Gestion de la perte du facteur MFA (Multi-Factor Authentication)

Problématique :

L’authentification multi-facteurs (MFA) étant un bon moyen de prévenir les attaques informatiques qui reposent sur le vol de mots de passe, il n’est pas étonnant que son usage se répande au sein des entreprises dès lors qu’il s’agit pour les utilisateurs d’accéder à des données sensibles. Parmi les facteurs, qu’on appelle aussi méthodes, les plus sûrs et les plus utilisés, l’application mobile est très prisée, quel que soit le vendeur (Microsoft, Okta, Ping, Google, etc.). Cependant, lors du déploiement du MFA chez nos clients, une question revient régulièrement au moment de la conception des cas d’usage : comment un utilisateur qui a perdu son téléphone peut-il accéder de manière sécurisée à une application protégée par le MFA ?

De manière simple :

Comme à chaque fois qu’un nouveau produit est déployé au sein d’un environnement informatique, il n’existe pas une unique manière de procéder et plusieurs réponses peuvent être proposées à la question posée ci-dessus. En effet, selon les exigences en termes de sécurité et d’expérience utilisateur, différents scénarios sont envisageables :

1. Une première réponse serait de demander à l’utilisateur d’enrôler un deuxième facteur (généralement l’OTP par e-mail, un hard token, FIDO2) en prévoyance de la perte du premier. Plus d’autonomie serait donné à l’utilisateur qui n’aurait pas besoin de contacter le Help desk. Toutefois, cela n’est toujours pas possible :

   1. D’abord l’OTP par e-mail est aujourd’hui considéré comme trop peu sécurisé. D’autre part, certaines entreprises protègent l’accès à la boîte mail de leurs collaborateurs par du MFA, ce qui aboutirait à une situation similaire à un serpent qui se mord la queue.

   2. Demander à tous les utilisateurs d’utiliser un hard token telle une Yubikey engendrerait un coût bien trop élevé.

   3. Le recours à la biométrie via le protocole FIDO2 (Windows Hello par exemple) n’est pas toujours possible. Généralement, cela est dû à une limitation technologique imposée par les postes de travail qui ne supportent pas tous ce protocole ou bien le refus des utilisateurs d’enregistrer leurs données biométriques sur un appareil professionnel qu’ils ne maitrisent pas.

2. Un autre moyen que proposent nativement certaines solutions comme PingOne est de permettre à l’utilisateur de contourner le MFA pendant un certain temps. Une fois que l’utilisateur aura en sa possession un nouveau smartphone, il sera capable de désapparier lui-même l’appareil perdu afin d’enrôler l’autre et pourra indiquer au Help desk de réactiver le MFA. L’expérience utilisateur est privilégiée au détriment de la sécurité des accès (puisque le MFA est désactivé pour l’ensemble des applications auxquelles l’utilisateur tente d’accéder). De plus cette fonctionnalité requiert de solliciter le Help desk à deux reprises, Help desk auquel une nouvelle responsabilité échoit : celle de tracer les utilisateurs qui bénéficient de la désactivation du MFA afin d’éviter que ceux-ci n’aient plus du tout à valider l’authentification multi-facteurs même après avoir enrôlé un nouvel appareil.

3. La meilleure méthode reste peut-être de demander à l’utilisateur de contacter le Help desk pour que celui-ci désapparie l’appareil perdu, permettant au premier d’enrôler son nouvel appareil, s’il en a un à sa disposition, lors d’une prochaine connexion mais là encore, le Help desk est sollicité.

Dans les réponses mentionnées plus haut et qui impliquent le Help desk se pose aussi la question de vérifier l’identité de la personne qui contacte l’assistance. Il n’est pas bien difficile d’imaginer un scénario dans lequel un individu malveillant se fait passer pour un collaborateur ayant perdu son facteur MFA afin qu’il puisse par la suite enrôler son propre appareil. Cette situation devient encore plus dangereuse dans le cas où le système d’authentification principal de l’entreprise ne repose plus sur le mot de passe mais uniquement la validation du MFA (Passwordless).

L’arrivée de PingOne DaVinci + PingOne Verify :

Pour pallier ces multiples lacunes, Ping Identity met à disposition de nouveaux outils qui permettent notamment d’automatiser ce processus de recouvrement d’accès, rendant l’expérience utilisateur plus agréable tout en garantissant un haut niveau de sécurité.

Le premier est PingOne DaVinci, une solution d’orchestration qui permet de créer facilement des parcours d’authentification en utilisant des connecteurs qui embarquent des fonctions préconstruites. Ces connecteurs, placés les uns à la suite des autres et liés entre eux via un système de « drag & drop » peuvent aboutir à des parcours d’authentification variés sans avoir recours, ou sinon très rarement, à du code.

Cet outil peut être combiné avec PingOne Verify, un service Cloud capable, entre autres, d’effectuer une reconnaissance faciale depuis un document d’identité ou bien un selfie pris en direct.

Supposons à présent un scénario fictif avec les conditions suivantes :

• L’utilisateur a perdu son unique moyen de valider le MFA qui était son application mobile PingID. Il ne peut plus accéder aux applications protégées.

• L’utilisateur a pu acheter un nouveau smartphone mais celui-ci n’est pas encore enregistré.

• L’utilisateur ne peut pas accéder à la page de gestion des appareils, et donc enrôler son nouvel appareil, car cette page nécessite la validation du MFA.

• On ne souhaite pas impliquer le Help desk dans ce scénario.

Notre flow DaVinci s’organisera en deux grandes étapes : d’abord, vérifier l’identité de l’utilisateur à l’aide de PingOne Verify puis, dans un second temps, désapparier le smartphone perdu de l’utilisateur et commencer le processus d'enrôlement du nouvel appareil.

Voici un aperçu plus détaillé du cheminement étape par étape qui pourrait être configuré :

1. Depuis son poste de travail, l’utilisateur se connecte à une URL PingOne dédiée à la gestion de la perte des facteurs

2. L’utilisateur s’authentifie à l’aide de son nom d’utilisateur et de son mot de passe

3. Un QR code apparaît sur le poste de travail de l’utilisateur et celui-ci le scan avec son nouveau téléphone

4. Sur ce téléphone, le navigateur s’ouvre et demande à l’utilisateur de prendre un selfie en direct

5. Une fois le selfie récupéré par PingOne Verify, celui-ci le compare avec une photo pré-enregistrée de l’utilisateur

6. S’il y a correspondance, DaVinci désapparie automatiquement le smartphone de l’utilisateur

7. L’utilisateur est ensuite invité à enrôler son nouvel appareil

8. Enfin, l’utilisateur peut accéder aux applications que protège le MFA

D’un point de vue business, la combinaison de ces deux outils octroie aux entreprises la possibilité de délester les Help desks, souvent surchargés par des requêtes similaires de perte de facteurs, et donne plus d’autonomie aux utilisateurs en plus de leur permettre de ne pas marquer d’interruption dans leur travail. Sur le plan de la sécurité, les exigences en termes d’authentification multi-facteur sont conservées.