l’authentification sans mot de passe
TRANSCRIPT
LIVRE BLANC
L’AUTHENTIFICATION SANS MOT DE PASSE
Comment débuter avec le Passwordless
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
2
SOMMAIRE
Introduction
Évaluer les options d’authentification Passwordless
Catégories d’authentification : Forces et faiblesses
Où vous situez-vous sur l’échelle de maturité du Passwordless ?
Conclusion
Références
03
05
06
08
12
12
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
3
L’objectif de nombreuses équipes en charge de la sécurité est d’optimiser la protection des données tout en minimisant les frictions pour les utilisateurs. L’authentification passwordless peut vous aider à y parvenir. En authentifiant les utilisateurs avec un autre moyen que le mot de passe, comme des notifications push (pour lesquelles une empreinte digitale sur un appareil spécifique est nécessaire), des solutions de MDM intégrées ou des jetons d’authentification, vous serez certain que vos utilisateurs sont bien ceux qu’ils prétendent être.
Pourtant, bien que l’absence de mot de passe offre le moyen de fournir une sécurité renforcée et une meilleure expérience, peu d’organisations savent clairement comment passer au passwordless.
Cette confusion émane en grande partie du fait que le « passwordless » n’est pas un produit ni une technologie en soi. Il s’agit plus d’un objectif ou d’une tendance future vous permettant d’utiliser plusieurs technologies de sorte à prendre en charge les cas d’usage de votre entreprise ainsi qu’à minimiser votre dépendance vis-à-vis des mots de passe pour fournir une meilleure expérience et une sécurité renforcée. Au final, l’objectif du passwordless est d’éliminer entièrement l’authentification avec mot de passe pour la plupart des cas d’usage.
Les problèmes que posent les mots de passeVous connaissez probablement déjà les défauts des mots de passe. Mais ce n’est pas le cas de tout le monde au sein de votre organisation. Si vous avez besoin de justifier auprès de votre organisation l’importance de supprimer les mots de passe, voici un bref récapitulatif des questions qui se posent.
Une mauvaise expériencePeu importe la manière dont vous abordez la question, les mots de passe présentent des problèmes en termes d’expérience. Si vous en choisissez un simple, vous pourrez vous en souvenir facilement, mais quelqu’un d’autre pourra tout aussi facilement le deviner ou y accéder avec des attaques ciblées, ce qui mettra votre organisation en danger. À l’inverse, exiger d’avoir des mots de passe compliqués ou demander régulièrement de les réinitialiser peuvent renforcer la sécurité, mais il en devient de plus en plus difficile de se souvenir de ces mots de passe. Ceci augmente les chances que les utilisateurs réutilisent le même mot de passe ou qu’ils stockent les mots de passe de manière peu sécurisée, par exemple sur des post-it.
80 % des failles liées à un piratage impliquentdes identifiants faibles ou compromis.1
Friction et coûtsPour les consommateurs, chaque étape supplémentaire pendant une transaction e-commerce augmente les risques qu’ils ne finalisent pas leur achat. En réalité, plus d’un consommateur sur quatre (28 %) qui entame le process de paiement renoncera à son achat s’il a l’impression que cette procédure de paiement est trop longue ou trop compliquée. Si vos clients ne se souviennent plus du mot de passe qu’ils ont utilisé sur votre site, la prochaine chose qu’ils feront sera souvent d’abandonner leur panier d’achat plutôt que d’affronter la procédure nécessaire pour récupérer leur mot de passe. Bien qu’il ne soit pas coûteux d’utiliser des mots de passe, le coût final en termes de pertes de revenus peut être important.
INTRODUCTION
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
4
Risque de faille
Bien qu’ils connaissent les risques, certains utilisateurs continuent d’utiliser un seul mot de passe sur plusieurs sites web, potentiellement
sur le vôtre. Cette réutilisation des identifiants augmente votre vulnérabilité aux attaques. Les attaques par credential stuffing qui utilisent
des combinaisons de nom d’utilisateur et de mot de passe disponibles sur le dark web aboutissent dans 2 % des cas.2 On pourrait penser
que ces statistiques ne sont pas effrayantes, mais si vous avez 1 000 employés et que votre système repose sur des mots de passe, cela
pourrait représenter jusqu’à 20 comptes compromis.
