CyberChat – Les leçons à tirer de Jurassic World en matière d’authentification multifacteur

L’authentification multifacteur, ou comment éviter l’extinction

Dernièrement, ma famille et moi avons instauré une nouvelle tradition : une fois par semaine, nous faisons une soirée ciné avec dîner inspiré du thème ou des personnages du film. Si cela nous permet de décompter les semaines jusqu’à notre prochain voyage en famille, j’espère que nous garderons cette habitude amusante par la suite. L’excitation des enfants au moment de choisir une enveloppe, l’envie partagée de découvrir le film de la semaine, et pour les parents, l’impatience de réfléchir aux plats qu’il faudra préparer ce soir-là… Vive les traditions familiales ! Mais… venons-en à la sécurité.

La semaine dernière, l’un des enfants a tiré au sort le film « Jurassic World : Le Monde d’après ». Si mon esprit a rapidement dévié sur ce j’allais inscrire au menu (griffes de raptor au fromage, nuggets de dinosaures ou ailes de ptérodactyle, peut-être), j’étais loin d’imaginer que ce film serait l’occasion d’avoir une super discussion avec mes enfants sur la cybersécurité, eux qui sont de plus en plus au fait des technologies qui les entourent comme beaucoup d’autres élèves du primaire et du collège.

Qu’est-ce que l’authentification multifacteur ?

Si je vous demande le rapport entre Jurassic World : Le Monde d’après et la sécurité, vous me répondrez que c’est évident : les dinosaures qui s’échappent de leurs enclos dans les différents opus de la franchise Jurassic Park. Mais ici, je ne veux pas parler de ce type de sécurité. Sans vouloir spoiler le film (enfin, j’espère !), il y a une scène dans laquelle Ian Malcolm donne secrètement son bracelet d’identification high-tech (imaginez un badge à porter au poignet ou le Magic Band qu’on vous remet à Walt Disney World) au docteur Ellie Sattler. Cette dernière s’en sert, en compagnie du docteur Alan Grant, pour pénétrer dans une zone réservée d’un laboratoire et s’emparer d’échantillons d’ADN : ce sera le point de départ d’une aventure terrifiante, mais comme toujours haletante, digne de la série Jurassic Park.

J’en viens au fait : ce simple bracelet d’identification leur a permis d’accéder à une zone du laboratoire interdite aux visiteurs. Aucune vérification d’empreinte digitale, aucun code d’accès à saisir (sérieusement, même Disney demande à valider votre empreinte après la lecture du Magic Band !). C’est ce qui leur a permis d’entrer dans les locaux de Biosyn.

Dans le monde de la cybersécurité, on peut déplorer ici l’absence d’authentification multifacteur, également appelée « authentification en deux étapes ». Lorsqu’un unique type d’identification (ici, le bracelet) est exigé, la perte de cette seule source met en péril la sécurité des actifs qu’elle est censée protéger. Si vous ajoutez une deuxième (voire une troisième, une quatrième, etc.) forme d’identification, telle qu’un code PIN, un scan rétinien ou la simple réponse à une question, vous limitez grandement les risques, car vous bénéficiez de plusieurs facteurs d’authentification.

Comment fonctionne l’authentification multifacteur ?

Vous utilisez déjà probablement sans le savoir l’authentification multifacteur. Lorsque vous vous connectez à l’application mobile de votre banque, par exemple, vous devez saisir votre identifiant (ou parfois votre numéro de compte) et votre mot de passe (ou code PIN). Mais ensuite, le message d’erreur que renvoie le site s’il ne reconnaît pas votre appareil constitue une forme d’authentification multifacteur. Dans ce cas de figure, l’enregistrement d’un appareil (téléphone ou ordinateur) permet de mettre en œuvre une deuxième étape de vérification.

