Authentification : MFA, FIDO2, passwordless
Au-dela du mot de passe
Le mot de passe seul est mort comme mecanisme de securite fiable. Les bases de donnees de credentials voles contiennent des milliards de combinaisons email/mot de passe disponibles gratuitement ou pour quelques dollars. Meme un mot de passe fort et unique peut etre capture par phishing en temps reel. La question n’est plus “comment faire un bon mot de passe” mais “comment eliminer la dependance au mot de passe”.
Multi-Factor Authentication (MFA)
Le MFA combine deux ou plusieurs facteurs : ce que vous savez (mot de passe), ce que vous avez (telephone, cle physique), ce que vous etes (biometrie).
Niveaux de MFA par robustesse :
| Methode | Resistance au phishing | Facilite d’usage |
|---|---|---|
| SMS OTP | Faible (SIM swap, interception) | Elevee |
| App TOTP (Google Auth) | Moyenne (phishing en temps reel) | Elevee |
| Push notification | Moyenne (MFA fatigue) | Elevee |
| FIDO2/WebAuthn | Forte (lie au domaine) | Moyenne |
| Cle physique (YubiKey) | Tres forte | Moyenne |
MFA par SMS : le niveau minimal mais insuffisant face aux attaques modernes. Le SIM swapping (convaincre l’operateur de transferer votre numero) est une attaque documentee. Les SS7 vulnerabilities permettent theoriquement d’intercepter les SMS. Le SMS MFA reste meilleur que rien, mais ne doit pas etre considere comme robuste.
TOTP (Time-based One-Time Password) : les applications comme Google Authenticator ou Authy generent un code a 6 chiffres valable 30 secondes. Vulnerable au phishing en temps reel : un site de phishing peut capturer le code et l’utiliser immediatement sur le vrai site avant expiration. Des proxies de phishing automatises (Evilginx, Modlishka) font ca en temps reel sans intervention humaine.
MFA fatigue : technique d’attaque ou l’attaquant, ayant les credentials de la victime, envoie des dizaines de requetes de push notification jusqu’a ce que la victime accepte par exasperation ou par erreur. Les systemes modernes limitent le nombre de tentatives et exigent un code numerique correspondant.
FIDO2/WebAuthn
FIDO2 est le standard qui resiste au phishing. La cle cryptographique est liee au domaine du site : un site de phishing sur un domaine different ne peut pas intercepter l’authentification.
Le fonctionnement est base sur la cryptographie asymetrique :
- Lors de l’enregistrement, l’appareil genere une paire de cles (publique/privee) par site
- La cle privee ne quitte jamais l’appareil (ou la cle physique)
- Lors de l’authentification, le site envoie un challenge que l’appareil signe avec la cle privee
- Si le domaine ne correspond pas exactement, l’authentification echoue
Cette liaison au domaine rend le phishing techniquement impossible : meme si l’utilisateur visite evil-mybank.com au lieu de mybank.com, la cle correspondante n’existe pas.
Implementations FIDO2 :
- Cles physiques (YubiKey, Google Titan) : le niveau le plus robuste, la cle privee est dans le hardware et ne peut pas etre exportee
- Platform authenticators : Face ID, Touch ID, Windows Hello utilisent la puce securisee de l’appareil (TPM, Secure Enclave)
- Passkeys : implementation grand public de FIDO2, synchronisees entre appareils via le cloud du fournisseur (Apple/Google/Microsoft)
Passwordless
L’avenir de l’authentification : supprimer completement le mot de passe. Passkeys (Apple, Google, Microsoft), cles physiques, ou biometrie sur l’appareil.
Les passkeys representent la democratisation du FIDO2. Synchronisees via iCloud Keychain, Google Password Manager ou Windows Hello, elles permettent de se connecter sur un nouvel appareil sans reconfiguration. La friction est reduite au minimum tout en maintenant la resistance au phishing.
Etapes de migration vers le passwordless :
- Deployer MFA sur tous les comptes (point de depart indispensable)
- Activer FIDO2/passkeys en option supplementaire
- Former les utilisateurs et recueillir les retours
- Rendre obligatoire le FIDO2 pour les comptes privilegies
- Progressivement supprimer le mot de passe comme facteur principal
Implementation pratique
Pour les entreprises :
- Les solutions IAM comme Okta, Entra ID (Microsoft), ou Ping Identity supportent FIDO2 et peuvent etre configurees pour l’imposer sur les acces critiques
- Definir des politiques d’acces conditionnel qui exigent FIDO2 pour les applications a haut risque
- Planifier la gestion des cas de perte/remplacement d’appareil (codes de secours, procedure de re-enregistrement)
Priorite de deploiement :
- Comptes d’administration (zero tolerance pour les methodes faibles)
- Acces VPN et remote access
- Messagerie et applications bureautiques (vecteur de phishing principal)
- Applications metier avec donnees sensibles
L’objectif n’est pas la perfection immediate mais une progression methodique vers des methodes de plus en plus resistantes au phishing, en commencant par les actifs les plus critiques.
Publicité