Le coût moyen d’une fuite de donnéess’élève à 3,92 millions de dollars.3
Il n’est donc pas surprenant que les organisations cherchent une alternative aux mots de passe. Mais il est souvent difficile de savoir
par où commencer. Ce livre blanc peut vous aider à vous lancer. La suite pour le découvrir :
• Les différentes catégories de passwordless
• Où vous situez-vous sur l’échelle de maturité du passwordless ?
• Comment mettre en place une stratégie d’authentification passwordless pour répondre à vos besoins spécifiques
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
5
Chaque facteur d’authentification autre qu’un mot de passe est par définition dépourvu de mot de passe. Mais toutes les méthodes d’authentification ne se valent pas. Pour savoir quelles sont les meilleures options pour vous, vous devez d’abord vous familiariser avec les différentes catégories d’authentification, les options d’authentification qu’elles incluent, et les forces et faiblesses relatives de chacune d’entre elles.
Catégories d’authentificationIl existe trois catégories basiques de facteurs d’authentification :
ÉVALUER LES OPTIONS D’AUTHENTIFICATION PASSWORDLESS
Dès que vous aurez identifié les facteurs d’authentification les plus adaptés à vos cas d’usages, vous souhaiterez évaluer chacun d’entre eux pour connaître leur employabilité, leur sécurité et leur facilité d’installation.
EmployabilitéLe processus d’authentification devrait être facilement accessible, intuitif et facile à utiliser. Si ce n’est pas le cas, cela pourrait éloigner les clients et entraîner plus de difficultés pour les employés. Lorsque vous réfléchissez à l’utilisabilité, n’oubliez pas :
• Combien de frictions vos utilisateurs sont-ils prêts à tolérer ? Par exemple, les utilisateurs seront généralement moins patients pour accéder aux ressources auxquelles ils accordent peu de valeur, mais ils tolèreront plus de frictions pour accéder à des ressources ayant une valeur supérieure.
• Est-il facile de s’inscrire et de s’authentifier ? Prenez en considération l’ensemble du cycle de vie, y compris ce qui est demandé à un utilisateur en cas d’oubli du mot de passe, ou de perte ou de changement de téléphone.
• Le système est-il rassurant ? Les utilisateurs seront probablement méfiants à l’égard d’un service bancaire qui leur permet de transférer de l’argent depuis leur compte sans inclure d’étapes visibles d’authentification.
SécuritéLorsque vous évaluerez la sécurité de plusieurs schémas d’authentification, il conviendra d’examiner leur résistance aux attaques et aux vols de données. Évaluez chacun d’entre eux en vous appuyant sur les critères suivants :
• À quel point le schéma d’authentification est-il résistant aux attaques extérieures à cause desquelles les comptes sont compromis ?
• Est-ce que le schéma d’authentification entraîne un stockage centralisé des données qui, en cas de vol, pourrait permettre à un attaquant de compromettre un compte ?
• De quelle manière affecte-il la sécurité en général ? Examinez la sécurité de tout le cycle de vie, en tenant compte de l’enregistrement, des mots de passe oubliés ou des téléphones perdus, des mises à jour des informations ou des appareils, etc. La force d’une chaîne est proportionnelle à celle de son maillon faible.
Facilité d’installationVous voulez également vous assurer que n’importe quel schéma d’authentification pris en considération soit une option viable pour votre organisation et vos utilisateurs. En cas de défaillance en termes de facilité ou de coût d’installation, votre succès pourrait être limité. Voici quelques questions à vous poser :
• Combien d’efforts sont nécessaires pour déployer le modèle d’authentification aux utilisateurs concernés ?
• Quels sont les coûts associés pesant sur votre organisation ?
• Y-t-il des frais incombant à l’utilisateur final susceptibles d’en freiner l’adoption ?
En ayant ces questions en tête, penchons-nous sur les forces et les faiblesses relatives de chaque catégorie d’authentification.
QUELQUE CHOSE QUE VOUS CONNAISSEZ
Une forme d’authentification basée sur les connaissances, comme un mot de passe, un code PIN ou le nom de votre
premier animal domestique
QUELQUE CHOSE QUE VOUS AVEZ
Comme un smartphone, une clé RSA, un jeton OAuth, un authentifiant FIDO ou
une adresse email
QUELQUE CHOSE QUE VOUS ÊTES
Un facteur biométrique, comme un visage, la rétine, une empreinte digitale,
la voix ou un ECG
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
6
CATÉGORIES D’AUTHENTIFICATION : FORCES ET FAIBLESSES
Facteurs liés à quelque chose que vous savez (basés sur les connaissances)Les mots de passe constituent le facteur basé sur les connaissances le plus couramment utilisé. Et ils sont connus pour être risqués. Toutefois, ce ne sont pas les mots de passe en eux-mêmes qui posent problème, mais plutôt les pratiques des utilisateurs liées aux mots de passe. Les mots de passe à usage unique qui sont longs et générés de manière aléatoire, sont extrêmement sécurisés. Mais il est également difficile de s’en souvenir. Et c’est là que les mauvaises pratiques entrent en jeu, lesquelles incluent l’utilisation de mots de passe faciles à deviner tels que « 123456 » ou « password ».
