#Pourquoi le MFA n'est pas infaillible : comprendre ses limites pour mieux se protéger

Depuis plusieurs années, le même conseil revient partout :

Activez l'authentification à deux facteurs.

Et c'est un excellent conseil.

Face aux fuites de données toujours plus nombreuses et à la réutilisation des mots de passe, le MFA (-Multi-Factor Authentication-) est devenu l'un des moyens les plus efficaces pour renforcer la sécurité d'un compte en ligne.

Mais une idée reçue persiste :

Une fois le MFA activé, mon compte est protégé.

La réalité est un peu plus nuancée.

Le MFA améliore considérablement la sécurité, mais il n'est ni magique ni infaillible. Tous les mécanismes de double authentification ne se valent pas et certains scénarios permettent encore à un attaquant de contourner certaines protections.

Comprendre ces limites permet justement de mieux se protéger.

#Pourquoi le MFA est devenu indispensable

Pendant longtemps, un simple mot de passe suffisait pour accéder à un compte.

Aujourd'hui, ce n'est plus vraiment le cas.

Les fuites de données se sont multipliées au fil des années. Réseaux sociaux, forums, boutiques en ligne, services de streaming... aucun secteur n'a été totalement épargné.

Conséquence :

Des milliards d'identifiants circulent désormais sur Internet.

Dans de nombreux cas, les attaquants n'ont même plus besoin de "pirater" un service. Ils récupèrent simplement des identifiants déjà compromis lors d'une fuite précédente.

Il est d'ailleurs possible de vérifier si son adresse e-mail apparaît dans une ou plusieurs fuites connues grâce au service :

Have I Been Pwned

Découvrir que son adresse figure dans plusieurs bases de données compromises est malheureusement devenu assez courant.

#Le vrai danger : la réutilisation des mots de passe

Imaginons une situation très simple.

Vous utilisez le même mot de passe sur :

  • votre messagerie ;
  • un forum ;
  • un site marchand ;
  • un réseau social.

Un jour, le forum subit une fuite de données.

Votre adresse e-mail et votre mot de passe se retrouvent alors dans une base de données accessible à des personnes malveillantes.

Le problème n'est pas forcément le forum.

Le problème est que ce même mot de passe fonctionne également sur vos autres comptes.

Cette technique porte un nom :

Le credential stuffing.

Le principe est simple : tester automatiquement des identifiants connus sur des centaines de services différents.

C'est précisément pour cette raison qu'utiliser un mot de passe unique pour chaque service reste aujourd'hui l'une des mesures de sécurité les plus efficaces.

#Tous les MFA ne se valent pas

Lorsqu'on parle de double authentification, beaucoup imaginent qu'il existe une seule méthode.

En réalité, plusieurs mécanismes coexistent.

Et ils n'offrent pas tous le même niveau de protection.

#Le code envoyé par e-mail

Certaines plateformes proposent l'envoi d'un code à usage unique par e-mail.

C'est mieux qu'un mot de passe seul.

Mais cette solution présente une faiblesse évidente :

Si un attaquant parvient également à accéder à votre boîte mail, il dispose souvent du moyen de récupérer ce fameux second facteur.

La sécurité de votre compte dépend alors fortement de la sécurité de votre messagerie.

#Le SMS

Le SMS reste probablement la forme de MFA la plus répandue.

Son principal avantage est sa simplicité.

Pas besoin d'application supplémentaire.

Pas de configuration complexe.

Un code est envoyé sur votre téléphone et doit être saisi pour finaliser la connexion.

Cependant, cette méthode possède plusieurs limites :

  • Dépendance à un numéro de téléphone.
  • Risques liés aux fraudes de type SIM swap.
  • Dépendance au réseau mobile.
  • Réception parfois aléatoire à l'étranger.

Cela ne signifie pas que le SMS est mauvais.

Bien au contraire.

Un MFA par SMS reste infiniment préférable à l'absence totale de MFA.

Mais il existe aujourd'hui des alternatives plus robustes.

