défense contre les attaques venant d’internet. Elle doit donc être considérée comme ce qu’elle est : une fonction critique à ne pas prendre à la légère.
Il est ainsi fini le temps où chaque application proposait son formulaire de vérification d’un mot de passe stocké dans sa base locale. L’authentification moderne doit relever un double défi :
- Assurer une sécurité optimale face à des menaces toujours plus sophistiquées
- Maintenir une expérience utilisateur fluide qui n’entrave pas l’usage des services
Ce deuxième point est essentiel : un utilisateur sur deux en moyenne a abandonné une démarche en ligne lors de l’apparition de l’écran de saisie du mot de passe. Chez Aduneo, nous accompagnons quotidiennement nos clients dans la mise en œuvre de solutions d’authentification robustes et adaptées à leurs enjeux. Voici notre guide des bonnes pratiques et nios conseils pour une authentification sécurisée.
Sommaire
- Les principes directeurs de l’authentification moderne
- Les attentes modernes en matière d’authentification
- Stratégies d’authentification efficaces
- Solutions pratiques pour une authentification renforcée
- Nos recommandations pour une mise en œuvre réussie
- FAQ
Les principes directeurs de l’authentification moderne
Durcir la fonction d’authentification des applications
Il n’est pas anormal qu’un développeur introduise des vulnérabilités dans son code. Il se concentre sur les fonctionnalités à mettre en œuvre, et les impératifs de temps et de budget l’empêchent trop souvent de s’attacher à la bonne qualité du code, que ce soit pour les aspects d’optimisation, d’élégance ou de sécurité.
Historiquement, ces vulnérabilités ont souvent été exploitées pour contourner l’authentification d’applications dont le module correspondant était codé par les développeurs de l’application eux-mêmes.
Solution recommandée : Déléguer la conception et la mise en œuvre du module d’authentification à des experts en sécurité qui en garantissent l’inviolabilité. Chez Aduneo, nous développons des solutions sur mesure ou intégrons des modules d’authentification éprouvés pour renforcer la sécurité de vos applications.
Le moyen d’authentification ne détermine pas seul le niveau de sécurité
Un principe fort de la sécurité est que le niveau global de sécurité d’une chaîne est celui de son maillon le plus faible. Ce principe s’applique pleinement à l’authentification, où il faut considérer le cycle de vie complet d’un moyen d’authentification dans son ensemble.
Prenons l’exemple d’une clé de sécurité FIDO2, qui est l’un des rares véritables moyens d’authentification forte. Si l’enregistrement de cette clé peut se faire avec un simple mot de passe (ce qui est malheureusement souvent le cas par défaut), toutes ces mesures de sécurisation sont compromises et le niveau réel d’authentification retombe à celui du simple mot de passe.
Se mettre en rapport avec la perception de criticité des utilisateurs
Un principe de base de la sécurité indique que plus on élève le niveau de contrainte, plus les utilisateurs chercheront et réussiront à contourner les mesures mises en place. Ce point est particulièrement important pour les services en ligne, car le contournement ultime est le refus de recourir au service.
L’art du spécialiste en authentification est de parvenir à un juste équilibre entre les contraintes imposées aux utilisateurs et le confort de l’expérience. Pour être plus pratique, on cherche à mettre sur le même plan les mesures de sécurisation avec ce que l’utilisateur perçoit de la criticité du service.
Un déséquilibre dans un sens ou dans l’autre entraîne une perte de confiance :
- Imposer une authentification forte pour accéder à un simple abonnement de newsletter sera perçu comme excessif
- Permettre l’accès à un espace bancaire avec un mot de passe trop simple paraîtra négligent
Les attentes modernes en matière d’authentification
Offrir des moyens d’authentification à plusieurs facteurs quand c’est pertinent
Tous les moyens d’authentification n’apportent pas la même garantie sur l’identité de l’utilisateur. De manière symétrique, tous les moyens d’authentification n’imposent pas les mêmes contraintes à l’utilisateur.
De fait, il n’existe pas de moyen idéal, facile à utiliser et à déployer, avec un niveau de sécurité élevé. Si c’était le cas, il serait déjà adopté universellement.
Or c’est le mot de passe qui reste adopté par tous, avec un niveau de sécurité qui n’est pas compatible avec les exigences de services critiques. Une meilleure sécurisation impose de cumuler plusieurs facteurs, afin de réduire les chances que l’un d’eux soit compromis.
