[TRIBUNE de Allan Camps, KEEPER SECURITY] En mettant en œuvre le protocole FIDO2 (Fast IDentity Online), les entreprises peuvent s'assurer que les informations ou données sensibles ne sont jamais transmises ou stockées de manière vulnérable. Une approche qui réduit également le risque de violation des données et apporte une aide pour répondre aux exigences de conformité réglementaires. Sécuriser les comptes à privilèges avec les clés de sécurité FIDO2 est ainsi un moyen efficace de les protéger des menaces internes et externes, comme l’explique ici Allan Camps, Senior Enterprise Account Executive chez Keeper Security.
L'utilisation de méthodes d'authentification traditionnelles pour la gestion des comptes à privilèges (PAM, Privilege Access Management) comme l'authentification par mot de passe ou l'authentification multi-facteurs peut les rendre vulnérables à diverses cyberattaques. Or, ces méthodes sont désormais insuffisantes pour protéger les comptes à privilèges.
D’une part, l'authentification par mot de passe peut se montrer vulnérable en raison de l'erreur humaine, d'une mauvaise gestion des mots de passe et de sa faiblesse face à des attaques par hameçonnage (phishing) ou par force brute par exemple. De l’autre, même si elles sont plus sûres que les mots de passe seuls, les méthodes d'authentification multi-facteurs sont sensibles aux cyberattaques telles que le SIM swapping, les attaques de type MITM (Man-in-the-Middle) et les codes OTP (One-Time Password) de phishing, qui peuvent contourner ces protections.
Le FIDO2, vers une amélioration de la sécurité
Le protocole FIDO2 (*) est un ensemble de normes d'authentification qui permettent une authentification sécurisée des utilisateurs sans mot de passe. Il repose sur un chiffrement de type asymétrique, utilisant une paire de clés publique et privée pour l'authentification. La clé publique est stockée sur le serveur du fournisseur de services, tandis que la clé privée reste stockée en toute sécurité sur l'appareil de l'utilisateur, garantissant aux seuls utilisateurs autorisés l’accès à leur appareil. Cela signifie également que même si le serveur d'authentification est compromis, les identifiants de l'utilisateur ne peuvent pas être volés.
Le FIDO2 se compose de deux éléments clés : l'authentification Web (WebAuthn) qui permet aux navigateurs d'authentifier les utilisateurs sans mot de passe et le protocole client-authentificateur (CTAP, Client to Authenticator Protocol) qui permet la communication entre l'authentificateur et l'appareil de l'utilisateur. Ces protocoles constituent la base du modèle d'authentification sans mot de passe de FIDO2.
Le protocole FIDO2, un chiffrement à clé publique en deux étapes
- L’inscription. Lorsqu'un utilisateur s'inscrit à un service en ligne compatible FIDO2, son appareil génère une paire de clés publique-privée unique. Cette paire de clés est liée à cette application web spécifique et n'est utilisée que pour ce service.
- L’authentification. Chaque fois que l'utilisateur se connecte au service, le serveur envoie un défi à l'appareil de l'utilisateur. L'appareil utilise la clé privée pour signer le défi, qui est ensuite renvoyé au serveur. Le serveur vérifie la signature avec la clé publique, s'assurant ainsi que l'utilisateur est en possession de la clé privée.
En utilisant une paire de clés privée et publique, le processus d'authentification FIDO2 valide ainsi l'identité d'un utilisateur sans avoir besoin de mots de passe. Pour ce faire, il s'appuie sur une combinaison de données biométriques et de clés de sécurité pour reconnaître l'utilisateur, offrant de ce fait une méthode d'authentification alternative plus sûre et plus pratique.
FIDO2 est également plus sûr et plus facile à utiliser que l’authentification multi-facteurs car il ne nécessite pas la transmission d'informations sensibles, ce qui réduit les risques de SIM swapping et d'attaques par phishing.
Concrétement, une clé de sécurité FIDO2 est un dispositif physique qui stocke la clé privée. Lorsqu'un utilisateur doit se connecter à un compte, il insère la clé de sécurité FIDO2 lorsque cela lui est demandé et la tape, signant ainsi la demande avec la clé privée.
Quels avantages à l'utilisation des clés de sécurité FIDO2 ?
- La résistance au phishing. L'un des plus grands avantages de l'utilisation des clés de sécurité FIDO2 est leur immunité aux attaques de phishing. Puisqu’il s’agit d’un matériel physique, cela empêche les cybercriminels de voler des identifiants d'authentification par des méthodes telles que l'ingénierie sociale ou les sites usurpés.
- La simplicité. Le FIDO2 améliore l'expérience utilisateur en éliminant la nécessité de se souvenir de plusieurs mots de passe pour chaque compte en ligne ou de recourir à des méthodes complexes d'authentification multifactorielle.
- Une évolutivité dans les environnements d'entreprise. Les clés de sécurité FIDO2 peuvent être déployées pour sécuriser un grand nombre de comptes privilégiés dans une organisation, ce qui en fait une solution de sécurité idéale pour les environnements d'entreprise.
- Une conformité aux législations et normes industrielles. Le FIDO2 permet de se conformer aux principales réglementations telles que le RGPD (Règlement Général sur la Protection des Données), la SOC 2 (Security Operations Center, norme destinée aux entreprises qui traitent des données sensibles), les spécifications du NIST (National Institute of Standards and Technology) ou la HIPAA (Health Insurance Portability and Accountability Act).
(*) Fondée en 2012, l’Alliance FIDO est une alliance technologique ouverte dont la mission centrale est de définir des standards d’authentification numérique qui réduisent la dépendance aux mots de passe. Elle accueille aujourd’hui parmi ses membres tous les principaux acteurs de l’industrie qui mettent en œuvre ou ont besoin de solutions d’authentification numérique, dont Google, Amazon, Microsoft, Facebook, Ping Identity... Après la définition d’un premier standard FIDO 1.0 en décembre 2014, un second standard FIDO2, plus mature, a été officiellement ratifié en mars 2019.
