MFA partout !

Lorsque l’on parle de mot de passe à un amateur en cybersécurité, sa réaction est souvent de préconiser de passer tout de suite à une authentification forte, et de le faire pour toutes les authentifications.
Le conseil est simpliste, mais il repose sur un fond de vérité. Le mot de passe a ses avantages, mais la maximisation de la sécurité n’en fait pas partie.
Donc c’est décidé, vous allez y passer. Vous allez basculer vers la MFA ou la 2FA les systèmes d’authentification qui protègent toutes vos ressources.
Mais bien sûr, il ne suffit que de claquer des doigts pour que tout se passe sans problème. Sinon tout le monde y serait déjà.
Et c’est classique en sécurité, une mesure mal faite est pire que pas de mesure du tout.
Je vous propose un petit tour d’horizon des écueils à éviter avant de vous lancer.

Mettre la MFA à toutes les sauces

Le premier écueil, c’est justement de prendre le conseil à la lettre et de remplacer le mot de passe par de la MFA partout où on le rencontre.
L’authentification induit nécessairement des contraintes pour l’utilisateur, quelles que soient les solutions miracles que l’on déploie.
Des contraintes à l’enregistrement (attribution du moyen d’authentification), puis des contraintes à l’utilisation tous les jours.
Parfois, c’est un atout, car cela donne confiance. Si j’avais accès à mon espace bancaire par un simple mot de passe, il est probable que j’aurais changé de banque depuis longtemps.
Mais à l’inverse, si le journal que je lis tous les matins m’impose une gymnastique inutile pour consulter les nouvelles du jour au petit déjeuner, j’irai voir ailleurs.
En d’autres termes, les contraintes introduites par la sécurité doivent être en adéquation avec le risque perçu par l’utilisateur.
En cas de dépassement, c’est la plupart du temps l’utilisateur qui a le dernier mot, en étant créatif sur des moyens de contournement.

Abuser de la MFA

Il est cependant des cas où l’authentification forte est non seulement tolérée, mais souhaitée.
Lorsque je fais un virement bancaire, j’aime devoir le confirmer en sortant mon téléphone mobile.
Mais si je fais 10 virements successifs, et que l’on de demande 10 fois de perdre une dizaine de secondes à saisir un code sur mon téléphone, je commence à trouver ça excessif.
On aura intérêt à introduire un délai où on se dira que raisonnablement c’est toujours la même personne qui réalise les opérations. Tout en se mettant à l’affût des pirates qui exploiteraient cette période de grâce.
On notera par ailleurs qu’il est moins gênant de devoir saisir plusieurs fois un mot de passe grâce à la mémoire musculaire de la main.

Sous-estimer la logistique nécessaire

Il tombe sous le sens que les solutions d’authentification nécessitant l’envoi d’un dispositif physique entrainent des frais de gestion importants.
On aurait tort cependant de croire qu’en s’appuyant sur un équipement personnel (le téléphone), on s’affranchit de ces lourdeurs.
Les utilisateurs étant confrontés à des processus d’enregistrement tous différents, il n’est pas rare qu’ils éprouvent des difficultés lors de cette phase. Il est important de pouvoir leur venir en aide rapidement et efficacement.
Je me souviens avoir bataillé pendant longtemps avec un QR code que mon téléphone n’arrivait pas à lire (et quand il arrivait à le lire, il était expiré…). C’est très frustrant.

Mal prévoir la perte ou le vol des équipements

La loi de Murphy est implacable : c’est toujours quand on est à l’étranger et qu’on doit réaliser une opération dans la seconde que l’on se rend compte qu’on a perdu son dispositif MFA.
Mais même sans se placer dans ces conditions extrêmes, la perte d’un téléphone est déjà assez stressante pour qu’elle ne se transforme pas en cauchemar où on perd tous les accès aux services vitaux.
Surtout que le processus de récupération d’un accès n’est pas une répétition de l’enregistrement, qui non seulement prend souvent trop de temps, mais repose aussi sur des moyens qui ne sont parfois plus disponibles. Il ne faut pas par exemple que pour retrouver l’accès à ma messagerie, je doive récupérer un autre accès perdu, dont la restauration se fait par mail, complétant un magnifique cercle infernal.
En passant d’ailleurs, Google Authenticator offre la possibilité de transférer des comptes d’un téléphone à l’autre, mais aucune solution facile pour leur sauvegarde. En cas de perte du téléphone, eh bien tant pis.