On choisit ces facteurs dans des catégories différentes :
- Ce que l’on sait (comme le mot de passe)
- Ce que l’on possède (comme un téléphone mobile)
- Ce que l’on est (une caractéristique biométrique)
Selon une étude de Microsoft, l’authentification multifacteur (MFA) peut bloquer jusqu’à 99,9% des attaques automatisées sur les comptes, même lorsque les attaquants possèdent le mot de passe de l’utilisateur.
Prendre en compte la logistique des moyens d’authentification
Pour être efficace, chaque moyen d’authentification suppose une logistique plus ou moins complexe pour :
- Son enrôlement (l’initialisation du mot de passe par exemple)
- Sa perte/son oubli
- Sa restitution éventuelle
Cette logistique, qui est d’autant plus compliquée que des équipements matériels sont distribués, implique souvent la connaissance d’informations personnelles sur les utilisateurs : l’adresse de messagerie, le numéro de téléphone, l’adresse postale.
Par exemple, le mécanisme simple d’initialisation d’un mot de passe repose souvent sur l’adresse de messagerie, que l’on connaît souvent lors de la phase d’enrôlement. Mais par la suite, il n’est pas exclu que l’utilisateur en change, ce qui pose alors un problème en cas de besoin de réinitialisation.
Stratégies d’authentification efficaces
S’appuyer sur des fédérateurs d’identités
Les fédérateurs d’identités déportent l’authentification vers un système tiers où l’utilisateur dispose déjà d’un compte.
Pour le grand public, on parle de login social, avec des fournisseurs comme Google ou Facebook. Le service public français dispose de France Connect, qui a déjà enregistré plus de 40 millions d’utilisateurs depuis son lancement et des initiatives plus locales sont aussi de plus en plus adoptées comme mon-compte.bzh.
Proposer une authentification fédérée présente de nombreux avantages :
- Pour l’utilisateur, qui n’a pas à gérer un nouveau mot de passe ou une nouvelle manière de s’authentifier
- Pour l’utilisateur également, qui voit son inscription facilitée avec le préremplissage des informations de base
- Pour le service en ligne, qui déporte l’essentiel de ses obligations : sécurité de l’acte d’authentification et logistique du moyen d’authentification
Il n’est cependant que difficilement concevable de ne proposer que ce mode d’authentification, en supprimant la possibilité de se créer un compte local. Toutes les expériences en la matière ont entraîné des frustrations chez ceux qui ne disposaient pas de comptes dans les fédérateurs.
Adapter le mode d’authentification au contexte
Lorsqu’un service numérique reçoit une demande d’authentification sortant de l’ordinaire, il est possible qu’elle n’émane pas de l’utilisateur légitime. On est ainsi habitué maintenant à devoir confirmer un mot de passe par des informations complémentaires lorsque l’on accède à un service internet depuis un pays étranger.
Il est souhaitable qu’une analyse de risque soit réalisée lors de chaque authentification, soit pour la faciliter (contexte habituel), soit pour la renforcer (situation jugée anormale).
La difficulté provient souvent de la manière de confirmer une authentification. Si elle ne passe pas nécessairement par un facteur supplémentaire (envoi d’un OTP par mail ou SMS souvent), elle repose souvent sur une information supplémentaire à fournir sur l’utilisateur.
Adapter l’authentification à la criticité des applications
En référence à l’un des principes directeurs, en authentification auprès d’une application critique, les utilisateurs non seulement comprennent que les mesures soient plus strictes, mais ils les escomptent.
Avec la généralisation du SSO (Single Sign-On), il incombe au serveur d’authentification de continuer de garantir le niveau de sécurité des applications critiques. Même si un utilisateur a été identifié auparavant avec une authentification normale, le serveur devra requérir une nouvelle authentification plus sécurisée lors de l’accès à une telle application.
Solutions pratiques pour une authentification renforcée
Réduire le nombre de mots de passe grâce au SSO
Il n’est physiquement pas possible de retenir tous les mots de passe que la vie quotidienne nous impose, dans notre vie professionnelle comme dans notre vie personnelle. Selon une étude NordPass, un utilisateur moyen gère environ 100 mots de passe différents.
Il devient donc un devoir pour chaque organisation de proposer une authentification unique pour tous les services proposés (SSO – Single Sign-On). Les bénéfices ne sont pas uniquement du côté de l’utilisateur dont le confort est amélioré : c’est aussi l’occasion de pouvoir se concentrer en un point unique d’authentification et d’en renforcer la sécurité.