Les mauvaises pratiques incluent également l’utilisation sur plusieurs sites du même mot de passe ou d’autres informations basées sur les connaissances. Ceci est même encore plus risqué. Même si un site bénéficie d’un excellent niveau de sécurité, sa sécurité est au même niveau que le système le plus faible qui soit lorsque les identifiants utilisés sur d’autres sites sont compromis. Les identifiants volés finissent souvent sur le dark web pour y être revendus, où les pirates peuvent les obtenir pour les tester sur des sites de haute valeur comme les banques, ou reproduits en masse contre des sites que le pirate souhaite infiltrer en utilisant des bots de credential stuffing.
La manière dont les mots de passe sont gérés est également importante. Même le mot de passe le plus difficile à deviner qui soit peut être vulnérable s’il n’est pas haché, stocké de manière centrale et mis à la disposition du système auquel l’utilisateur se connecte pour vérifier l’identité. Lorsque des mots de passe sont transférés ou stockés à l’abri, le risque qu’ils soient volés ou utilisés pour une usurpation de compte est accru. Cela ne s’applique pas seulement aux mots de passe. Tout facteur basé sur des connaissances qui est stocké par un fournisseur d’application s’expose à un plus grand risque de vol.
D’un point de vue financier, les mots de passe ne coûtent pas cher à installer, puisqu’un annuaire d’utilisateur est généralement la seule chose que vous avez besoin d’acheter pour les prendre en charge. Du point de vue de l’installation, ils sont également bien placés car il s’agit de la méthode d’authentification par défaut sur la quasi-totalité des systèmes, et leur prise en charge est omniprésente dans toute l’infrastructure du logiciel.
En termes d’usage, les mots de passe présentent un constat mitigé. Les mots de passe simples et faciles à se souvenir sont très faciles à utiliser. Mais en plus des attaques par credential stuffing mentionnées ci-dessus, ils sont vulnérables aux attaques de dictionnaire par force brute ou aux attaques ciblant les listes de mots de passe courants. Les mots de passe longs sont plus sécurisés mais moins utilisables, en particulier s’il faut les mettre à jour régulièrement. Ce manque d’utilisabilité peut augmenter le nombre de réinitialisations de mots de passe, d’appels au service d’assistance, de partage de mot de passe sur plusieurs sites mais aussi d’autres problèmes d’utilisabilité et de frictions pour l’utilisateur mentionnés au début de ce document. Par comparaison, un code PIN à 4 ou 6 chiffres est plus exposé à une attaque par force brute que les mots de passe étant donné qu’il n’y a respectivement que 10 000 et 1 000 000 de combinaisons possibles. De ce fait, un code PIN serait un mauvais choix en qualité de facteur unique pour protéger un site web et ne devrait jamais être stocké dans un emplacement central. Toutefois, si le code PIN est utilisé uniquement pour débloquer une application mobile, il faudrait beaucoup de temps à quelqu’un pour attaquer ce code PIN par force brute. S’il existe une forme de verrouillage après un certain nombre de codes erronés, la sécurité en est renforcée.
Du point de vue de l’installation, il est simple et peu coûteux d’installer des codes PIN. Étant donné que la plupart des utilisateurs n’a pas de difficultés pour se souvenir des codes PIN à 4 ou 6 chiffres, ils obtiennent aussi un bon score en termes d’utilisabilité. Les codes PIN sont généralement un excellent premier facteur stocké uniquement au niveau local dans un scénario multi-facteurs.