#Les applications d'authentification

Google Authenticator, Microsoft Authenticator, Proton Authenticator, Aegis, 2FAS ou encore Authy sont devenus très populaires.

Contrairement au SMS, le code n'est plus transmis.

Il est généré directement sur l'appareil à partir d'une clé secrète enregistrée lors de la configuration du compte.

Cette approche élimine plusieurs faiblesses du SMS et constitue aujourd'hui l'une des solutions les plus répandues pour protéger un compte en ligne.

#Faut-il installer plusieurs applications ?

C'est une confusion très fréquente.

Lorsqu'un site affiche un message du type :

« Utilisez Google Authenticator »

ou

« Utilisez Microsoft Authenticator »

beaucoup de personnes pensent qu'elles doivent impérativement installer cette application précise.

Dans la majorité des cas, ce n'est pas vrai.

La plupart des services utilisent le protocole TOTP (-Time-based One-Time Password-), un standard largement adopté.

Cela signifie qu'un code configuré avec Google Authenticator fonctionnera généralement aussi bien avec :

  • Proton Authenticator ;
  • Aegis ;
  • 2FAS ;
  • Microsoft Authenticator ;
  • Authy ;
  • et de nombreuses autres applications compatibles.

Autrement dit, il n'est généralement pas nécessaire d'installer une application différente pour chaque service.

Vous pouvez parfaitement centraliser tous vos comptes dans l'application de votre choix.

Personnellement, j'utilise uniquement Proton Authenticator pour l'ensemble de mes codes TOTP.

#Le smartphone : un point unique de défaillance ?

Pour beaucoup d'entre nous, le smartphone est devenu :

  • notre gestionnaire de mots de passe ;
  • notre application MFA ;
  • notre boîte mail ;
  • notre moyen de récupération de compte ;
  • notre téléphone pour recevoir les SMS.

Autrement dit :

Nous utilisons souvent le même appareil pour stocker nos secrets et pour valider notre identité.

Dans la majorité des situations, cela fonctionne très bien.

Mais cela pose une question intéressante :

Que se passe-t-il si cet appareil est compromis ?

Imaginons un scénario simple.

Un logiciel malveillant est installé sur le téléphone.

Il peut s'agir :

  • d'une application frauduleuse ;
  • d'une application légitime compromise ;
  • d'un malware exploitant une vulnérabilité encore inconnue ;
  • d'un appareil trop ancien qui ne reçoit plus de mises à jour de sécurité.

Dans certains cas, un attaquant pourrait alors être capable de récupérer des informations liées à l'authentification.

Imaginez recevoir un SMS contenant un code de validation.

Vous ne l'utilisez pas.

Pourtant, quelques secondes plus tard, vous recevez un e-mail officiel vous indiquant qu'une connexion vient d'être réalisée sur votre compte.

Le code n'a jamais été saisi par vos soins.

Pourtant il a bien été utilisé.

Le même scénario peut également concerner certaines applications d'authentification ou même des notifications de validation.

Ce type d'attaque reste relativement rare comparé au phishing classique, mais il illustre une réalité importante :

Lorsque le premier facteur et le second facteur reposent sur le même appareil, leur indépendance n'est plus totale.

#Le MFA ne protège pas contre tout

C'est probablement la partie la plus méconnue.

Beaucoup de personnes pensent qu'un code temporaire empêche automatiquement toute compromission.

Ce n'est pas toujours vrai.

Prenons un scénario très classique.

Vous recevez un e-mail qui semble provenir de Microsoft.

Le logo est correct.

Le design est crédible.

L'adresse paraît légitime.

Vous cliquez.

La page ressemble parfaitement à celle de Microsoft.

Vous saisissez votre adresse e-mail.

Puis votre mot de passe.

Puis votre code MFA.

Quelques secondes plus tard, votre compte est compromis.

Pourtant, le MFA était activé.

Le problème n'est pas la technologie.

Le problème est que vous avez remis vous-même les informations à la mauvaise personne.

C'est ce que l'on appelle une attaque par phishing.