Chez Aduneo, nous implémentons des solutions SSO adaptées aux environnements d’entreprise, permettant de réduire drastiquement le nombre de mots de passe tout en augmentant le niveau de sécurité.
Aller plus loin que le mot de passe
Si tous les professionnels s’accordent à constater que le mot de passe n’offre qu’un niveau faible de sécurité, force est de constater qu’il reste la méthode la plus utilisée, et de loin.
Depuis plus de 30 ans, la presse annonce chaque début d’année sa mort imminente. Or chaque fin d’année le voit plus vigoureux encore.
Ce n’est cependant pas une raison pour se résigner. Les défauts du mot de passe se font de plus en plus criants : il n’est pas rare d’avoir plusieurs centaines de mots de passe ; les bases de mots de passe fuités atteignent le milliard d’entrées.
On aura donc intérêt à proposer des méthodes alternatives, ne serait-ce que pour améliorer le confort des utilisateurs. On pourra s’appuyer sur le téléphone mobile, ou la messagerie électronique.
Lutter contre le phishing avec l’authentification
Le phishing consiste à inciter une victime à donner accès à une ressource protégée, comme un espace client bancaire ou tout autre site traitant d’argent. Selon le rapport de Verizon, 36% des violations de données impliquent des attaques de phishing.
L’authentification peut parfaire la protection en s’assurant :
- Que la demande provient bien de la victime (présente physiquement derrière son équipement)
- Que la session résultante ne puisse être volée
Peu de méthodes atteignent ces objectifs (on pense aux cartes à puce et aux clés de sécurité FIDO2), et elles induisent des contraintes fortes d’enrôlement.
Nos experts vous ont concoté un article dédié pour en savoir plus : « Contre le phishing, toutes les MFA et 2FA ne sont pas nés égales »
Nos recommandations pour une mise en oeuvre réussie de l’authentification
Déléguer l’authentification à un système spécialisé
On ne peut s’attendre à ce que les développeurs d’une application disposent de l’expertise nécessaire pour concevoir un système qui résistera aux attaques de pirates chevronnés.
Il est désormais indispensable que la fonctionnalité d’authentification d’une application soit prise en charge par un système spécialisé, que l’on appelle fournisseur d’identités (car la finalité d’une authentification, c’est bien de transmettre à l’application l’identité réelle et vérifiée de l’utilisateur).
Cette délégation se fait nécessairement au travers des normes en vigueur :
- OpenID Connect pour les applications web hébergées par un serveur
- OAuth 2 pour les applications faisant appel à des API
- SAML qui est cependant une norme vieillissante
Quant au choix entre ces différents protocoles, il dépend de votre environnement et des cas d’usages. Vous pouvez explorer notre comparatif et nos conseils dans l’article SAML, OAuth2, OpenID Connect : Comment choisir le bon protocole d’authentification en 2025 ?
Centraliser l’authentification
Il est évidemment contre-productif de multiplier inutilement les fournisseurs d’identités. La concentration de toutes les authentifications d’une population au sein d’un même système présente de nombreux avantages :
- Les utilisateurs disposent du même moyen d’authentification pour toutes leurs applications
- Ils bénéficient (si c’est pertinent) du SSO, pour limiter le nombre d’opérations d’authentification
- La sécurité et la surveillance des authentifications sont plus faciles au sein d’un système unique
Mettre en place une politique de mot de passe efficace
Si le mot de passe reste incontournable, autant le rendre aussi sécurisé que possible. Les recommandations modernes s’éloignent des anciennes pratiques contraignantes :
- Privilégier la longueur plutôt que la complexité : une phrase de passe de 12 caractères ou plus est plus sécurisée et plus facile à retenir qu’un mot de passe court et complexe
- Ne plus imposer de changement périodique automatique (qui pousse souvent à des variations prévisibles)
- Vérifier que les mots de passe choisis ne font pas partie des listes de mots de passe compromis
- S’assurer de la compatibilité avec les gestionnaires de mots de passe modernes
L’ANSSI recommande désormais des mots de passe d’au moins 12 caractères sans complexité forcée plutôt que des mots de passe courts avec majuscules, caractères spéciaux et chiffres.
