L’authentification multi-facteurs (MFA) devient progressivement la norme, pour renforcer la sécurité, être conforme aux exigences réglementaires ou répondre à des contraintes opérationnelles. Plusieurs méthodes sont disponibles, mais l’authentification grâce à des tokens physiques USB connaît un regain d’intérêt dans les entreprises, en raison de l’évolution des menaces cyber. Les Token Management Systems (TMS) permettent d’automatiser leur activation, leur administration ainsi que la gestion leur cycle de vie, afin d’assurer une gouvernance des accès sécurisés au système d’information des organisations.
La généralisation de l’authentification multi-facteurs (MFA)
L’authentification multi-facteurs s’est progressivement généralisée ces dernières années pour renforcer la sécurité des accès, répondre aux exigences de réglementations ou référentiels (tels que NIS2, DORA, eIDAS ou le RGS), ou alléger les contraintes liées à la gestion des mots de passe (réinitialisation régulière des mots de passe, gestion des comptes compromis, etc.).
Son principe repose sur la vérification d’au moins deux preuves d’identité de l’utilisateur, parmi celles-ci :
- Ce qu’il connaît (mot de passe, code PIN, question secrète).
- Ce qui le distingue (empreinte digitale, reconnaissance faciale).
- Ce qu’il détient (token matériel, application d’authentification).
Authentification multi-facteurs : le retour en force des tokens USB
L’authentification multi-facteurs peut être mise en œuvre selon plusieurs méthodes, chacune ayant ses propres avantages et limites en termes de praticité et de sécurité.
Par exemple, les mots de passe à usage unique basés sur le temps (TOTP) envoyés par e-mail ou SMS ne sont pas chiffrés et peuvent être interceptés lors d’une attaque de type Man-in-the-Middle (MitM), permettant ainsi un accès frauduleux à un système d’information ou à lors d’achats en ligne. En biométrie, la principale menace vient de l’intelligence artificielle capable de générer des deepfakes de plus en plus réalistes pour la reconnaissance faciale. De plus, une fois que des données biométriques sont piratées, il n’est pas possible de changer une empreinte digitale.
Dans ce contexte, l’authentification reposant sur des éléments détenus par l’utilisateur offre une meilleure sécurité.
- Les tokens logiciels sur téléphone mobile (Google Authenticator, Microsoft Authenticator…) sont efficaces mais, dans la majorité des entreprises, tous les salariés ne disposent pas d’un terminal professionnel. Leur usage sur un appareil personnel présente des risques ou peut être refusée par les représentants du personnel.
- Les tokens physiques, aussi appelés hardware amovibles sécurisés, incluent les cartes à puce et les clés USB. Les tokens USB comme Yubikey, SafeNet ou Neowave, connaissent un regain d’intérêt en entreprise car ils ne nécessitent pas de lecteur de carte et offrent le meilleur compromis entre sécurité, coût et facilité d’utilisation. Cependant, leur utilisation requiert une gouvernance rigoureuse afin de limiter les risques de sécurité.
Adoption de standards pour une gestion unifiée des clés
Concrètement, avec l’authentification par tokens USB, l’utilisateur ne peut plus se faire voler son mot de passe : il n’y en a plus ! Le secret n’est pas accessible. Il est en effet stocké dans une clé USB sécurisée et protégé par un code PIN : l’authentification repose sur le protocole sécurisé retenu.
Deux protocoles sécurisés majeurs se partagent le marché :
- FIDO2 (qui englobe API WebAuthn et CTAP) repose sur une authentification forte qui utilise un mécanisme basé sur des clés cryptographiques asymétriques stockées sur un matériel sécurisé (et notamment des clés USB). Il permet aux organisations d’envisager le déploiement de politiques d’accès sans mot de passe (passwordless) de façon assez simple, car l’utilisateur est autonome pour s’enrôler et sécuriser ses accès.
- PIV (Personal Identity Verification) est un standard d’authentification basé sur une carte à puce qui contient des certificats X.509. Ce protocole est particulièrement adapté pour les administrations, les entreprises et les secteurs qui nécessitent un très haut niveau de sécurité, ou pour les comptes à privilèges. Il existe désormais des tokens USB compatibles PIV dans lesquels les certificats X.509 sont stockés dans une carte à puce virtuelle, ce qui évite d’avoir à investir dans des lecteurs de carte.
Le rôle des solutions de gestion des tokens (Token Management System, TMS)
Si l’authentification via des tokens USB d’authentification améliore la sécurité, elle génère de nouveaux défis, et notamment celui de gérer leur cycle de vie complet. C’est le rôle dévolu au Token Management System (TMS), solution logicielle qui compte parmi ses principales fonctionnalités :
- La gestion centralisée de tous les tokens d’authentification USB (YubiKey, SafeNet, ou Neowave), quels que soient le protocole d’authentification (FIDO2 ou PIV) et le fournisseur d’identité (Microsoft Active Directory / Entra ID, PingID, Ilex, OKTA, etc.).
- Un portail d’auto-enrôlement pour les utilisateurs pour simplifier la gestion par les administrateurs et éviter aux utilisateurs de se déplacer pour activer leur token.
- L’auto-enrôlement centralisé FIDO2 des utilisateurs sur le gestionnaire d’identité (Microsoft Active Directory / Entra ID, PingID, OKTA…).
- L’application des politiques de sécurité, telles que les règles relatives aux codes PIN (longueur minimale, complexité, durée).
- L’automatisation de l’activation, de la révocation ou du blocage à distance des tokens lorsqu’un salarié quitte l’entreprise ou en cas de compromission.
- L’inventaire des tokens USB et le reporting sur leur statut (actifs, désactivés, bloqués), notamment pour les audits de sécurité.
Une solution de Token Management System permet ainsi de passer d’une gestion manuelle des clés à une automatisation complète de gestion de milliers ou millions de tokens de manière sécurisée et efficace.
