Authentification Forte / Multi-facteurs

Qu'est-ce que l'Authentification Forte ?

Strong Authentication

L'authentification par mot de passe repose sur un seul facteur d'authentification : le mot de passe lui-même.

L'authentification forte multi-facteurs (MFA) repose sur plusieurs facteurs - généralement 2 - qui augmentent considérablement la difficulté de voler l'identité d'un utilisateur.

Certaines solutions MFA génèrent un mot de passe à usage unique (OTP), valable pour une seule session. Si un pirate accédait à ce mot de passe, il ne pourrait de toute façon pas le réutiliser !

Les combinaisons de facteurs d'authentification les plus fréquentes sont les suivantes :

  • "Quelque chose que vous avez" (PC, mobile ou autres appareils physiques) + "Quelque chose que vous connaissez" (généralement un code PIN)
  • "Quelque chose que vous avez" + "Quelque chose que vous êtes" (reconnaissance d'empreinte digitale, de visage...).

Le facteur de forme, c'est-à-dire la nature de l'appareil que les utilisateurs emportent avec eux, a de nombreuses implications. Les plus importantes étant le niveau de sécurité et le confort de l'utilisateur.

Pourquoi utiliser l'authentification forte Visual Guard ?

Les données sont plus que jamais menacées par des attaques ou usurpations d'identité. La protection des identités est devenue critique et nécessite des solutions d'authentification qui répondent aux enjeux de la sécurité des données.

Les mots de passe ne sont plus suffisants, sauf à choisir des politiques de mots de passe très (trop!) contraignantes pour les utilisateurs (changements trop fréquents, mots de passe trop complexes, etc).

L'authentification forte multi-facteurs (MFA) est plus sécurisée, mais nécessitait jusqu'à présent d'équiper les utilisateurs de matériels dédiés (tokens). Cela impliquait d'importants délais de mise en oeuvre, des coûts élevés et des contraintes pour les utilisateurs.

Les organisations devaient donc choisir entre sécurité et facilité d'utilisation, en tenant compte des risques, de la sécurité, des contraintes utilisateurs, du poids de la gestion et, évidemment, des coûts.

C'est pourquoi l'authentification forte se limitait souvent aux situations où les risques étaient suffisamment importants pour en justifier les inconvénients.

Strong Authentication

Il existe maintenant des alternatives au token matériel.
Visual Guard offre ainsi la seule solution qui combine un niveau élevé de sécurité et une simplicité extrême pour l'utilisateur.

Critère n°1 : Confort de l'utilisateur

Authentification par SmartCard en vigueur dans certaines banques
  • demande à l'utilisateur de transporter un lecteur et une carte à puce,
  • de taper un code PIN
  • et de répondre à une question générée par le serveur
Authentification par token de sécurité
  • Les utilisateurs doivent transporter leur token
  • Puis copier manuellement le code de sécurité généré dans la page d'authentification.
Authentification Forte Visual Guard
MFA User Comfort

A l'autre extrémité du spectre, l'authentification forte de VG repose sur des appareils de confiance (trusted devices) éliminant ainsi les opérations inutiles et fastidieuses :

  • Plus besoin de transporter un matériel dédié (lecteur de carte, token…). L’utilisateur s’authentifie avec son PC ou son mobile.
  • On simplifie le processus d’authentification, en éliminant ainsi les opérations inutiles et fastidieuses : l'utilisateur saisit simplement un code PIN

Il s'agit également d'une solution flexible qui permet à l'utilisateur de s'authentifier avec différents appareils d’une session à l’autre, selon ce qui est le plus pratique pour lui.

Plus d'informations sur les scénarios d'authentification possibles sur cette page.

Critère n°2 : Niveau de sécurité

  • Les méthodes non connectées telles que les porte-clés token matériels ou les applications génératrices d'OTP sont vulnérables, entre autres, aux attaques de phishing.
  • Les SMS sont vulnérables aux malwares des smartphones et à l'ingénierie sociale.
  • La plupart des méthodes logicielles - en particulier celles basées sur un téléphone mobile - sont vulnérables à la rétro-ingénierie qui permet de voler la clé d'authentification.
  • Les méthodes à canal unique, où la transaction et l'authentification se produisent sur le même appareil, sont vulnérables aux attaques Man-in-the-Browser et Man-in-the-Middle (MITB / MITM).
  • L’authentification forte de Visual Guard élimine tous ces risques et élève le niveau de sécurité de votre système.

