Application d’authentification à deux facteurs, SMS, push, les solutions d’authentification multifacteur sur mobile se multiplient. Simples à utiliser pour des collaborateurs déjà équipés de téléphones professionnels ou plus contraignante pour ceux utilisant leurs téléphones personnels, l’authentification sur smartphone est la grande favorite des entreprises pour gérer le MFA et sécuriser les accès. Est-ce pourtant une bonne idée ?
L’objet smartphone : la solution de facilité pour gérer l’authentification multifacteur
En 2019, Microsoft estimait que 99,9% des attaques automatisées sont empêchées par l’authentification multifacteur (MFA). Ce pourcentage est éloquent sur la capacité de protection de cette étape supplémentaire d’authentification, et les entreprises l’ont bien compris !
Nombre d’entre elles ont fait le choix de généraliser l’usage de l’authentification double facteur sur une grande partie des services utilisés quotidiennement par leurs collaborateurs. Et pour gérer simplement cette contrainte supplémentaire quotidienne, il leur fallait trouver un objet simple à utiliser et familier : le smartphone.
Pratique, le smartphone était déjà dans toutes les poches des employés, qu’il s’agisse de leur device personnel ou d’un mobile professionnel. Second avantage, le nombre de solutions disponibles sur mobile :
- SMS,
- Magic links,
- Push notifications
- Applications d’authentification : comme Google Authenticator ou Authy…
Seulement voilà, le smartphone est loin d’être la solution idéale pour accomplir une mission aussi importante : perdu, volé, cassé, mises à jour abandonnées par le fabricant… le mobile peut vite devenir un danger ambulant pour les DSI.
Un manque de souveraineté cruel
Apple, Samsung, Huawei, Xiaomi, les téléphones sont en grande majorité d’origine américaine, chinoise ou coréenne. Leur conception logicielle et matérielle s’effectue donc en dehors de l’Union européenne, de ses exigences en matière de cybersécurité et de protection de la vie privée. Le sujet est d’autant plus sensible qu’on se rappelle l’affaire Huawei et la mise en garde de la CIA, NSA et FBI contre l’utilisation de ces appareils 1.
Bon à savoir
La souveraineté numérique, un enjeu à ne pas prendre à la légère lorsque l’on parle de smartphones
La souveraineté numérique, c’est avant tout une affaire de contrôle, ou plutôt de non-contrôle. Il faut savoir que dans la fabrication de chaque smartphone interviennent plusieurs pays, parmi lesquels la Chine et les Etats-Unis. Chacun de ces États possède sa propre législation concernant ses composants, sur lesquels le distributeur final n’a qu’un droit de regard assez restreint.
En France, nous sommes donc dépendants de différents acteurs étrangers pour fabriquer des smartphones. Nous serions bien incapables d’internaliser la production totale, que ce soit entre les murs de l’hexagone, et même à un niveau strictement européen.
Or, au vu des récents conflits géopolitiques, il faut avoir conscience des risques que comporte la souveraineté numérique.
Si l’un des pays desquels nous dépendons décidait d’installer un logiciel malveillant (comme un traceur GPS par exemple) sur chacun de ses smartphones distribués en France, il nous serait très difficile de s’en rendre compte.
De forts soupçons ont d’ailleurs déjà plané sur de grands acteurs du numérique, concernant des cas d’espionnage.
Cependant et d’un point de vue strictement légal, des lois communes existent au niveau international. Par exemple, dans l’U-E, la RGPD régit le traitement et le libre accès aux données personnelles, dans le but de protéger les utilisateurs finaux.
Il convient donc d’être lucide sur la réalité de la souveraineté numérique et de ce qu’elle implique, en gardant à l’esprit que plusieurs lois nous protègent, jusqu’à un certain niveau.