Retrouvez notre article « Les recommandations de mot de passe se périment » pour aller plus loin pour une analyse approfondie des politiques de mot de passe
Vérifier la sécurité en temps réel
Le niveau de sécurité est renforcé si le système d’authentification s’assure qu’il n’est pas l’objet d’une attaque, ou du moins d’une des attaques les plus courantes :
- La force brute où de nombreux mots de passe sont tentés pour le même login
- Le bourrage de credentials (credential stuffing) où un attaquant a connaissance de mots de passe fuités pour un login
- La pulvérisation (password spraying) où des mots de passe communs sont essayés pour de multiples logins
Au-delà de la détection des attaques au niveau du service en ligne, l’utilisateur lui-même peut participer à la protection de son compte. Il est d’usage de l’avertir lors des événements pouvant affecter sa sécurité : authentification suspecte, modification d’une information importante, changement de moyen d’authentification, etc.
Sécuriser l’attribution du moyen d’authentification
Deux étapes sont cruciales dans le cycle de vie d’un moyen d’authentification :
- Sa première attribution (à l’inscription)
- Le traitement de sa perte (réinitialisation, réenrôlement)
Ces opérations déterminent le niveau de sécurité tout autant que le moyen d’authentification lui-même, en application du principe du maillon le plus faible. Les attaquants l’ont compris et en font une cible privilégiée.
Conclusion
L’authentification est devenue un élément central de la sécurité des systèmes d’information. Elle doit être traitée avec le plus grand sérieux, en tenant compte à la fois des impératifs de sécurité et des attentes des utilisateurs en matière d’expérience utilisateur.
Les bonnes pratiques que nous avons détaillées dans cet article constituent une base solide pour mettre en œuvre une stratégie d’authentification efficace et adaptée aux enjeux actuels.
Chez Aduneo, nos experts en identité et accès vous accompagnent dans la mise en place de solutions d’authentification robustes, adaptées à vos besoins spécifiques. N’hésitez pas à nous contacter pour en discuter.
FAQ
Qu’est-ce que l’authentification multifacteur (MFA) et pourquoi est-elle importante ?
L’authentification multifacteur combine au moins deux types de facteurs d’authentification parmi ce que vous savez (mot de passe), ce que vous possédez (téléphone) et ce que vous êtes (biométrie). Elle est cruciale car elle peut bloquer jusqu’à 99,9% des attaques automatisées, même lorsque le mot de passe est compromis.
Quelles sont les limites principales du mot de passe comme moyen d’authentification ?
Les mots de passe présentent plusieurs limites : ils sont facilement oubliés, souvent réutilisés sur plusieurs sites, peuvent être volés lors d’attaques de phishing, et les bases de données de mots de passe compromis atteignent désormais plus d’un milliard d’entrées.
Qu’est-ce que le SSO (Single Sign-On) et quels en sont les avantages ?
Le SSO est un système permettant à un utilisateur de s’authentifier une seule fois pour accéder à plusieurs applications. Ses avantages incluent une meilleure expérience utilisateur, une réduction du nombre de mots de passe à gérer et une centralisation de la sécurité.
Comment lutter efficacement contre le phishing via l’authentification ?
Pour lutter contre le phishing, il faut privilégier des moyens d’authentification résistants comme les clés de sécurité FIDO2 qui vérifient à la fois la présence physique de l’utilisateur et l’authenticité du site. Les authentifications contextuelles et les notifications d’activité suspecte sont également recommandées.
Quels standards d’authentification devrais-je implémenter pour mes applications web ?
Pour les applications web modernes, nous recommandons d’implémenter OpenID Connect qui est devenu le standard de référence. Pour les API, OAuth 2.0 est le plus approprié. SAML reste pertinent pour l’intégration avec des systèmes plus anciens ou des applications d’entreprise spécifiques.
Comment équilibrer sécurité et expérience utilisateur dans l’authentification ?
L’équilibre optimal entre sécurité et expérience utilisateur passe par une approche adaptative : authentification simplifiée pour les accès à faible risque, renforcement progressif en fonction du contexte et de la criticité des ressources, et utilisation de technologies comme le SSO pour réduire le nombre d’authentifications nécessaires.
Related Posts
Introduction
Il n’est pas une semaine où une nouvelle faille liée à l’authentification est rendue publique : accès à des services protégés, vols de mots de passe, compromission de données sensibles. Selon le rapport Data Breach Investigations Report 2024, plus de 80% des violations de données impliquent des identifiants compromis ou des erreurs d’authentification.