Critère n° 3 : Réduction des Coûts

En supprimant les tokens matériels, vous supprimez également tous les coûts liés à l'achat du matériel, à la logistique de distribution des token aux utilisateurs, et au remplacement des matériels cassés ou perdus.

Critère n° 4: Agilité du système

L'authentification forte de Visual Guard offre un processus d'inscription et de révocation simple, sécurisé et évolutif. En fait, de nombreux cas d'utilisation ne nécessitent même pas d'installation sur les appareils des utilisateurs.

Fonctionnalités Clés

Utiliser des terminaux de confiance pour renforcer la sécurité

L’authentification forte Visual Guard élève le niveau de sécurité :

  1. En produisant un mot de passe à usage unique (OTP - valable pour une seule session).
  2. L'OTP est généré depuis un terminal de confiance (tablettes, mobiles ou PC). Il peut s'agir du terminal qui exécute votre application ou du mobile de l'utilisateur.

Si quelqu'un souhaite accéder à votre compte :

  1. Il doit donc connaître votre mot de passe (comme d'habitude, sauf que ce mot de passe n'est valide que pour une session !)
  2. Il doit AUSSI avoir accès à votre terminal de confiance.
  3. Aucun de ces 2 éléments, pris séparément, n'est suffisant. Les deux sont obligatoires pour se connecter.

Tous les terminaux, sans contrainte

Plusieurs méthodes d'authentifications sont disponibles :

  • Authentification avec une App mobile dédiée:
    L'utilisateur peut générer un mot de passe à sa demande, ou accepter une demande envoyée sur son mobile lorsqu'il essaie d'accéder à son application (disponible sur iOS, Android, Windows Mobile ou Blackberry).

  • Authentification in-App :
    Grâce à un SDK spécifique, les mots de passe sont générés par votre application.
    Plus d'information sur Tokenless (In-App) MFA

  • Authentification par navigateur :
    Votre browser web devient le générateur de mots de passe à usage unique (disponible pour tous les navigateurs).
    Plus d'info sur le Virtual Authenticator (la méthode d'authentification la plus simple et la plus sécurisée)

Authentification flexible

Les méthodes listées ci-dessus couvrent la plupart des cas d'usage.

Elles peuvent être utilisées de façon très flexible :

  • Vous pouvez déployer l'authentification multi-facteurs pour tous les utilisateurs sans vous soucier de savoir qui utilisera un mobile ou non.
  • Un utilisateur peut se connecter via un browser web la plupart du temps, et utiliser l'authentification mobile quand il se connecte depuis un terminal nouveau ou inhabituel (ordinateur personnel, cyber café…).
  • Nous supportons aussi le cas où l'utilisateur ne dispose ni de réseau cellulaire, ni de WiFi sur son mobile.

Plus d'info sur les méthodes d'authentification.

Plusieurs terminaux de confiance, un seul PIN

Si l'utilisateur possède plusieurs terminaux de confiance, il n'a besoin que d'un code PIN :

  • L'expérience sera la même quelque soit la méthode d'authentification. Cela peut sembler évident dans le contexte d'une authentification par mot de passe, mais c'est rarement le cas pour de l'authentification forte.

  • Evidemment, ce PIN n'est jamais stocké dans les terminaux de confiance. En cas de perte ou de vol, la sécurité n'est pas compromise.

La Biométrie comme facteur d'authentification

Le code PIN est souvent utilisé comme second facteur d'authentification, en plus du facteur de possession (ce que vous possédez).

A la place du code PIN, les utilisateurs peuvent utiliser la biométrique si elle est disponible sur leur appareil (lecture des empreintes digitales par exemple).

Strong Authentication Biometry
Plus d'information sur l'identification biométrique sur cette page

Disponible, Robuste, Certifié

Pour que le service d'authentification soit toujours disponible, il repose sur plusieurs infrastructures serveur indépendantes, distribuées dans des datacenters certifiés, totalement redondantes, et gérés par des fournisseurs différents.

La perte de connectivité de toutes les infrastructures serveur sauf une n'aurait aucun impact sur la disponibilité du service d'authentification.

Cette architecture a permis d'atteindre 100% de disponibilité de service au cours des 5 dernières années. Même Gmail et AWS ont des taux de disponibilité plus faibles.

L'implémentation et le design de cette solution, ainsi que la mise en oeuvre d'algorithmes brevetés, garantissent un niveau de sécurité très élevé, tant côté client que côté serveur.

De plus, ces algorithmes d'authentification sont exécutés au sein de serveurs de sécurité (Hardware Security Modules, HSM) protégeant ainsi des attaques et abus.

Nos clients contrôlent ainsi intégralement toute la chaîne de confiance.