Au fait, qu'est-ce que... L'authentification à deux facteurs ?

L'une des plus grandes préoccupations de nombreuses entreprises est le vol de données internes. Au vu de l'augmentation du nombre de vols de données signalés ces derniers mois, ce n'est pas tout à fait injustifié. Les conséquences d'un tel incident sont généralement, outre les dommages financiers, une perte de confiance et d'image auprès des clients. Les cybercriminels accèdent généralement aux données sensibles par le biais de données d'accès légitimes, en attaquant directement la base de données contenant les données d'accès ou en incitant les personnes autorisées à les divulguer par des attaques de phishing ciblées.

Il y a deux ans, l'entreprise de sécurité Rapid 7 a soumis 268 entreprises à un test d'intrusion et a activement attaqué les mesures de sécurité actuelles. Il s'est avéré qu'à peine 15% des entreprises utilisaient l'authentification à deux facteurs pour protéger les données confidentielles. Même un blocage automatique du compte, qui est activé en cas de plusieurs tentatives d'accès erronées dans un laps de temps très court, comme ce serait par exemple le cas lors d'une attaque par force brute, n'existait que dans 20% des entreprises.

Pour pouvoir se protéger malgré une attaque par force brute réussie, il existe ce que l'on appelle l'authentification à deux facteurs. Celle-ci se compose, comme son nom l'indique, de deux facteurs : quelque chose que l'on sait, par exemple un mot de passe, et quelque chose que l'on a, classiquement sous la forme d'un jeton. Si elle est utilisée de manière complète et correcte, l'authentification à deux facteurs peut constituer une mesure de sécurité très efficace. Cette technologie est également utilisée par Google, qui affirme n'avoir connu aucun cas de vol de compte depuis l'introduction d'un système basé sur les jetons.

Les jetons génèrent des codes numériques à intervalles réguliers à l'aide d'une clé cryptographique unique. Comme ceux-ci ne sont valables que très peu de temps, il faut déjà avoir l'appareil sur soi pour pouvoir se connecter à son compte. Les tokens existent sous différentes formes. La forme la plus simple et la plus primitive d'un token est l'envoi d'un code à usage unique par SMS sur un téléphone portable, comme le font par exemple les banques sous la forme d'un TAN pour vérifier une transaction en ligne. Toutefois, étant donné que les SMS sont transmis en texte clair via le réseau radio, cette méthode n'est probablement une solution attrayante que pour très peu d'entreprises (et la plupart des banques). Les jetons sont également disponibles sous forme d'applications autonomes pour smartphones, qui offrent une sécurité nettement plus élevée. Comme le code à usage unique est dans ce cas généré directement sur l'appareil, il n'est pas nécessaire d'accéder au réseau sans fil. De plus, la génération de code fonctionne également hors ligne. C'est très agréable lorsque l'on se trouve dans la salle des serveurs au sous-sol et qu'il n'y a pas de réseau dans l'épais bâtiment en béton.

Il existe également des solutions matérielles, par exemple sous la forme d'un petit appareil dédié avec un écran LCD qui génère et affiche un code en appuyant sur un bouton. Une telle solution est disponible chez Fortinet sous la forme du FortiToken. Fortinet propose également des jetons qui se branchent sur un port USB et permettent d'authentifier un compte en appuyant sur un bouton.