Microsoft Multi Factor Authentication : de l’authentification forte dans votre infrastructure.


En Octobre 2012, Microsoft a annoncé le rachat de Phone Factor, une société spécialisée dans l’authentification forte.

Depuis quelques semaines, Phone Factor a été rebaptisé « Microsoft MultiFactor Authentication ou MFA » et est directement disponible dans votre compte Azure pour la partie configuration, et sur tous les types de téléphone (simples ou Smartphones) pour la partie cliente.

C’est à l’occasion de l’arrivée de MFA dans Azure que je souhaite partager quelques éléments avec vous.

Authentification forte ?

Que ce soit pour un accès VPN, se connecter à sa messagerie, ou à son logiciel de partage documentaire préféré, la première étape est de prouver son identité. Cette identité va permettre au système de vous identifier, et surtout de vous donner les permissions appropriées.

L’authentification se fait généralement avec un compte et un mot de passe, mais cela expose l’utilisateur à un piratage (vol du mot de passe) assez facile.

Le principe de l’authentification forte est que vous ajoutez à la phase d’authentification un élément « physique » (dans la poche de la personne qui souhaite s’authentifier), que ce soit un « token », une « carte à puce », un élément « biométrique »… ou autre.

Dans le cadre de Microsoft MFA, et afin de réduire considérablement le « coût » de l’authentification forte (sans en réduire son efficacité) on va tout simplement utiliser le téléphone de l’utilisateur. Ceci peut être le téléphone fixe d’un utilisateur en télétravail, un téléphone mobile classique, ou un Smartphone plus coûteux.

Avec MFA, pour vous connecter, il vous faudra alors votre identifiant, votre mot de passe.. et l’élément fort : votre téléphone !!!

Expérience utilisateur

L’intérêt de Microsoft MFA est qu’il est très simple d’utilisation. Prenons l’exemple d’une application web (ici Azure, mais ce pourrait être Office 365, SharePoint, OWA.. ou n’importe quelle autre application d’entreprise) : 

Etape1 : authentification par identifiant et mot de passe

La première partie est totalement identique, le système va demander vos éléments d’authentification classiques, et les valider avec la base des utilisateurs.

image

Si ils sont faux, cela n’ira pas plus loin, .. en revanche si ils sont ok (mais cela peut aussi être un pirate qui a subtilisé vos identifiants !) alors on va passer à l’étape 2 : la partie forte.

 

Etape 2 : La partie forte

Préalablement, dans la console de configuration du système – plus précisément sur le compte de chaque utilisateur – on aura activé le droit de s’authentifier fortement (entrainant un coût pour l’entreprise). De plus, nous aurons également renseigné les types d’authentifications fortes possibles, et certains paramètres comme les numéros de téléphone.

Pour bien comprendre, Microsoft MFA propose 3 façons d’utiliser le téléphone :

·         Un appel téléphonique : le système va vous appeler sur votre téléphone, un message d’accueil audio va vous indiquer de confirmer par # si vous êtes bien l’utilisateur, et par *# si vous n’avez pas demandé à vous authentifier.

Mais pourquoi *# ? En effet, si un pirate tente de se connecter, c’est votre téléphone qui va sonner, et *# va vous permettre verrouiller vous-même votre compte : vous devenez un acteur de la sécurité !

·        Par SMS : le système va vous envoyer un code à usage unique (aussi appelé One Time Password ou OTP).  Vous devrez l’indiquer dans la bannière d’authentification de l’application pour valider la partie forte.

·         Par l’application (Smartphone) : il suffit de lancer l’application, elle affiche ce fameux OTP qui sera là aussi votre sésame pour entrer.

Voici l’interface de configuration de votre compte (Ici Azure Active Directory). Vous pouvez choisir la « méthode par défaut », mais également en renseigner de nombreuses (et dans ce cas aurez le choix). Par exemple, si vous n’avez pas votre Smartphone avec vous, vous savez que si vous êtes au bureau .. ou à la maison, vous pourrez utiliser ces téléphones pour vous authentifier car ils seront explicitement indiqués dans le système.

image

 

Maintenant regardons ce qui se passe après que le login et le mot de passe soit validé par le système. 2 secondes plus tard un écran intermédiaire apparait, vous demandant votre One Time Password :

image

 

Ici l’utilisateur doit indiquer son mot de passe à usage unique (OTP) qu’il va recevoir par SMS ou via son application Smartphone. Un pirate informatique qui n’a pas ce téléphone, ne peut donc plus maintenant se connecter au système !

Notez que l’option « other verification options », vous permet – si vous avez paramétré plusieurs options (SMS, appel téléphonique bureau, appel téléphonique maison) – de choisir le « bon » système d’authentification.

Si vous avez sélectionné l’option « m’appeler » sur mon téléphone, le système ne demande pas d’OTP, mais se met en mode attente… et votre téléphone va sonner :

image

 

Dès que vous avez pressé # sur votre téléphone, vous êtes connecté.