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
7
Facteurs basés sur quelque chose que vous avez (Possession)Un facteur de possession (quelque chose que vous avez) peut bien fonctionner, jusqu’à ce que vous le perdiez ou que vous l’oubliiez. Pour cette raison, n’importe quel système utilisant un facteur de possession doit comporter une solution de repli. Exemple concret, un grand consultant et client de Ping signale que chaque jour entre plusieurs centaines et 2 000 employés oublient ou perdent leur téléphone. Étant donné qu’ils ont des exigences de sécurité strictes pour accéder à leurs applications sensibles, cela entraîne des centaines voire des milliers d’appels passés au service d’assistance pour valider manuellement les employés et leur délivrer des identifiants provisoires.
Toutefois, du point de vue de la sécurité, les facteurs de possession peuvent être extrêmement efficaces pour empêcher les attaques à distance. À l’exception des SMS envoyés sur votre téléphone. Il y a eu tellement de cas de pirates parvenant à obtenir des opérateurs mobiles qu’ils fassent passer un téléphone portable sur une nouvelle carte SIM (le « SIM swapping » ou échange de carte SIM) que le National Institute of Standards and Technology (NIST) a déprécié l’utilisation des SMS pour l’authentification, et nous la déconseillons également lorsque d’autres options sont disponibles.
En termes d’utilisabilité, les facteurs de possession se placent eux-aussi plutôt bien. Répondre à une notification push sur votre téléphone, brancher un authentifiant FIDO sur un port USB ou cliquer sur un lien temporaire dans un e-mail, c’est assez pratique. Toutefois, savoir quel est le meilleur choix dépend du scénario en particulier, dont nous allons parler dans un instant.
Du point de vue du coût, les facteurs de possession sont très variables. Il n’y a pas de frais réels si l’utilisateur a déjà l’appareil ou si le facteur de possession s’appuie sur un logiciel. Le coût des cartes ou des jetons spécifiques peut varier, allant de deux dollars à 50 $ pour les authentifiants de haut niveau avec des techniques biométriques intégrées. Toutefois, ces appareils de haut niveau peuvent offrir une utilisabilité optimale, une grande portabilité et une forte résistance aux attaques par hameçonnage. Par exemple, les authentifiants FIDO s’appuyant sur la biométrie tels que Feitian BioPass stockent votre identité et un élément biométrique dans votre appareil pour confirmer votre identité au moment de la connexion. Ce système permet d’établir une véritable connexion en une touche, puisque vous ne devez rien saisir ni taper.
Facteurs basés sur quelque chose que vous êtes (biométriques)Les facteurs biométriques sont en train de devenir de loin l’option sans mot de passe la plus diffusée. Cela est en partie dû au fait que leur facilité d’utilisation est imbattable. Les lecteurs d’empreintes digitales sont désormais intégrés dans la configuration standard de la quasi-totalité des smartphones et ordinateurs portables. Windows Hello propose une intégration avec des appareils biométriques, alors que les appareils plus récents tels que l’iPhone X et Microsoft Surface Book 2 proposent des fonctionnalités de reconnaissance faciale intégrées. Ces fonctionnalités fournies par des plateformes peuvent être utilisées facilement dans le cadre d’un flux d’authentification.
Du point de vue de la sécurité, la biométrie se place en haute position. Les lecteurs d’empreintes digitales ont un taux d’erreur d’identification négligeable. La technologie de reconnaissance faciale a également réalisé des avancées énormes en matière de précision, notamment pour détecter les tentatives de connexion avec des photographies ou des images numériques.
Mais les facteurs biométriques ont également leurs faiblesses. Du point de vue de la sécurité, si le facteur biométrique est associé à un appareil, par exemple, il est de ce fait soumis aux mêmes problèmes que pose la perte de l’appareil lorsqu’on utilise un facteur de possession. Le fait de stocker ce facteur biométrique sur un serveur central élimine ce problème, mais il faut être prudent avec ce type de données car il s’agit de données nominatives réglementées, notamment par le RGPD ou le CCPA. Aux États-Unis, des lois sur la collecte et le partage d’informations biométriques ont été votées au Texas, dans l’Illinois et dans l’État de Washington, et d’autres états ont fait des propositions de lois similaires.
Les problèmes d’utilisabilité que pose la biométrie dépendent aussi largement des cas d’usage. Par exemple, un lecteur d’empreinte digitale serait un mauvais choix pour vérifier l’identité de patients allant dans une clinique pour la grippe. De même, la reconnaissance faciale n’est pas fiable lorsque l’éclairage ne peut pas être contrôlé. D’après une étude réalisée sur les ATM équipés de la reconnaissance faciale, la précision de celle-ci se réduit sensiblement à certains endroits pendant l’après-midi. Une analyse détaillée a permis de constater que les machines étaient placées en face de fenêtres exposées à l’ouest. De ce fait, les reflets du soleil sur ces fenêtres altérait complètement la reconnaissance faciale.
