Tech

3DS, 2FA/3FA: la bonne protection pour l'authentification

Le vol, l’usurpation d’identité est un problème de plus en plus présent. Nous l’avons vu récemment avec le piratage de 250 000 comptes Twitter mais aussi la fraude à la carte bancaire qui peut toucher tout le monde. Face à ses menaces il existe des solutions: 3DS, 2FA/3FA.

Le problème de l’authentification

Depuis la nuit des temps et le début de l’informatique, l’authentification est un procédé utilisé pour reconnaître et s’assurer que la personne est bien celle qu’elle prétend être.

Malheureusement les techniques ont très peu évolué. Dans le monde informatique la méthode d’authentification la plus courante est l’utilisation d’un mot de passe. D’autres techniques existent comme le certificat, mais il est coûteux et peu répandu pour identifier des personnes physiques.

Le mot de passe a de gros défauts:

  • il faut le retenir et en un différent pour chaque systèmes
  • il doit être « fort » (ne doit pas être un nom, et doit être complexe)
  • il peut être deviné, volé

Le mot de passe est loin d’être la technique d’authentification parfaite!

Les systèmes qui stockent les mots de passe ont un peu évolué. D’abord les mots de passe étaient stocké en clair (plain text) puis ils ont commencé a être stocké sous forme chiffrée (hash). L’avantage est que si un pirate vol la base de données de mot de passe, il peut difficilement retrouver les mots de passe sous la forme claire.

Sans rentrer dans le détail du chiffrement des mots de passe, quelques conseils:

  • utiliser un algorithme de hashage non obsolète et lent à calculer
  • ajouter un grain de sel unique pour chaque mot de passe

Le hashage de mot de passe n’est pas une solution parfaite, mais c’est une technique qui me semble indispensable à implémenter au minimum. (En suivant les bests practices)

Face à ces problèmes des authentification dites « fortes » se sont développées. Tout d’abord principalement en entreprise avec les Tokens RSA.

2FA/3FA: double ou triple authentification

Les authentifications dites fortes, comme le Token RSA se basent sur le concept de 2FA/3FA.

  • 2FA: Two Factor Authentification (plus connu sous le nom de double authentification)
  • 3FA: Three Factor Authentification

Ce concept définit que pour s’authentifier il faut 2 (ou 3) éléments:

  1. quelque chose que l’utilisateur connait (son mot de passe par exemple)
  2. quelque chose que l’utilisateur a (un PIN, un smartcard, un token par exemple)
  3. quelque chose que l’utilisateur est (son empreinte digitale par exemple)

La combinaison de ces 2 (ou 3) facteur permet d’authentifier fortement une personne.

La double authentification (2FA) est la plus répandue. Aujourd’hui beaucoup de grands systèmes proposent cette technique: Google, Facebook, Dropbox, …, (bientôt Twitter?). L’authentification se base sur votre mot de passe et sur un numéro unique temporaire généré par une application.

On peut penser que cette technique est lourde, mais elle se présente simplement pour l’utilisateur! Avec cette technique, même si vous vous faite voler votre mot de passe, le pirate n’aura pas accès à votre compte car il n’aura pas le deuxième facteur.

Présentation de cette technique chez Google:

3D Secure

3D Secure est le protocole de vérification utilisé pour els paiement en ligne avec carte bancaire (MasterCard, Visa). Ce protocole permet de vérifier que l’acheteur est bien le possesseur de la carte bancaire.

Description Wikipedia:

Le concept de base de ce protocole (basé sur l’échange de messages SMS) est de lier le processus d’autorisation financière avec une authentification en ligne. Cette authentification est basée sur un modèle comportant trois domaines (d’où le nom 3D) qui sont :

  • le commerçant et la banque qui recevra les fonds ((enAcquirer Domain) ;
  • la banque qui a délivré la carte de paiement ((enIssuer Domain) ;
  • le système de carte bancaire ((enInteroperability Domain).

Le protocole utilise des messages SMS envoyés via des connexions SSL (qui garantissent l’authentification du serveur et du client par des certificats numériques).

Source: http://fr.wikipedia.org/wiki/3-D_Secure

3D Secure est un protocole sécurisé et très efficace. malheureusement tous les commerçant en ligne ne propose pas ce protocole. 3D secure devrait s’imposer pour tous les paiements en ligne dans les prochaines années.

Pour compléter cette explication de 3D Secure, je vous invite à regarder e replay de l’émission « Envoyé spécial » sur les escrocs de la carte bancaire et les techniques de Skimming: http://pluzz.francetv.fr/videos/envoye_special.html

 

Read next