Cybersécurité et applications mobiles: Opter pour la bonne méthode d’authentification

Un élément clé pour garantir cette sécurité est le choix de la méthode d'authentification. Voici donc un guide pour vous aider à sélectionner la meilleure approche pour votre application mobile.

Avant de se lancer dans le vif du sujet, répondons à une question bien importante: L’authentification à multiple facteurs, c’est quoi?

On entend souvent parler d’authentification à deux facteurs (2FA) ou à multiple-facteur (MFA), mais qu’est-ce que ça implique concrètement? Eh bien, ce sont des méthodes de sécurisation des comptes. Le 2FA, qui est maintenant obligatoire sur la majorité des applications, utilise deux facteurs pour vérifier l'identité d'un utilisateur, comme un mot de passe et un code envoyé par SMS. L’authentification multiple facteurs (MFA) inclut le 2FA, mais peut aussi utiliser plus de deux facteurs, comme une empreinte digitale en plus d’un mot de passe et d’un code SMS, par exemple.

Maintenant qu’on comprend bien le concept, comment choisir la bonne méthode d’authentification pour son application? Suivons ces 5 étapes afin d’y arriver!

1. Évaluer les besoins de sécurité:

La première étape pour choisir une méthode d'authentification est de réaliser une évaluation des facteurs relatifs à la vie privée. Depuis l’arrivée de la loi 25, il est maintenant primordial de passer par cette étape lors du développement ou de la refonte d’une application si des renseignements personnels sont concernés. Plus les données sont sensibles, plus les méthodes d’authentification devraient être robustes. Cependant, de nos jours, dès qu’une application récolte des informations personnelles, même si c’est seulement une adresse courriel, une authentification à double facteur devrait être de facto.\

2. Considérer l'expérience utilisateur:

Il ne faut pas se mentir: authentification à multiple facteur implique une étape supplémentaire et, qui dit étape supplémentaire, dit friction potentielle. Cependant, le choix d’une méthode d’authentification plus robuste ne devrait pas se faire au détriment de l'expérience utilisateur. Pour minimiser ces frictions, il est essentiel de choisir une méthode qui combine sécurité et facilité d'utilisation. Par exemple, l'authentification biométrique, comme l'empreinte digitale ou la reconnaissance faciale, est certes plus fluide, mais sa mise en œuvre peut être coûteuse et complexe. Il est préférable d'utiliser des solutions existantes comme Auth0 pour gérer ces aspects.

3. Choisir parmi les méthodes courantes en fonction de MFA (Multifactor Authentication)

Lorsque vous sélectionnez une méthode d'authentification, différentes catégories de MFA pour offrir une sécurité renforcée s’offrent à vous. Le MFA repose sur la combinaison de plusieurs facteurs, regroupés en trois grandes catégories :

Ce que nous savons (Connaissance):

• Mot de passe : Traditionnel mais vulnérable si mal géré. Initialement, la recommandation était de privilégier des mots de passe complexes et de les changer régulièrement. De nos jours, avec tous les systèmes qu’on utilise au quotidien, un gestionnaire de mots de passe est la meilleure solution.

• Questions de sécurité : Utilisées en complément, mais les questions doivent être choisies avec soin pour éviter qu'elles ne soient facilement devinables.

• Code PIN : Simple, mais doit être combiné avec une autre méthode pour plus de sécurité.

Ce que nous possédons (Possession):

• OTP générés par une application de smartphone : Sécurisés et efficaces en complément d'un mot de passe.

• OTP envoyés par SMS ou e-mail : Pratiques, mais vulnérables aux interceptions, mieux adaptés aux applications nécessitant une sécurité modérée. Il est à noter par contre que, l'authentification par SMS est beaucoup moins sécuritaire que celle par courriel car elle vulnérable à plusieurs vecteur d’attaques supplémentaires tel que le simswapping ou simjacking.

