Depuis son apparition dans les années 1980 avec les tokens de sécurité, la double authentification a fait son chemin jusqu’à s’imposer dans notre quotidien, avec nos smartphones et nos adresses email comme principaux leviers.
Si l’intérêt de la 2FA est indéniable (elle réduit de 99 % le risque de piratage de comptes), son implémentation doit être précédée d’une politique de Data Quality Management dans les règles de l’art.
Il était une fois, la double authentification
Un peu d’histoire pour commencer ! La première version de l’authentification multi-facteurs remonte aux tokens de sécurité inventés dans les années 1980. RSA, entreprise de sécurité informatique, a été pionnière en la matière avec SecurID (1986). Il s’agissait tout simplement d’un token matériel générant des codes numériques à usage unique. L’utilisateur devait saisir ce code en plus de son mot de passe habituel pour accéder à un système, réalisant ainsi une forme un peu archaïque de double authentification.
Il faudra attendre la démocratisation des smartphones dans les années 2000 pour voir l’authentification multi-facteurs s’ancrer dans notre quotidien, notamment avec le code SMS qui vient compléter le mot de passe habituel.
Le concept s’est par la suite rapidement imposé comme un standard de sécurité pour de nombreux services en ligne, avec diverses méthodes comme les applications d’authentification, les clés de sécurité, le SMS, le clic sur un bouton sur smartphone, etc.
Concrètement, qu’est-ce que la double authentification ?
La double authentification, souvent désignée sous l’acronyme « 2FA » pour two-factor authentication, est un mécanisme de sécurité dans lequel les utilisateurs fournissent deux types distincts de preuves d’identité avant de pouvoir accéder à un compte ou à un système.
L’idée est d’ajouter une couche de sécurité pour que la compromission d’un seul élément d’authentification (par exemple, un mot de passe) ne permette pas d’accéder à un compte ou à un service.
La 2FA se base le plus souvent sur la combinaison de deux éléments parmi les trois facteurs suivants :
- Ce que l’utilisateur sait. Il s’agit généralement d’informations que seul l’utilisateur devrait connaître comme son mot de passe, son code PIN, la réponse à une question de sécurité, etc.
- Ce que l’utilisateur possède. On parle ici des dispositifs ou des éléments matériels en SA possession, comme une carte à puce, des tokens de sécurité (comme le SecurID de RSA), un smartphone (sur lequel le code d’authentification peut être envoyés par SMS ou généré par une application) ou encore une clé de sécurité USB.
- Ce que l’utilisateur est. Cette catégorie fait référence à la biométrie. On parle d’éléments physiques uniques à l’individu comme ses empreintes digitales, la reconnaissance faciale, la reconnaissance de l’iris ou, plus rarement, la reconnaissance vocale.
Pour qu’un système soit considéré comme utilisant la double authentification, il doit imposer deux de ces trois catégories avant de permettre l’accès. Par exemple, retirer de l’argent d’un distributeur automatique nécessite une carte bancaire (ce que l’utilisateur possède) et un code PIN (ce que l’utilisateur sait).
En imposant cette exigence supplémentaire pour l’accès, la 2FA réduit considérablement le risque d’accès non autorisé même dans le cas où l’un des facteurs d’authentification est compromis.
Double authentification : l’engouement en quelques chiffres
Selon Google, on compte aujourd’hui plus de 15 milliards de comptes protégés par la double authentification. Dans le détail :
- 61 % d’internautes ont activé la 2FA sur au moins un de leurs comptes ;
- Le SMS (73 %) et l’email (64 %) sont les méthodes les plus utilisées ;
- C’est la tranche des 25 – 35 ans qui a le plus largement adopté la 2FA.
L’engouement s’explique par un certain nombre de bénéfices :
- Dans la mesure où 61 % des internautes utilisent le même mot de passe pour plusieurs services, la 2FA est souvent la seule couche de protection « valable » en cas de compromission du premier facteur de sécurité ;
- 81 % des failles de sécurité sont dues à des mots de passe faibles ou volés ;
- Selon Google, la 2FA réduit de 99 % à 100 % le risque de piratage des comptes.
