Authentification forte
S'authentifier, consiste à prouver son identité. Pour se faire il est essentiel d’associer un moyen d’authentification à une identité. Dans la vie de tous les jours, cela se traduit, par exemple, par l'utilisation d'une carte nationale d’identité, d'un passeport, d'un tatouage ou puce électronique pour votre chien, un hologramme pour les billets de banque, ...
Qu'est-ce que l'authentification forte ?
Il vous est déjà arrivé de confirmer un paiement en ligne, par un code reçu par sms, ou en acceptant une notification provenant de l'application mobile de votre banque. Ce système de confirmation constitue une authentification forte.
L'authentification forte consiste donc à mettre en œuvre, au moins, deux facteurs différents afin de renforcer la sécurité.
Dans l'exemple ci-dessus, numéro de carte (1er facteur) et code sms (2e facteur) ont permis de s’assurer que le porteur de carte est bien celui-ci qui effectue le paiement sur Internet.
Différents facteurs
Les facteurs peuvent faire partie des éléments suivants :
- Quelque chose que vous connaissez : un mot de passe, un schéma de verrouillage, numéro de carte bancaire...
- Quelque chose que vous êtes est ou que vous faites : une empreinte digitale, rétinienne, facteurs biométriques, attributs physiques, reconnaissance faciale,
- Quelque chose que vous possédez : un téléphone mobile, un jeton d'authentification que l'on appelle aussi token,
- Quelque chose que vous savez faire : signature manuscrite, reconnaissance vocale ou gestuelle,
- L'endroit où l'on se trouve.
Pourquoi ? Intérêt ?
Pour protéger des données sensibles. Ce type d'authentification peut s'avérer utile en cas de :
- perte accidentelle de données d'identification (Si par exemple vous perdez votre ordinateur dans lequel vos mots de passe sont stockés),
- perte de données d'identification consécutives au piratage d'un service en ligne.
Ce type d'authentification est parfois requis par la loi dans le cas de manipulation de certains types d'information (DSP2*).
Il est particulièrement apprécié dans les secteurs comme celui de la banque, administrations, messagerie et même réseaux sociaux....
Le principal avantage de cette méthode est qu'elle complique la tâche d’un hacker car il aura au minimum, 2 couches de protection à cracker.
Les inconvénients, sont quant à eux plus d'ordre financier (investissement dans des lecteurs d'empreintes digitales, prix des envois sms par ex) ou logistique (nécessité d'avoir un réseau mobile pour la transmission de code par sms, etc…)
Conclusion
L'authentification forte est donc un moyen efficace pour rassurer ses utilisateurs, il faut tout-de-même que les facteurs d'authentification retenus soient bien pensés car leur complexité pourrait nuire à l'expérience utilisateur.
* Directive européenne sur les Services de Paiement 2. Mise en application le 14 septembre 2019, cette réglementation a pour objectif de renforcer la sécurité des opérations de paiement et d'accès aux comptes grâce à l'authentification forte.
Pour aller plus loin :
Paiement : la directive DSP2 entre en vigueur, c'est quoi ?
Directive sur les services de paiement