Les facteurs biométriques varient également sensiblement du point de vue des coûts. Si, à l’origine, la plateforme fournit la fonctionnalité, aucun coût matériel ne vient s’ajouter pour utiliser cette fonctionnalité au niveau de vos flux d’authentification. Mais si des lecteurs d’empreintes digitales doivent être ajoutés, ils peuvent coûter entre 30 $ et 40 $ tandis que des caméras supplémentaires compatibles avec Windows Hello peuvent coûter entre 75 $ et 150 $.
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
8
Ce chemin vers la suppression des mots de passe inclut un certain nombre d’étapes, comme l’indique l’échelle de maturité suivante. Chacune de ces étapes peut engendrer des dividendes en termes d’utilisabilité et de sécurité. Les étapes figurant sur la courbe sont classées en fonction des améliorations que cette étape peut apporter en termes d’utilisabilité et de sécurité, du nombre de personnes auxquelles elle peut s’appliquer et de la facilité de réalisation de cette étape.
Alors que les organisations sont sur le point de se débarrasser des mots de passe, une approche par phase est souvent la plus réussie. Le processus commence typiquement par l’identification des besoins de l’entreprise les plus importants à satisfaire ainsi que la sélection des premiers utilisateurs pouvant faire des retours sur les premières étapes du déploiement. Vous devez vous sentir libre d’ignorer ou de réorganiser ces étapes selon vos besoins et pour répondre à vos applications spécifiques, à vos publics d’utilisateurs et aux besoins de votre entreprise.
Les étapes figurant sur cette échelle ont un code couleur représentant trois thèmes essentiels du chemin vers l’absence de mots de passe.
OÙ VOUS SITUEZ-VOUS SUR L’ÉCHELLE DE MATURITÉ DU PASSWORDLESS ?
ÉCHELLE DE MATURITÉ DU PASSWORDLESS
NOM D'UTILISATEUR ET MOT DE PASSE
Intelligence et analyse des risques : Rendre l'authentification plus intelligente et contextuelle
Maturité des cas d'usage : Réussir à se passer des mots de passe sur un plus grand nombre d'appareils ou dans davantage de scénarios (web, desktop, téléphone portable, etc.)
Maturité de la méthode : Fournir de nouvelles formes d'authentification sans mot de passe, tout en réduisant les risques liés aux mots de passe là où ils sont toujours utilisés
Autorité d'authentification
+ MFA
Push Passwordless sur un appareil de
confiance
Authentification adaptative
MDP + Authentifiants
FIDO
Connexion passwordless sur Windows
et sur Mac
Premier facteur FIDO
Suppression des mots de passe
statiques
Zero login/Authentification
continue
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
9
Étape 1 : Se lancerSi vous débutez juste votre chemin vers l’absence de mot de passe, la première étape consiste typiquement à mettre en place une autorité d’authentification et l’authentification multi-facteurs (MFA) pour toutes les applications de votre personnel. Une autorité d’authentification globale ou un service IdaaS vous procurera une expérience d’authentification complète et vous fournira un plan de contrôle pratique pour déterminer les applications auxquelles vos utilisateurs peuvent accéder.
Lire ce document pour savoir comment mettre en place une autorité d’authentification globale.
Pour un cas d’usage auprès des employés, un authentifiant mobile est conseillé plutôt que des codes OTP basés sur des SMS. Même si cela implique de faire une démarche de plus pour télécharger et enregistrer une application, un authentifiant mobile présente deux avantages par rapport aux SMS :
• Il n’est pas vulnérable au SIM swapping, qui se produit lorsqu’un pirate convainc votre opérateur mobile de basculer votre numéro de téléphone sur une nouvelle carte SIM, usurpant ainsi votre numéro de téléphone.
• Cela fonctionne lorsque vous n’avez pas de réseau mobile en fournissant des codes TOTP pouvant être utilisés comme solution de repli par rapport à l’acceptation d’une notification push.
Dans les scénarios où les téléphones portables ne sont pas autorisés, par exemple pour réserver un billet d’avion ou pour d’autres centres d’appel, vous pouvez utiliser les applications d’authentification de votre ordinateur pour fournir un second facteur.
