Un software token (token logiciel) est un token de sécurité électronique ou numérique pour les systèmes d'authentification à deux facteurs. Il vérifie l'identité des utilisateurs qui demandent l'accès à un système, un réseau ou un appareil.

De plus en plus d'organisations comprennent désormais que les mots de passe seuls ne suffisent plus à authentifier les utilisateurs. Selon ITRC, pour le troisième trimestre 2021, le nombre de victimes de compromission des données aux États-Unis seulement était de 160 millions, supérieur au premier et au deuxième trimestre 2021 réunis (121 millions).

Un large éventail de technologies d'authentification et un éventail encore plus large d'activités nécessitent des méthodes d'authentification fortes.

Ici, nous discutons des différentes méthodes d'authentification sur le marché aujourd'hui et pourquoi nous privilégions les software token comme méthode d'authentification multi-facteurs ?

Qu'est-ce que l'authentification multifacteur (MFA) ?

Authentification multi-facteurs (MFA (authentification multi-facteurs)) est un mécanisme de sécurité qui ajoute une couche de protection à un processus de connexion. Elle repose sur l'idée que les utilisateurs doivent fournir au moins deux éléments de preuve (appelés « facteurs ») pour prouver leur identité. 

– quelque chose que l'utilisateur connaît (par exemple un mot de passe)

- quelque chose que l'utilisateur possède (un appareil qui ne peut pas être facilement dupliqué, comme un téléphone ou une clé matérielle)

– quelque chose que l'utilisateur est (un paramètre biométrique comme la voix, le visage, l'empreinte digitale)

Le contrôle d'accès détermine l'identité de l'utilisateur en fonction d'informations d'identification telles que le nom d'utilisateur et le mot de passe. Les informations d'identification fournies sont comparées à une base de données des utilisateurs autorisés, stockées sur un système d'exploitation local ou un serveur d'authentification. Si les données correspondent, l'utilisateur est authentifié auprès du système.

Pourquoi l'authentification multifacteur utilisateur (MFA) est-elle importante ?

Les cybercriminels peuvent accéder à un système et voler des informations lorsque l'authentification de l'utilisateur est compromise. Si un facteur est découvert ou cassé, un attaquant aura toujours au moins une barrière supplémentaire à passer avant de réussir à pénétrer la cible.

Il existe plusieurs protocoles d'authentification que vous pouvez implémenter pour vous empêcher d'exposer vos données utilisateur à des attaquants, notamment Oauth, OpenID, SAML et FIDO.

Types d'authentification multifacteur (MFA) couramment utilisés 

1. Token logiciel (Software Token)

Qu'est-ce que l'authentification par jeton logiciel ?

A Software Token est une application d'authentification installée sur un appareil électronique tel qu'un smartphone, un ordinateur ou une tablette. Il produit un mot de passe à usage unique (OTP) ; le plus souvent une chaîne de code de 6 à 8 chiffres. Généralement, les applications d'authentification fonctionnent sur une clé secrète partagée connue du serveur et de l'application d'authentification. Les applications prennent en charge OATH Event-based (HOTP) & Time-based (TOTP). 

L'utilisateur doit entrer le code généré pour accéder aux données ou à l'application. 

Si le Software Token dispose d'une option de notification push, l'utilisateur peut accepter ou rejeter la demande et ne pas saisir manuellement le code. Choisissez de préférence un jSoftware Token avec push mobile car il est plus convivial et sécurisé.

Exemple d'application d'authentification mobile gratuite- Token OpenOTP de RCDevs, Google, etc., Google Authenticator, etc.

2. Tokens Hardware

Qu'est-ce que l'authentification par Token Hardware

Un Token Hardware standard est un petit appareil, qui généralement prend la forme d'une carte de crédit ou d'un porte-clés. Les Token Hardware les plus simples ressemblent souvent à une clé USB, disposent d'une petite capacité de stockage contenant un certificat ou un identifiant unique et sont souvent appelés dongles.

De nombreux Token Hardware contiennent une horloge interne qui, en combinaison avec l'identifiant unique de l'appareil, un code PIN ou un mot de passe d'entrée et potentiellement d'autres facteurs, est utilisée pour générer un code, généralement affiché sur l'écran duToken. Ce code change régulièrement, souvent toutes les 30 secondes ou une autre période que vous définissez.

Généralement, les Token Hardware sont des Tokens OATH basés sur HOTP, TOTP ou OCRA. Lorsque vous êtes invité à entrer votre code pour vous authentifier à l'aide d'un Token Hardware, vous appuyez sur votre Token pour générer votre code à 6 chiffres, que vous entrez manuellement. 

Exemples de Token Hardware – RCDevs RC400, RCDevs RC200, Yubico YubiKey

3. Authentification biométrique

Les dispositifs d'authentification biométrique s'appuient sur des caractéristiques physiques telles que la voix, les empreintes digitales ou les motifs faciaux pour vérifier l'identité de l'utilisateur. L'authentification biométrique gagne en popularité pour de nombreux usages, y compris la connexion au réseau.

Utiliser une voix qui est unique pour l'authentification est l'un des moyens les plus sûrs de s'authentifier.

De plus, les Token Hardware comme les YubiKeys peuvent gérer les empreintes digitales au lieu des OTP. Au lieu de recevoir un code vous est envoyé par SMS ou généré par une application sur votre téléphone, vous appuyez sur un bouton de votre YubiKey. Tout simplement ! Chaque appareil possède un code unique intégré, qui est utilisé pour générer des codes permettant de confirmer votre identité.