Ne pas penser à certaines populations d’utilisateurs

Tout le monde n’est pas égal devant l’authentification forte. Des tâches qui paraissent anodines pour certains deviennent contraignantes voire impossibles pour d’autres.
Par exemple tout le monde n’a pas de smartphone. De nombreux seniors ont des téléphones à touches, et quand ils ont un smartphone, il ne les utilisent que de manière basique. Il faut donc trouver le moyen de les assister ou de leur proposer des solutions alternatives.
De même, les personnes en situation de handicap ont souvent déjà du mal à accéder à internet sans la couche de complication que représente la MFA.

Oublier des situations où la solution est inutilisable

S’il est des moments où l’authentification forte s’apparente à un luxe, il en est d’autres où elle est indispensable. Lorsque l’on se rend à l’étranger, il est normal que le nouveau contexte soit perçu comme le risque d’une intrusion.
Or ces situations extrêmes sont aussi celles où la MFA est la plus difficile à utiliser.
A l’étranger, il n’est pas rare justement de désactiver internet du smartphone à cause du coût prohibitif du mégaoctet. Une authentification par téléphone requérant d’être connecté est alors difficile.
Dans un même ordre d’idées, on a tous un ami qui a eu toutes les difficultés du monde en descendant de l’avion à accéder à sa messagerie où se trouvait l’adresse exacte de son hôtel.
Un autre problème est l’accès à internet. Dans certaines régions, il faut aller au fond du champ voisin et se mettre sur la pointe des pieds pour capter la 4G.

Ne pas anticiper la saturation des utilisateurs

Au tout début j’ai activé la MFA sur ma messagerie personnelle. Puis ma messagerie professionnelle y est passée. Deux authentifications, c’était gérable. Mais ça, c’était avant, et je ne voyais pas de difficulté à sortir mon téléphone pour valider une authentification ou récupérer un OTP.
Désormais j’ai trois authenticators sur mon téléphone, avec chacun une liste de sites qui s’allonge.
A chaque authentification, il me faut maintenant me concentrer pour me rappeler quel authenticator ouvrir, puis retrouver la bonne ligne qui me donne le bon code.
Plus la MFA se popularise et plus elle entraîne de contraintes. Ce n’est plus quelques secondes par semaine que l’on perd, c’est maintenant quelques secondes plusieurs fois par jour. Et pourtant la MFA n’est pas considérée comme répandue.

Empêcher les utilisateurs de travailler

Le déficit de sécurité du mot de passe avait l’avantage de la souplesse.
Il est certes fortement déconseiller de partager un mot de passe, mais cette possibilité a permis de sortir de plus d’une situation désespérée.
Récupérer le mot de passe d’un collègue absent pour une opération urgente, emprunter celui d’une collègue en congé maternité afin de remplir des tâches qu’elle seule effectuait, tout cela devient impossible avec l’authentification forte.
Il en découle qu’un déploiement de MFA ne soit pas remplacer le mot de passe sur le même périmètre, mais tenir compte de ces usages cachés pour y apporter des solutions (délégation temporaire des droits à autrui par exemple).

Croire que la MFA résout tous les problèmes

Si on se restreint au terrain strict de la sécurité, sans tenir compte des autres considérations, on comprend que certains préconisent la MFA universelle. De nombreuses attaques impliquant des mots de passe auraient pu être évitées avec un facteur d’authentification supplémentaire.
Mais le niveau de sécurité de la MFA reflète aussi sa faible utilisation. Tout comme les attaques contre les Mac ont explosé avec leur popularité, la MFA devient de plus en plus la cible des pirates à mesure que son adoption se généralisera.
Ces attaques existent d’ailleurs déjà. Le meilleur exemple est que l’envoi de codes par SMS n’est plus considéré comme sécurisé après la recrudescence d’attaques de type SIM Swap.
La plupart des attaques se concentrent sur le facteur humain, qui reste le plus facile à corrompre.
On observe en ce moment des vols de codes OTP initiées par de faux messages d’alertes de compromission de comptes demandant à l’utilisateur de confirmer son identité en donnant un code à un serveur vocal ou par message privé.
Et ceux qui pensent que le phishing sera vaincu par la MFA vont déchanter, puisque l’on a détecté des attaques sophistiquées mettant en œuvre des reverse proxy alertant en temps réel les pirates lorsqu’une victime a donné l’accès à son compte.

Ne jetons pas la MFA avec l’eau du bain

Le message n’est évidemment pas qu’il faille abandonner la MFA ou la 2FA !
C’est un outil indispensable de la sécurisation des applications, qui remplit son rôle à plein quand elle est déployée à bon escient.
Pour compléter sa sécurisation, on conseille d’ailleurs de la faire porter par un serveur d’authentification spécialisé, compatible avec les normes en vigueur (OpenID Connect pour l’authentification des applications web, OAuth 2 pour l’autorisation des API).

 

Auteur : Marc (Directeur technique)