Avec le développement exponentiel des services en ligne, l’authentification est devenue la première ligne de défense contre les attaques venant d’internet. Elle doit donc être considérée comme ce qu’elle est : une fonction critique à ne pas prendre à la légère.
Il est ainsi fini le temps où chaque application proposait son formulaire de vérification d’un mot de passe stocké dans sa base locale. L’authentification moderne doit relever un double défi :
- Assurer une sécurité optimale face à des menaces toujours plus sophistiquées
- Maintenir une expérience utilisateur fluide qui n’entrave pas l’usage des services
Ce deuxième point est essentiel : un utilisateur sur deux en moyenne a abandonné une démarche en ligne lors de l’apparition de l’écran de saisie du mot de passe. Chez Aduneo, nous accompagnons quotidiennement nos clients dans la mise en œuvre de solutions d’authentification robustes et adaptées à leurs enjeux. Voici notre guide des bonnes pratiques et nios conseils pour une authentification sécurisée.
Sommaire
- Les principes directeurs de l’authentification moderne
- Les attentes modernes en matière d’authentification
- Stratégies d’authentification efficaces
- Solutions pratiques pour une authentification renforcée
- Nos recommandations pour une mise en œuvre réussie
- FAQ
Les principes directeurs de l’authentification moderne
Durcir la fonction d’authentification des applications
Il n’est pas anormal qu’un développeur introduise des vulnérabilités dans son code. Il se concentre sur les fonctionnalités à mettre en œuvre, et les impératifs de temps et de budget l’empêchent trop souvent de s’attacher à la bonne qualité du code, que ce soit pour les aspects d’optimisation, d’élégance ou de sécurité.
Historiquement, ces vulnérabilités ont souvent été exploitées pour contourner l’authentification d’applications dont le module correspondant était codé par les développeurs de l’application eux-mêmes.
Solution recommandée : Déléguer la conception et la mise en œuvre du module d’authentification à des experts en sécurité qui en garantissent l’inviolabilité. Chez Aduneo, nous développons des solutions sur mesure ou intégrons des modules d’authentification éprouvés pour renforcer la sécurité de vos applications.
Le moyen d’authentification ne détermine pas seul le niveau de sécurité
Un principe fort de la sécurité est que le niveau global de sécurité d’une chaîne est celui de son maillon le plus faible. Ce principe s’applique pleinement à l’authentification, où il faut considérer le cycle de vie complet d’un moyen d’authentification dans son ensemble.
Prenons l’exemple d’une clé de sécurité FIDO2, qui est l’un des rares véritables moyens d’authentification forte. Si l’enregistrement de cette clé peut se faire avec un simple mot de passe (ce qui est malheureusement souvent le cas par défaut), toutes ces mesures de sécurisation sont compromises et le niveau réel d’authentification retombe à celui du simple mot de passe.
Se mettre en rapport avec la perception de criticité des utilisateurs
Un principe de base de la sécurité indique que plus on élève le niveau de contrainte, plus les utilisateurs chercheront et réussiront à contourner les mesures mises en place. Ce point est particulièrement important pour les services en ligne, car le contournement ultime est le refus de recourir au service.
L’art du spécialiste en authentification est de parvenir à un juste équilibre entre les contraintes imposées aux utilisateurs et le confort de l’expérience. Pour être plus pratique, on cherche à mettre sur le même plan les mesures de sécurisation avec ce que l’utilisateur perçoit de la criticité du service.
Un déséquilibre dans un sens ou dans l’autre entraîne une perte de confiance :
- Imposer une authentification forte pour accéder à un simple abonnement de newsletter sera perçu comme excessif
- Permettre l’accès à un espace bancaire avec un mot de passe trop simple paraîtra négligent
Les attentes modernes en matière d’authentification
Offrir des moyens d’authentification à plusieurs facteurs quand c’est pertinent
Tous les moyens d’authentification n’apportent pas la même garantie sur l’identité de l’utilisateur. De manière symétrique, tous les moyens d’authentification n’imposent pas les mêmes contraintes à l’utilisateur.
De fait, il n’existe pas de moyen idéal, facile à utiliser et à déployer, avec un niveau de sécurité élevé. Si c’était le cas, il serait déjà adopté universellement.