4. Authentification signée

Créé par l'Alliance FIDO (Fast IDentity Online), Universal 2nd Factor (U2F et FIDO2), c'est une norme industrielle solide pour l'authentification à deux facteurs.

FIDO U2F permet aux services en ligne d'augmenter la sécurité de leur infrastructure de mot de passe existante en ajoutant un deuxième facteur très solide à la connexion de l'utilisateur. L'utilisateur se connecte avec un nom d'utilisateur et un mot de passe comme auparavant. Le service peut également inviter l'utilisateur à présenter un dispositif de second facteur (tel qu'une clé de sécurité FIDO) à tout moment de son choix. Le deuxième facteur permet au service de simplifier ses mots de passe (par exemple, un code PIN à 4 chiffres) sans compromettre la sécurité.

L'utilisateur présente le deuxième facteur lors de l'enregistrement et de l'authentification en appuyant simplement sur un bouton sur un périphérique USB ou par NFC ou BLE. L'utilisateur peut utiliser son appareil FIDO U2F sur tous les services en ligne qui prennent en charge le protocole en tirant parti de la prise en charge intégrée dans les navigateurs Web.

Top 3 des mythes courants sur les jetons logiciels - contredits par RCDevs Security Solutions

Généralement, les gens ont l'impression que même si les Tokens logiciels et matériels sont très sécurisés, les Tokens logiciels sont plus exposés au risque de piratage, car ils peuvent être dupliqués, contrairement à un Token Hardware. Examinons les faits. 

1. Procédure d'enrôlement

Dans de nombreux cas (par exemple avec Google Authenticator), la procédure d'enrôlement est basée sur un QR code qui contient l'intégralité du Token, ce qui signifie qu'à tout moment (et même longtemps après l'inscription), avoir le QR code signifie connaître la clé cryptographique. Et le fait est que QR code doit avoir été envoyé à l'utilisateur – dans un e-mail, par exemple. Ila donc pu être trouvé et copié pendant le processus ou après. 

C'est pourquoi l'enrôlement des Token de RCDevs ne fonctionne pas de cette manière : le QR codes ert uniquement à lancer la procédure, qui se termine sur nos serveurs. Ainsi, trouver le QR code est inutile pour un attaquant.

2. Clé cryptographique

Contrairement à de nombreux Token logiciels sur le marché, avec RCDevs la clé cryptographique n'est pas stocké dans un conteneur logiciel mais dans un keychain hardware. Ainsi, la seule application capable de le lire est le Token OpenOTP de RCDevs ; aucune autre application sur le téléphone ne peut y accéder. 

3. Tentative de connexion frauduleuse

La géolocalisation du smartphone peut aider à détecter une tentative de connexion frauduleuse. Par exemple, dans l'application OpenOTP Token, la protection contre le phishing utilise votre emplacement pour empêcher ces attaques. Si une attaque de phishing est suspectée, l'application OpenOTP Token vous invitera avec un écran comme celui ci-dessous. En conséquence, vous pouvez approuver ou rejeter la demande.

Pourquoi le Software Token est-il la meilleure méthode MFA ?

Côté avantages, ils sont assez nombreux. Prenons le jeton OpenOTP de RCDevs comme exemple de Token logiciel pratique pour la génération de mot de passe à usage unique. Six raisons pour lesquelles nous préférons les Token Software pour le MFA :

1. Disponibilité

Le smartphone est toujours à portée de main ; disponible à tout moment et n'importe où. Mais cela apporte un autre avantage, lié à la sécurité : si un utilisateur final perd son téléphone, il est beaucoup plus susceptible de s'en rendre compte en quelques minutes, ce qui n'est pas forcément le cas avec un Hardware Token.  

Et le temps est ici clé ! Le délai pour constater la perte du dispositif d'authentification et avertir les équipes de sécurité est crucial.

2. Couche de protection supplémentaire

Un smartphone dispose nativement d'une couche de protection supplémentaire (code PIN ou biométrie), permettant de protéger le Software Token et son OTP contre tout accès non autorisé si votre téléphone, pour diverses raisons, se retrouve entre de mauvaises mains. Si la même chose se produit avec un jToken physique, l'OTP peut être lu et utilisé directement.

3. Configuration flexible

Le choix de la longueur du mot de passe et de l'algorithme qui le génère, est quelque chose que vous pouvez configurer selon vos besoins.

4. Tokens multiples

Vous pouvez générer et gérer de nombreux Tokens sur un seul appareil, réduisant ainsi les problèmes liés au suivi de nombreuses applications et/ou appareils.

5. Prix

La protection des données à l'aide du Token logiciel d'OpenOTP ne nécessite aucune dépense - l'application est gratuite.

Versions disponibles à la fois pour Android et les tentatives de iOS.

6. Signature électronique mobile

Il prend en charge la signature de données (à la fois on-premise et SaaS), vous permettant de cliquer et de signer directement avec votre mobile, dans le respect du droit international des contrats.

Conclusion

Alors lequel choisir ? Il n'y a pas de réponse simple : toutes les méthodes d'authentification ont des avantages.

Mais essayez toujours d'examiner les besoins de votre entreprise et de vos employés. Choisissez une méthode d'authentification compatible avec SAML/OpenID, Windows, NAC, Unix et Linux, MAC OSX, etc., comme c'est le cas du Token OpenOTP de RCDevs. Vous faites un grand pas vers une meilleure sécurité en passant d'une simple protection par mot de passe à une authentification multifacteur.

Pour toute question sur les jetons ou MFA, contactez notre spécialistes.