• OTP (One Time Password) : Un code unique qui combine à la fois la connaissance (l'utilisateur sait le code) et la possession (l'utilisateur doit posséder le dispositif pour recevoir le code)

• L'authentification par push : Méthode de sécurité axée sur les appareils mobiles, où le fournisseur de services envoie une notification à l'utilisateur via le canal de communication le plus sécurisé disponible. L'utilisateur confirme son identité en effectuant une action en réponse à la notification pour accéder au service. Cette méthode repose principalement sur la possession du dispositif par l'utilisateur.

Ce que nous sommes (Inhérence):

• Empreintes digitales et reconnaissance faciale : De plus en plus populaires, elles offrent un bon équilibre entre sécurité et commodité. Une fausse croyance assez répandue est que les authentifications biométriques nécessitent le partage d’information biométriques avec le fournisseur du système (app mobile, site web, etc ). Par contre, c’est très rarement le cas! L’authentification biométrique est seulement utilisée pour déverrouiller un coffre fort local qui lui contient la valeur secrète utilisée pour l’authentification.

• Analyse comportementale : Méthode émergente qui surveille les habitudes de l'utilisateur pour détecter des comportements inhabituels.

En combinant au minimum 2 de ces trois catégories, vous pouvez développer une approche d'authentification qui équilibre sécurité et convivialité, tout en offrant une protection adaptée aux besoins spécifiques de votre application.

Une tendance émergente qui n’a pas été abordée dans les méthodes précédentes est celle des clés d'accès. C'est l’alternative aux mots de passe, offrant à la fois plus de sécurité et plus de simplicité. Avec une clé d'accès, il est possible de se connecter à des applications et à des sites Web en utilisant un capteur biométrique (comme une empreinte digitale ou la reconnaissance faciale), un code ou un schéma.

Les clés d'accès peuvent aussi remplacer les étapes supplémentaires d'authentification, comme les codes envoyés par SMS et offrent une protection solide contre les attaques d'hameçonnage et évitent les tracas liés aux mots de passe et aux codes temporaires. On ne peut cependant passer sous silence l'enjeu avec cette technologie. Elle peut facilement rendre dépendant d'un écosystème en particulier comme Apple, Google ou Microsoft, par exemple.

4. Conformité réglementaire:

Avant de choisir une méthode d'authentification, vérifiez à quelles normes spécifiques votre application doit-elle se plier. Au Canada, l'utilisation de l'authentification à multiple facteur (MFA) est fortement recommandée, en particulier pour protéger les informations sensibles et les infrastructures critiques. Bien que le MFA ne soit pas toujours une obligation légale générale, certaines réglementations et normes sectorielles exigent ou recommandent son utilisation. Par exemple, dans le secteur financier, le MFA est souvent une exigence pour les transactions en ligne et l'accès aux systèmes critiques, en raison des risques élevés de cyberattaques.

5. Considérer les coûts:

Le coût est un facteur important dans le choix de la méthode d'authentification. Certaines méthodes, comme les solutions biométriques, peuvent être plus coûteuses à implémenter et à maintenir, en raison des besoins en infrastructure et en support technique. D'autres méthodes, comme l'authentification par mot de passe ou par lien magique, peuvent être plus économiques, mais elles n'offrent pas le même niveau de sécurité.

Soyez préparé: ajouter une étape au processus d’authentification vous demandera des efforts supplémentaires de support aux consommateurs. Il faut également prévoir le temps et les ressources nécessaires pour la gestion du service à la clientèle et des demandes lorsque le numéro de téléphone associé au compte n’est plus le même, que le code secret a été perdu ou que l’adresse courriel n’est plus accessible.

Le choix de la méthode d'authentification pour votre application mobile doit être un équilibre entre sécurité, expérience utilisateur, conformité et coûts. Une approche flexible, qui permet d'adapter ou de combiner plusieurs méthodes d'authentification, est souvent la plus efficace pour répondre aux besoins spécifiques de votre application. En tenant compte des recommandations et des meilleures pratiques, vous pouvez offrir à vos utilisateurs une expérience sécurisée et sans friction, tout en protégeant leurs données et votre application contre les menaces potentielles.