Pour ce qui est des applications et des sites web utilisés par les consommateurs, plusieurs choix existent. Vous devez généralement proposer un accès par OTP, mais vous devriez également permettre aux utilisateurs d’enregistrer leur propre application de TOTP pour s’authentifier. Si vous avez votre propre application mobile, vous pouvez alors proposer la notification push à votre application.
Les accès aux systèmes internes fondamentaux se font souvent par VPN ou SSH. Pour être sûr de disposer d’une bonne base de MFA en place, vous pourrez souhaiter vous assurer que des VPN et des protocoles d’accès à distance tels que SSH sont configurés pour demander la MFA. Cette protection est réalisable par le biais de plusieurs approches et devrait être ajoutée à votre liste de points à vérifier concernant la sécurité de votre infrastructure.
Étape 2 : Réduire l’utilisation des mots de passeUne fois que vos blocs de construction de base sont en place, vous pouvez commencer à identifier les opportunités permettant de réduire l’utilisation des mots de passe. La première étape sera d’installer un appareil connu et l’authentification en push. Cela permettra aux utilisateurs de ne pas utiliser de mot de passe lorsqu’ils s’authentifieront sur un appareil que l’autorité d’authentification a déjà vu auparavant.
Une fois que cela aura été mis en place pour vos employés, vous pourrez commencer à déployer le même schéma en le proposant comme option dans les applications utilisées par vos clients. Cela augmentera sensiblement l’utilisabilité de ces applications, et si vous vendez un produit de manière active, cette étape pourrait réduire les frictions pendant les achats mais aussi l’abandon des paniers d’achat.
Lire le blog pour en savoir plus sur la réduction de l’utilisation des mots de passe par les clients.
Étape 3 : Mettre en place l’authentification adaptativeL’authentification adaptative constitue l’étape suivante logique, car elle réduit les frictions au moment de l’authentification tout en conservant les méthodes d’authentification que les utilisateurs utilisent actuellement. Elle peut être appliquée à l’authentification du personnel et des clients. La MFA adaptative travaille en arrière-plan pour développer une évaluation active de l’utilisateur. Ceci peut inclure des facteurs sur le contexte, le comportements ou d’autres facteurs, tels que la géolocalisation, l’environnement informatique et la nature de la transaction concernée.
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
10
Si les règles relatives à l’un de ces facteurs exige une sécurité renforcée, le système peut augmenter les critères d’authentification pour appliquer le bon niveau de sécurité en s’appuyant sur les risques associés. Mais de l’autre côté, si l’utilisateur suit un schéma normal, vous pouvez améliorer l’expérience utilisateur en réduisant la fréquence de l’authentification. Par exemple, vous pourriez demander à l’utilisateur de s’identifier une fois par jour pendant la première semaine, puis une fois par semaine pendant le premier mois, et par la suite une fois par mois s’il se tient à des schémas d’utilisation et de comportement normaux.
Lire ce document pour en savoir plus sur la mise en place de la MFA adaptative.
Étape 4 : Passer aux authentifiants FIDOÀ ce stade, les bases de l’authentification sans mot de passe sont en place et vous pouvez migrer certains groupes d’utilisateurs et certaines applications vers des authentifiant FIDO plus sécurisés. L’authentification FIDO est hautement efficace et demande à l’utilisateur d’enregistrer l’authentifiant sur chaque site web sur lequel il souhaite s’authentifier. L’authentifiant génère une paire de clé publique/privée unique pour chaque site web et renvoie la clé publique au site web. L’authentification est autorisée uniquement par SSL et la clé est associée au domaine du site web. Si l’utilisateur est ensuite hameçonné vers un faux site web, la demande d’authentification échouera, car le pirate ne viendra pas du domaine du site web enregistré.
Regarder la vidéo pour en savoir plus sur le fonctionnement du FIDO.
Étant donné que l’accès aux clés FIDO est réalisé par le biais du navigateur, elles dépendent du choix de navigateur de l’utilisateur pour que la clé soit compatible sur n’importe quelle plateforme sur laquelle l’utilisateur se trouve. Jusqu’à récemment, toutes les clés de sécurité FIDO n’étaient pas compatibles avec les divers navigateurs et systèmes d’exploitation. Désormais, depuis la sortie de IOS 13.3, les clés FIDO sont compatibles avec tous les principaux systèmes d’exploitation et navigateurs, y compris avec Chrome, Safari et Edge sur Mac, Windows, Android et iOS.