L’authentification multifacteur est une approche à plusieurs niveaux qui sécurise l’accès aux données ou aux applications en demandant à l’utilisateur de justifier son identité par deux moyens ou plus. Les informations d’identification que le système peut exiger se divisent en trois catégories :

  • Renseignements connus de vous: mot de passe ou réponse à une question personnelle de sécurité, par exemple
  • Objets en votre possession: appareil, token, badge ou encore validation dans une application mobile installée sur votre téléphone
  • Caractéristiques biométriques: empreinte digitale, scan rétinien, etc.

Dans le cas de notre application bancaire, l’appareil enregistré entre dans la catégorie « Objets en votre possession ».

Il convient toutefois de souligner que le simple fait de combiner plusieurs vérifications n’est pas synonyme d’authentification multifacteur. C’est l’association d’éléments relevant de différentes catégories qui importe. Par conséquent, la saisie d’un mot de passe et la réponse à une question de sécurité ne suffisent pas, car les deux informations d’identification relèvent de la catégorie « Renseignements connus de vous ». Le fait de saisir un mot de passe, puis un code à usage unique affiché dans une application sur votre téléphone, constitue en revanche une forme valable d’authentification multifacteur, car deux catégories entrent en jeu (« Renseignements connus de vous », d’une part, et « Objets en votre possession », d’autre part).

Types d’authentification multifacteur

S’il existe plusieurs types d’authentification multifacteur, l’accès aux comptes est souvent protégé par un mot de passe ou un code PIN, auquel vient s’ajouter l’un des éléments suivants :

  • Notification push transmise par une application d’authentification reconnue
  • Mot de passe ponctuel (code à usage unique mis à votre seule disposition par un canal de communication qui vous est propre : compte de messagerie électronique, SMS envoyé à votre numéro ou application configurée sur votre téléphone mobile)
  • Token à deux facteurs (jeton ou support d’authentification à brancher ou qui affiche un code)
  • Biométrie (empreinte digitale, vérification faciale ou scan rétinien)

Pourquoi est-ce important ? Si Biosyn avait imposé une vérification faciale après l’utilisation du badge d’identification, Ellie et Alan n’auraient pas pu pénétrer dans cette zone réservée du laboratoire. Si un méchant vole votre nom d’utilisateur et votre mot de passe, il ne pourra pas s’infiltrer dans un système qui exige également la saisie d’un code à usage unique envoyé sur votre téléphone mobile.

Tout est dans la répétition

Aujourd’hui, de nombreux systèmes assurent à leurs utilisateurs une authentification multifacteur. Si le processus peut sembler lourd au départ, ce n’est qu’une question d’habitude : plus vous l’emploierez et plus cela vous paraîtra naturel. Cette petite étape de vérification supplémentaire peut faire toute la différence face à des paléontologues qui tentent d’accéder à votre laboratoire secret de recherche sur les insectes. Dans Jurassic World : Le Monde d’après, ce manque de sécurité a bien évidemment profité aux gentils, mais tâchons de ne pas inverser le scénario en faveur des cybercriminels : mettons à profit l’authentification multifacteur.

Une mesure élémentaire pour renforcer la sécurité numérique

L’authentification multifacteur peut sembler complexe, mais si l’on repense à notre application bancaire, force est de constater qu’elle devient vite partie intégrante du processus une fois qu’on l’adopte au quotidien et qu’il s’agit d’une mesure élémentaire permettant de renforcer le plus simplement du monde votre sécurité numérique. Ne l’oubliez pas : il est très facile de se protéger en ligne… à condition de connaître les étapes incontournables à mettre en place.

Si vous optez vous aussi pour la soirée ciné avec dîner à thème (ce que je recommande vivement… j’ai d’ailleurs plein d’idées à partager pour vos menus, si cela vous intéresse), commencez par Jurassic World : Le Monde d’après et profitez-en pour expliquer à votre entourage comment prévenir l’usurpation d’identité grâce à l’authentification multifacteur. Quels films nous recommanderiez-vous pour continuer d’aborder la cybersécurité en famille ?

Stay up to date on the latest tips and news
En vous inscrivant, vous acceptez que vos données personnelles soient traitées conformément aux termes de la Politique de confidentialité de Veeam.
You're all set!
Watch your inbox for our weekly blog updates.
OK