Or c’est le mot de passe qui reste adopté par tous, avec un niveau de sécurité qui n’est pas compatible avec les exigences de services critiques. Une meilleure sécurisation impose de cumuler plusieurs facteurs, afin de réduire les chances que l’un d’eux soit compromis.
On choisit ces facteurs dans des catégories différentes :
- Ce que l’on sait (comme le mot de passe)
- Ce que l’on possède (comme un téléphone mobile)
- Ce que l’on est (une caractéristique biométrique)
Selon une étude de Microsoft, l’authentification multifacteur (MFA) peut bloquer jusqu’à 99,9% des attaques automatisées sur les comptes, même lorsque les attaquants possèdent le mot de passe de l’utilisateur.
Prendre en compte la logistique des moyens d’authentification
Pour être efficace, chaque moyen d’authentification suppose une logistique plus ou moins complexe pour :
- Son enrôlement (l’initialisation du mot de passe par exemple)
- Sa perte/son oubli
- Sa restitution éventuelle
Cette logistique, qui est d’autant plus compliquée que des équipements matériels sont distribués, implique souvent la connaissance d’informations personnelles sur les utilisateurs : l’adresse de messagerie, le numéro de téléphone, l’adresse postale.
Par exemple, le mécanisme simple d’initialisation d’un mot de passe repose souvent sur l’adresse de messagerie, que l’on connaît souvent lors de la phase d’enrôlement. Mais par la suite, il n’est pas exclu que l’utilisateur en change, ce qui pose alors un problème en cas de besoin de réinitialisation.
Stratégies d’authentification efficaces
S’appuyer sur des fédérateurs d’identités
Les fédérateurs d’identités déportent l’authentification vers un système tiers où l’utilisateur dispose déjà d’un compte.
Pour le grand public, on parle de login social, avec des fournisseurs comme Google ou Facebook. Le service public français dispose de France Connect, qui a déjà enregistré plus de 40 millions d’utilisateurs depuis son lancement et des initiatives plus locales sont aussi de plus en plus adoptées comme mon-compte.bzh.
Proposer une authentification fédérée présente de nombreux avantages :
- Pour l’utilisateur, qui n’a pas à gérer un nouveau mot de passe ou une nouvelle manière de s’authentifier
- Pour l’utilisateur également, qui voit son inscription facilitée avec le préremplissage des informations de base
- Pour le service en ligne, qui déporte l’essentiel de ses obligations : sécurité de l’acte d’authentification et logistique du moyen d’authentification
Il n’est cependant que difficilement concevable de ne proposer que ce mode d’authentification, en supprimant la possibilité de se créer un compte local. Toutes les expériences en la matière ont entraîné des frustrations chez ceux qui ne disposaient pas de comptes dans les fédérateurs.
Adapter le mode d’authentification au contexte
Lorsqu’un service numérique reçoit une demande d’authentification sortant de l’ordinaire, il est possible qu’elle n’émane pas de l’utilisateur légitime. On est ainsi habitué maintenant à devoir confirmer un mot de passe par des informations complémentaires lorsque l’on accède à un service internet depuis un pays étranger.
Il est souhaitable qu’une analyse de risque soit réalisée lors de chaque authentification, soit pour la faciliter (contexte habituel), soit pour la renforcer (situation jugée anormale).
La difficulté provient souvent de la manière de confirmer une authentification. Si elle ne passe pas nécessairement par un facteur supplémentaire (envoi d’un OTP par mail ou SMS souvent), elle repose souvent sur une information supplémentaire à fournir sur l’utilisateur.
Adapter l’authentification à la criticité des applications
En référence à l’un des principes directeurs, en authentification auprès d’une application critique, les utilisateurs non seulement comprennent que les mesures soient plus strictes, mais ils les escomptent.
Avec la généralisation du SSO (Single Sign-On), il incombe au serveur d’authentification de continuer de garantir le niveau de sécurité des applications critiques. Même si un utilisateur a été identifié auparavant avec une authentification normale, le serveur devra requérir une nouvelle authentification plus sécurisée lors de l’accès à une telle application.
Solutions pratiques pour une authentification renforcée
Réduire le nombre de mots de passe grâce au SSO
Il n’est physiquement pas possible de retenir tous les mots de passe que la vie quotidienne nous impose, dans notre vie professionnelle comme dans notre vie personnelle. Selon une étude NordPass, un utilisateur moyen gère environ 100 mots de passe différents.