Étant donné que le coût des authentifiants FIDO a traditionnellement constitué une barrière, les entreprises demandent et distribuent généralement les authentifiants FIDO uniquement à une sélection de groupes de personnes et pour les applications dont les besoins en sécurité sont les plus élevés. Seulement, étant donné que de plus en plus de plateformes (telles que Android Version 7) installent des authentifiants FIDO certifiés, le coût devrait diminuer. Cela rendra le déploiement de FIDO plus attrayant financièrement et permettra à plus d’employés et même à des clients de faire la transition entre les authentifiants matériels et les authentifiant FIDO plus légers.
Étape 5 : Activer la connexion sans mot de passeTandis que vous cherchez à retirer les mots de passe de vos systèmes, vous souhaiterez aussi vous pencher sur la connexion aux ordinateurs portables et aux PC. Cela se fait généralement en utilisant les fonctionnalités biométriques intégrées aux systèmes d’exploitation. Windows Hello est compatible avec une connexion par facteurs biométriques de reconnaissance faciale et des empreintes digitales. Cela peut supprimer la nécessité des mots de passe si on y associe un code PIN stocké localement à titre de solution de repli. Des solutions commerciales sont également disponibles, lesquelles vous permettent de vous connecter à votre ordinateur en utilisant votre téléphone mobile.
Étape 6 : Installer un premier facteur FIDOLe standard FIDO permet aux authentifiants ayant des fonctionnalités biométriques de stocker les identités des utilisateurs et de les fournir pendant une séquence d’authentification. Il s’agit d’une véritable connexion en une touche. Étant donné que l’identité est associée au site web et au facteur biométrique, il n’est pas nécessaire de commencer par taper un nom d’utilisateur. Le nombre d’authentifiants FIDO et de sites web qui sont compatibles avec cette fonctionnalité est actuellement limité, mais on s’attend à une forte hausse dans ce domaine dans un futur proche. Pour ce qui est des connexions aux ordinateurs, certaines configurations professionnelles de Windows Hello sont actuellement compatibles avec un authentifiant FIDO équipé de la biométrie pour proposer une vraie connexion en une touche et ce, sans mot de passe.
L'Authentification sans mot de passe : Comment débuter avec le PasswordlessLIVRE BLANC
11
Étape 7 : Supprimer les mots de passe statiques des anciennes applicationsUne fois que vous avez déployé une expérience sans mot de passe pour la majorité des applications et des utilisateurs, vous pouvez
ensuite améliorer la sécurité des applications restantes. S’il serait théoriquement appréciable de supprimer totalement les mots de
passe, la plupart des entreprises auront dans un avenir proche des applications et des systèmes exigeant un mot de passe.
La stratégie visant à mieux sécuriser ces applications est double. La première étape est d’envelopper la MFA autour de ces applications
comme expliqué précédemment. La deuxième étape, qui constitue aussi une stratégie plus sécurisée sur le long terme, est d’utiliser
une gestion des accès privilégiée et des systèmes de rotation dynamique des mots de passe pour éliminer les mots de passe statiques
et retirer leur vol comme vulnérabilité potentielle affectant la sécurité. Cette étape permettrait également de fournir une expérience
utilisateur sans mot de passe aux applications restantes et qui utilisent toujours des mots de passe, ce qui améliorerait sensiblement
leur utilisabilité.
Étape 8 : Parvenir au Zero Trust et à l’authentification continueL’expression ultime de l’authentification sans mot de passe et avec peu de frictions consiste en zéro login et une authentification
continue. Zéro login signifie que l’autorité d’authentification dispose d’assez de facteurs contextuels au moment de la connexion pour
ne pas entraîner de difficultés visibles pour les utilisateurs. Ces facteurs peuvent inclure la reconnaissance faciale, l’ECG ou l’analyse de
l’empreinte vocale ou d’autres facteurs tels que l’analyse de la typographie. Si ces facteurs peuvent être réunis en toute sécurité lors de
l’enregistrement initial, il pourrait être possible de ne pas du tout demander de mot de passe.
On parle d’authentification continue lorsque l’identité initiale est établie. En utilisant un nombre de facteurs incluant la géolocalisation,
l’adresse IP, la posture de l’appareil, etc. l’autorité d’authentification détermine s’il y a assez de signaux de confiance pour équilibrer les
signaux de risques, compte tenu de la sensibilité des ressources demandées. Si besoin, l’autorité d’authentification émettra des points
de difficulté tels qu’une notification push ou demandera l’utilisation de votre authentifiant FIDO.