C'est d'ailleurs l'une des raisons pour lesquelles les clés de sécurité physiques compatibles FIDO2 gagnent en popularité.

Contrairement aux SMS ou aux applications d'authentification classiques, elles sont capables de vérifier qu'elles communiquent avec le véritable site avant de valider la connexion.

J'utilise personnellement une YubiKey 5C NFC depuis plusieurs semaines et j'explique plus en détail son fonctionnement ainsi que mon retour d'expérience dans cet article :

Test de la YubiKey 5C NFC : l'accessoire informatique que je recommande désormais à presque tout le monde

Et c'est précisément ce qui explique pourquoi la sensibilisation reste aussi importante que les outils eux-mêmes.

#Les attaques de fatigue MFA

Certaines attaques reposent également sur un mécanisme psychologique.

Vous recevez une demande de validation.

Puis une deuxième.

Puis une troisième.

Puis dix autres.

À force de sollicitations, certaines personnes finissent par accepter la demande simplement pour faire disparaître les notifications.

Cette technique est connue sous le nom de -MFA fatigue-.

Elle montre une nouvelle fois que la sécurité ne repose pas uniquement sur la technologie, mais aussi sur les comportements humains.

#Faut-il encore changer ses mots de passe ?

Pendant longtemps, la recommandation consistait à changer régulièrement ses mots de passe.

Aujourd'hui, le sujet fait davantage débat.

Ce qui compte avant tout, c'est :

  • d'utiliser un mot de passe unique pour chaque service ;
  • d'utiliser un gestionnaire de mots de passe ;
  • d'activer le MFA lorsque c'est possible.

Cela dit, certaines personnes choisissent malgré tout de renouveler périodiquement leurs mots de passe, par exemple une fois par an.

L'arrivée des gestionnaires de mots de passe modernes comme Proton Pass, Bitwarden ou KeePass rend cette opération beaucoup moins contraignante qu'autrefois.

Quelle que soit votre approche, une chose reste essentielle :

Si vous apprenez qu'un service a subi une fuite de données ou si vous suspectez une compromission, le changement du mot de passe doit être immédiat.

#Et les clés de sécurité physiques ?

Les clés compatibles FIDO2 et WebAuthn apportent une réponse à plusieurs limites évoquées dans cet article.

Contrairement aux SMS ou aux codes générés par une application, elles reposent sur un périphérique distinct qui doit être physiquement présent pour valider l'authentification.

Le second facteur ne dépend alors plus directement du smartphone.

Cette séparation permet notamment de réduire certains risques liés :

  • au phishing ;
  • aux attaques en temps réel ;
  • à la compromission du téléphone ;
  • à l'interception de codes temporaires.

Le sujet mérite cependant un article à part entière.

Si vous souhaitez découvrir leur fonctionnement ainsi que mon retour d'expérience après plusieurs semaines d'utilisation, je vous invite à consulter :

Test de la YubiKey 5C NFC : la clé de sécurité que j'ai finalement complètement adoptée

#En résumé

L'authentification à deux facteurs reste aujourd'hui l'une des meilleures protections accessibles au grand public.

Mais il est important de comprendre ce qu'elle fait réellement.

Le MFA réduit considérablement les risques liés aux mots de passe compromis.

Il ne supprime pas pour autant les dangers liés au phishing, à l'ingénierie sociale, à la compromission d'un appareil ou aux mauvaises pratiques comme la réutilisation des mots de passe.

La sécurité d'un compte ne repose jamais sur une seule protection.

Elle repose sur plusieurs couches complémentaires :

  • un mot de passe unique ;
  • un gestionnaire de mots de passe ;
  • une forme de MFA adaptée ;
  • un appareil maintenu à jour ;
  • une certaine vigilance au quotidien.

Le MFA reste une excellente protection.

Mais comme toutes les protections, il n'est efficace que lorsqu'il s'inscrit dans une stratégie plus globale.

Car en cybersécurité, il n'existe pas de solution miracle.

Il existe simplement plusieurs couches de protection qui, ensemble, rendent la tâche beaucoup plus difficile aux attaquants.