Il devient donc un devoir pour chaque organisation de proposer une authentification unique pour tous les services proposés (SSO – Single Sign-On). Les bénéfices ne sont pas uniquement du côté de l’utilisateur dont le confort est amélioré : c’est aussi l’occasion de pouvoir se concentrer en un point unique d’authentification et d’en renforcer la sécurité.
Chez Aduneo, nous implémentons des solutions SSO adaptées aux environnements d’entreprise, permettant de réduire drastiquement le nombre de mots de passe tout en augmentant le niveau de sécurité.
Aller plus loin que le mot de passe
Si tous les professionnels s’accordent à constater que le mot de passe n’offre qu’un niveau faible de sécurité, force est de constater qu’il reste la méthode la plus utilisée, et de loin.
Depuis plus de 30 ans, la presse annonce chaque début d’année sa mort imminente. Or chaque fin d’année le voit plus vigoureux encore.
Ce n’est cependant pas une raison pour se résigner. Les défauts du mot de passe se font de plus en plus criants : il n’est pas rare d’avoir plusieurs centaines de mots de passe ; les bases de mots de passe fuités atteignent le milliard d’entrées.
On aura donc intérêt à proposer des méthodes alternatives, ne serait-ce que pour améliorer le confort des utilisateurs. On pourra s’appuyer sur le téléphone mobile, ou la messagerie électronique.
Lutter contre le phishing avec l’authentification
Le phishing consiste à inciter une victime à donner accès à une ressource protégée, comme un espace client bancaire ou tout autre site traitant d’argent. Selon le rapport de Verizon, 36% des violations de données impliquent des attaques de phishing.
L’authentification peut parfaire la protection en s’assurant :
- Que la demande provient bien de la victime (présente physiquement derrière son équipement)
- Que la session résultante ne puisse être volée
Peu de méthodes atteignent ces objectifs (on pense aux cartes à puce et aux clés de sécurité FIDO2), et elles induisent des contraintes fortes d’enrôlement.
Nos experts vous ont concoté un article dédié pour en savoir plus : « Contre le phishing, toutes les MFA et 2FA ne sont pas nés égales »
Nos recommandations pour une mise en oeuvre réussie de l’authentification
Déléguer l’authentification à un système spécialisé
On ne peut s’attendre à ce que les développeurs d’une application disposent de l’expertise nécessaire pour concevoir un système qui résistera aux attaques de pirates chevronnés.
Il est désormais indispensable que la fonctionnalité d’authentification d’une application soit prise en charge par un système spécialisé, que l’on appelle fournisseur d’identités (car la finalité d’une authentification, c’est bien de transmettre à l’application l’identité réelle et vérifiée de l’utilisateur).
Cette délégation se fait nécessairement au travers des normes en vigueur :
- OpenID Connect pour les applications web hébergées par un serveur
- OAuth 2 pour les applications faisant appel à des API
- SAML qui est cependant une norme vieillissante
Quant au choix entre ces différents protocoles, il dépend de votre environnement et des cas d’usages. Vous pouvez explorer notre comparatif et nos conseils dans l’article SAML, OAuth2, OpenID Connect : Comment choisir le bon protocole d’authentification en 2025 ?
Centraliser l’authentification
Il est évidemment contre-productif de multiplier inutilement les fournisseurs d’identités. La concentration de toutes les authentifications d’une population au sein d’un même système présente de nombreux avantages :
- Les utilisateurs disposent du même moyen d’authentification pour toutes leurs applications
- Ils bénéficient (si c’est pertinent) du SSO, pour limiter le nombre d’opérations d’authentification
- La sécurité et la surveillance des authentifications sont plus faciles au sein d’un système unique
Mettre en place une politique de mot de passe efficace
Si le mot de passe reste incontournable, autant le rendre aussi sécurisé que possible. Les recommandations modernes s’éloignent des anciennes pratiques contraignantes :
- Privilégier la longueur plutôt que la complexité : une phrase de passe de 12 caractères ou plus est plus sécurisée et plus facile à retenir qu’un mot de passe court et complexe
- Ne plus imposer de changement périodique automatique (qui pousse souvent à des variations prévisibles)
- Vérifier que les mots de passe choisis ne font pas partie des listes de mots de passe compromis
- S’assurer de la compatibilité avec les gestionnaires de mots de passe modernes
L’ANSSI recommande désormais des mots de passe d’au moins 12 caractères sans complexité forcée plutôt que des mots de passe courts avec majuscules, caractères spéciaux et chiffres.