Étant donné que le zéro login et l’authentification continue fonctionnent de manière invisible en coulisse, les utilisateurs pourraient
s’inquiéter du fait que le système n’est pas assez sécurisé, notamment pour les transactions de valeur élevée comme le transfert d’argent
depuis un compte bancaire. Dans certains de ces scénarios, vous pourriez choisir de conserver l’authentification explicite afin de rassurer
les utilisateurs sur le fait que leur système sécurise correctement les transactions.
Ping Identity est pionnier en solutions d’identité intelligentes. Nous aidons les entreprises à mettre en place un niveau de sécurité Zero Trust centré sur l'identité et des expériences utilisateur plus personnalisées et fluides. La plateforme Ping Intelligent IdentityTM fournit aux clients, employés et partenaires un accès aux API et applications cloud, mobiles, SaaS et sur site, tout en gérant les données d’identité et de profil à l’échelle de l’entreprise. Plus de la moitié des entreprises classées au Fortune 100 font confiance à notre expertise en matière d’identités, à notre position de leader en standards ouverts et à notre partenariat avec des sociétés comme Microsoft, Amazon et Google. Nous proposons des options flexibles permettant d’étendre les environnements hybrides et d’accélérer les initiatives numériques de l’entreprise grâce à des fonctionnalités d’authentification, de gestion des accès, de sécurisation intelligente des API, d’annuaire et de gouvernance des données. Rendez-vous sur www.pingidentity.com. #3480 | 01.15.20 | v01
12
CONCLUSION
Désormais, vous devriez avoir une meilleure idée de la manière dont vous pouvez aider votre organisation à passer à l’authentification sans mot de passe. Vous avez été informé des diverses options d’authentification à votre disposition et vous commencez à voir comment vous pouvez faire des choix qui trouvent un juste milieu entre d’une part les besoins de vos applications en termes de sécurité et d’autre part les besoins en termes d’utilisabilité et les attentes de votre communauté d’utilisateurs en termes d’expérience.
Au cours de votre chemin vers la suppression des mots de passe, il pourrait vous être utile de décomposer ce processus en plusieurs questions et paliers qui vous guideront vers les scénarios d’authentification qui répondent au mieux à vos besoins. Voici une liste de points à vérifier pour vous guider :
Quelle(s) application(s) suis-je en train de protéger ?
Pour chaque application :
Quelle est la valeur de cette application et de ses données ?
Quelles communautés d’utilisateurs doivent accéder à cette application ?
Dans quel scénario et dans quelles circonstances doivent-ils accéder à l’application ? Est-ce que l’une de ces questions pose des limites en particulier ?
Quelle(s) méthode(s) d’authentification ont le niveau de sécurité dont ils ont besoin ?
Est-ce que les méthodes d’authentification fonctionnent bien dans les scénarios souhaités et des conditions spéciales ?
Est-ce que la complexité de déploiement ou le coût engendré par une méthode d’authentification constituent une barrière importante entravant l’adoption, compte tenu du public cible ?
Comment se situe l’utilisabilité par rapport aux méthodes d’authentification qui respectent les critères ci-dessus ?
Pendant que vous naviguez dans votre transition vers la suppression des mots de passe, vous serez aussi amené à comprendre comment Zero Trust et l’absence de mot de passe vont de pair. Zero Trust est un concept de sécurité qui traite les réalités de la transformation numérique et fournit un cadre pour renforcer la sécurité dans un monde de plus en plus ouvert et de plus en plus connecté.
Selon le Zero Trust, il n’est possible de faire confiance à aucun utilisateur, système ou service, à l’intérieur ou à l’extérieur du périmètre de sécurité, et tout, personnes et appareils, doit être vérifié avant que l’accès aux ressources soit autorisé. Une autorité d’authentification globale constitue la base d’une architecture Zero Trust et confère une source unique et globalement sécurisée d’identité qui permet également de s’authentifier sans mot de passe.
Pour en savoir plus sur la manière d’établir une base solide pour répondre aux
difficultés et aux exigences modernes en matière d’accès, lire le livre blanc.
Références12019 Data Breach Investigation Report. Verizon.2Soverson, Jarrod. « What Your Login Success Rate Says About Your Credential Stuffing Threat ». Shape Security Blog. 23 april 2019. 3 2019 Cost of a Data Breach Report. IBM & Ponemon Institute.