Voici quelques visuels complémentaires sur la solution :

clip_image008

Celui du milieu est intéressant. Lorsque vous installez l’application sur votre Smartphone, il faut la « relier » à votre compte. Soit l’administrateur vous fait parvenir les paramètres de connexion (en fait l’url pour valider la configuration, et un code d’enregistrement) soit le portail MFA vous affiche un scancode, que vous allez scanner avec votre téléphone, entrainant la configuration automatique de l’application en 2 secondes.

 

Je n’ai pas d’authentification forte aujourd’hui, pourquoi y aller maintenant ?

Il existe de nombreux articles sur internet qui indiquent à quel point voler un mot de passe est finalement assez simple, en particulier avec le nombre de postes que nous avons (PC pro, Perso, téléphone, tablettes..) et donc qu’il est important de se protéger contre ce type d’attaque. Une fois que l’on a le mot de passe, on (pirate) peut potentiellement se connecter à des applications très sensibles de l’entreprise.

Mon expérience me laisse penser que la raison principale de votre non équipement en authentification forte vient du fait de la nécessité de mettre en place une infrastructure  et du coût important des solutions d’authentification forte :

·         Installer des serveurs d’authentification dans l’entreprise, les superviser, …

·         Les connecter avec les applications, documenter.

·         Installer votre passerelle SMS, payer un abonnement, etc. Ou payer les appels téléphoniques pour chaque utilisateur.

·         Et surtout, acheter ces fameux “éléments forts” comme des « cartes à puce », ou « token », etc.

·         Les coûts de gestion comme les pannes de matériel, perte de token, etc.

Vous allez voir plus loin que MFA va vous aider dans ce domaine …

 

J’ai déjà une solution d’authentification forte… pourquoi regarder MFA ?

Dans les faits, de nombreuses entreprises ont déjà mis en place une solution d’authentification forte, et donc ont déjà fait face aux contraintes énoncées précédemment. D’un côté elles sont sécurisées, mais les coûts liés à l’authentification forte sont importants. Souvent le retour est que sur un projet d’accès distant, la ligne budgétaire Authentification Forte est considérable ! Et l’on rogne alors sur d’autres aspects de la sécurité (conformité du poste de travail, etc..).

 

.. et donc, qu’est-ce que m’apporte Microsoft MFA ?

Le premier élément important concerne sa localisation dans Azure.

·         Tous les services se trouvent au sein de votre abonnement, et vous n’avez donc pas à installer une infrastructure spécifique dans votre entreprise (donc des serveurs, des jours de prestation, de maintenance, de montée de version, etc). Cette solution peut être mise en place très rapidement, et les coûts d’appels téléphoniques et de SMS sont inclus dans le prix dans la solution.

·         La facturation de cette solution est par utilisateur et par mois. Ceci veut dire que si pendant 3 mois vous devez protéger 3000 personnes, puis passer à 5000, puis redescendre à 50… tout ceci se fera dans l’interface de la solution en quelques secondes, et facturé là aussi « par mois/par utilisateur », et donc en totale connexion avec l’activité de l’entreprise.

·         Aucun matériel type token ou Carte à acheter (et donc à perdre, remplacer, ..).

Au niveau de la solution elle-même :

·         La solution va utiliser un téléphone pour vous authentifier, qu’il soit fixe, mobile, ou Smartphone.

·         Pour les Smartphone, l’application est disponible sur toutes les plateformes.

·         Pour la partie serveur, Microsoft MFA supporte de nombreuses solutions (plugin à installer, plugin qui va parler avec la partie MFA dans Azure) du marché comme SharePoint, Exchange, Forefront UAG…  mais également comme ADFS (Fédération d’identité), Radius, … Il existe de nombreux documents/vidéos concernant des solutions non Microsoft.

Conclusions et perspectives

L’arrivée de Microsoft Multifactor Autentication (MFA) dans Azure est très important. Elle permet à tous les clients sans authentification forte de mettre en œuvre ce type de protection sans complexité, très rapidement, et surtout de moduler son coût en fonction de l’activité de l’entreprise, et ce, mois par mois.

Pour les clients ayant déjà une solution d’authentification forte classique, c’est aussi une opportunité pour eux de garder les niveaux de sécurité procurés par l’authentification forte, tout en modulant également – en fonction des besoins – les coûts de la solution. Les économies engendrées peuvent par exemple permettre d’investir dans d’autres domaines de la sécurité trop souvent négligés comme la conformité du poste de travail, mais aussi la protection numérique des documents.

N’oublions pas les utilisateurs et les cas d’usage : en proposant plusieurs méthodes (Appel téléphonique, SMS, application)… vous pourrez faire face à toutes les situations au sein de l’entreprise.

… MFA c’est pour toutes les applications internes (on premise) mais également dans le nuage comme Office 365.

Un grand merci a Alexandre Giraud, Forefront MVP, avec qui j’ai collaboré sur une plateforme de démonstration, et la mise en œuvre sur plusieurs clients Azure et Office 365. Son blog sur la même technologie : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=279

 

Comments (0)

Skip to main content