Retrouvez notre article « Les recommandations de mot de passe se périment » pour aller plus loin pour une analyse approfondie des politiques de mot de passe
Vérifier la sécurité en temps réel
Le niveau de sécurité est renforcé si le système d’authentification s’assure qu’il n’est pas l’objet d’une attaque, ou du moins d’une des attaques les plus courantes :
- La force brute où de nombreux mots de passe sont tentés pour le même login
- Le bourrage de credentials (credential stuffing) où un attaquant a connaissance de mots de passe fuités pour un login
- La pulvérisation (password spraying) où des mots de passe communs sont essayés pour de multiples logins
Au-delà de la détection des attaques au niveau du service en ligne, l’utilisateur lui-même peut participer à la protection de son compte. Il est d’usage de l’avertir lors des événements pouvant affecter sa sécurité : authentification suspecte, modification d’une information importante, changement de moyen d’authentification, etc.
Sécuriser l’attribution du moyen d’authentification
Deux étapes sont cruciales dans le cycle de vie d’un moyen d’authentification :
- Sa première attribution (à l’inscription)
- Le traitement de sa perte (réinitialisation, réenrôlement)
Ces opérations déterminent le niveau de sécurité tout autant que le moyen d’authentification lui-même, en application du principe du maillon le plus faible. Les attaquants l’ont compris et en font une cible privilégiée.
Conclusion
L’authentification est devenue un élément central de la sécurité des systèmes d’information. Elle doit être traitée avec le plus grand sérieux, en tenant compte à la fois des impératifs de sécurité et des attentes des utilisateurs en matière d’expérience utilisateur.
Les bonnes pratiques que nous avons détaillées dans cet article constituent une base solide pour mettre en œuvre une stratégie d’authentification efficace et adaptée aux enjeux actuels.
Chez Aduneo, nos experts en identité et accès vous accompagnent dans la mise en place de solutions d’authentification robustes, adaptées à vos besoins spécifiques. N’hésitez pas à nous contacter pour en discuter.
FAQ
Qu’est-ce que l’authentification multifacteur (MFA) et pourquoi est-elle importante ?
L’authentification multifacteur combine au moins deux types de facteurs d’authentification parmi ce que vous savez (mot de passe), ce que vous possédez (téléphone) et ce que vous êtes (biométrie). Elle est cruciale car elle peut bloquer jusqu’à 99,9% des attaques automatisées, même lorsque le mot de passe est compromis.
Quelles sont les limites principales du mot de passe comme moyen d’authentification ?
Les mots de passe présentent plusieurs limites : ils sont facilement oubliés, souvent réutilisés sur plusieurs sites, peuvent être volés lors d’attaques de phishing, et les bases de données de mots de passe compromis atteignent désormais plus d’un milliard d’entrées.
Qu’est-ce que le SSO (Single Sign-On) et quels en sont les avantages ?
Le SSO est un système permettant à un utilisateur de s’authentifier une seule fois pour accéder à plusieurs applications. Ses avantages incluent une meilleure expérience utilisateur, une réduction du nombre de mots de passe à gérer et une centralisation de la sécurité.
Comment lutter efficacement contre le phishing via l’authentification ?
Pour lutter contre le phishing, il faut privilégier des moyens d’authentification résistants comme les clés de sécurité FIDO2 qui vérifient à la fois la présence physique de l’utilisateur et l’authenticité du site. Les authentifications contextuelles et les notifications d’activité suspecte sont également recommandées.
Quels standards d’authentification devrais-je implémenter pour mes applications web ?
Pour les applications web modernes, nous recommandons d’implémenter OpenID Connect qui est devenu le standard de référence. Pour les API, OAuth 2.0 est le plus approprié. SAML reste pertinent pour l’intégration avec des systèmes plus anciens ou des applications d’entreprise spécifiques.
Comment équilibrer sécurité et expérience utilisateur dans l’authentification ?
L’équilibre optimal entre sécurité et expérience utilisateur passe par une approche adaptative : authentification simplifiée pour les accès à faible risque, renforcement progressif en fonction du contexte et de la criticité des ressources, et utilisation de technologies comme le SSO pour réduire le nombre d’authentifications nécessaires.
Related Posts
Leave A Comment
You must be logged in to post a comment.