La double authentification recueille donc les faveurs des utilisateurs. Côté entreprise, la 2FA n’est pas qu’une solution de cybersécurité. C’est aussi un facteur qui rassure les clients, notamment lorsqu’il s’agit de créer un compte ou d’utiliser un logiciel ou une application. C’est pourquoi 62 % des entreprises sondées par Zippia proposaient la 2FA sur leurs solutions et leur site web.
Double authentification : quelles applications dans l’entreprise ?
L’entreprise peut intégrer la 2FA dans son site internet, son offre et ses outils internes pour protéger à la fois ses données, ses collaborateurs et ses clients.
| Application | Détails |
| Espace client en ligne | Si l’entreprise propose un espace client en ligne (comme un portail de compte, un service d’abonnement, un e-commerce, etc.), elle peut exiger une 2FA pour accéder aux comptes. |
| Accès à l’intranet et extranet de l’entreprise | Pour protéger les ressources internes et les informations sensibles, notamment si les collaborateurs, fournisseurs et/ou clients accèdent à ces ressources en dehors du réseau de l’entreprise. |
| Systèmes RH | Pour l’accès des collaborateurs à leurs fiches de paie, par exemple. |
| Applications mobiles de l’entreprise | Pour les applications bancaires, le suivi des commandes, etc. |
| Formation en ligne | Pour les entreprises qui proposent des formations, des webinaires et d’autres contenus en ligne. La 2FA permet de s’assurer que seuls les participants inscrits accèdent à ces ressources exclusives. |
| Plateformes collaboratives | Plateformes de gestion de projet, de communication d’équipe, etc. |
| Programmes de fidélité | Programmes de fidélisation à point, parrainage, etc. |
Le Data Quality Management :
un préalable INDISPENSABLE à la 2FA
Tout le principe de la 2FA repose sur l’utilisation, le traitement et la validation de données utilisateur. Si cette Data n’est pas fiable, inexacte ou obsolète, le mécanisme perd tout son sens, surtout s’il repose sur l’envoi d’un SMS ou d’un email. C’est ici qu’intervient le Data Quality Management (DQM).
#1 La validation des données en temps réel
Comment ça marche ? Les outils de DQM intègrent des algorithmes qui vérifient instantanément la structure et la validité des données saisies sur les formulaires. Par exemple, pour un numéro de téléphone, le système vérifiera la longueur, le format et « la plausibilité » du numéro en fonction du pays d’origine.
Application à la 2FA : lorsque l’utilisateur saisit un numéro de téléphone pour recevoir un code de 2FA, la validation en temps réel s’assure que le numéro est correct avant de l’intégrer à la BDD.
#2 Mise à jour des données
Comment ça marche ? Les outils de DQM ont des fonctionnalités d’audit et de suivi qui identifient les données obsolètes ou incohérentes. Ils peuvent, par exemple, détecter des numéros de téléphone ou des adresses email qui n’ont pas été utilisés depuis longtemps et inviter l’utilisateur à confirmer ou à mettre à jour ces informations (par la journalisation d’activité, l’analyse des rebonds des emails, les interactions SMS, etc.).
Application à la 2FA : lorsque l’utilisateur essaie de se connecter après une longue période d’inactivité, le système peut demander une confirmation des informations pour la 2FA.
#3 Normalisation des données
Comment ça marche ? La normalisation des données vise à convertir les entrées dans un format standard, indépendamment de la manière dont elles ont été initialement saisies. Par exemple, les numéros de téléphone peuvent être saisis avec ou sans indicatifs internationaux ou avec divers séparateurs (points, tirets, espaces). Votre outil DQM les normalisera dans le bon format.
Application à la 2FA : si un utilisateur résidant à l’étranger s’inscrit pour la 2FA, la normalisation garantit que son numéro est correctement formaté et reconnu par le système, quel que soit son pays.
Data Enso, la Data Quality au service de la sécurité
La qualité des données est donc indispensable pour la mise en œuvre réussie de la double authentification, à la fois pour des raisons de sécurité, mais aussi pour une question d’expérience utilisateur.
En tant que spécialiste du Data Quality Management, Data Enso vous propose des outils intuitifs et 100 % conformes au RGPD pour nettoyer votre base de données existante (traitement batch) ou intégrer une solution préventive à vos formulaires de contact afin d’éviter l’enregistrement d’informations erronées.
Ne prenez pas de risques. Assurez-vous dès maintenant que votre 2FA repose sur des données solides, fiables et à jour. Testez-nous !