L’iPhone n’est pas exempt de failles de sécurité
Les mobiles Android sont connus pour être porteurs de failles de sécurité. On leur oppose généralement la robustesse de l’environnement iOS. Voilà une idée préconçue à relativiser. En effet, selon un rapport d’avril 2022, 380 nouvelles failles de sécurité ont été découvertes lors du second semestre 2021, en augmentation de 467 % sur un an[2]. La DSI ne doit donc pas considérer l’écosystème d’Apple et de ses iPhone/iPad comme gage de sécurité à toute épreuve.
Le BYOD : une solution de facilité qui vire au casse-tête
Ces considérations techniques établies, n’oublions pas de prendre en compte l’avis du principal intéressé : le collaborateur qui va devoir utiliser son téléphone personnel pour se rajouter une contrainte supplémentaire lors de ses authentifications professionnelles !
Lorsque l’entreprise décide de mettre en place une politique d’authentification mobile, les collaborateurs vont effectivement devoir accepter d’utiliser leur téléphone personnel à des fins professionnelles, et intégrer la procédure MFA dans leur quotidien.
Selon le niveau de sécurité souhaité, la DSI pourrait avoir besoin d’intervenir sur leurs appareils pour établir une bulle de sécurité entre les données privées et professionnelles, mettre en place un VPN, etc. Autant de manipulations qui peuvent être vues d’un mauvais œil par les propriétaires pour des raisons évidentes de confidentialité.
Les DSI ont toutefois quelques cartes en main pour remédier aux collaborateurs réfractaires et parvenir à assurer une haute sécurité du réseau de l’entreprise. Des solutions alternatives au smartphone existent, moins invasives côté vie privée. Le modèle Zero Trust est l’un d’eux. Même s’il n’a pas atteint sa maturité selon l’ANSSI, il peut permettre de contrôler efficacement toute demande d’authentification/connexion à l’aide de “certificats générés par une infrastructure de gestion des clés (IGC) de confiance ou des jetons FIDO”.
BYOD : un mauvais mélange des genres
Le smartphone personnel utilisé à des fins professionnelles est susceptible de représenter un danger pour l’entreprise. Son niveau de protection est proportionnel aux usages de son propriétaire :
- L’utilise-t-il sans précaution sur des réseaux Wi-Fi ouverts ?
- A-t-il un code de sécurité qui se bloque après plusieurs tentatives ?
- A-t-il modifié son code PIN ?
- A-t-il installé une appli de sécurité ? etc..
De plus, il peut contenir virus et programmes malveillants jamais détectés. Il s’agit là de menaces potentielles qui peuvent finir par impacter le réseau de l’entreprise. En parallèle, la frontière entre les données privées et professionnelles devient extrêmement floue. Voilà certainement pourquoi, seulement 40 % des DSI françaises sont convaincus du bienfait de cette pratique.
Quand le portage de sécurité vire au casse-tête
Lorsqu’un collaborateur décide de changer de téléphone personnel, des questions de sûreté peuvent se poser. Comment porter la sécurité du précédent appareil sur le nouveau ? Doit-il en parler à l’entreprise ? La DSI peut-elle lui imposer l’acquisition d’une marque et d’un modèle précis ? Autant de casse-tête à résoudre pour les services informatiques. Si le portage de la sécurité d’un ancien device vers un nouveau n’est pas impossible, il n’en comporte pas moins des risques certains pour l’entreprise.
La multitude d’appareils et d’OS complexifie le support technique
Le dernier comparatif de téléphones du magazine Les Numériques rassemble quelque 215 appareils répartis en 20 marques et dizaines de modèles[5].Certains fonctionnent sous iOS, d’autres sous Android. De plus, ces deux systèmes d’exploitation comportent de multiples versions. D’où la complexité pour une DSI de mettre en place une sécurité et un support technique pérenne sur une gamme aussi hétérogène de terminaux nomades.
Bon à savoir
OS abandonnées
Chaque année, pour des raisons économiques, les constructeurs cessent de rendre disponibles les mises à jour à de nombreux modèles, jugés trop vieux. En 2022 par exemple, les iPhone 7 et 7 plus dont la commercialisation a débuté en 2016, n’auront plus le droit aux mises à jour de fonctionnalités et de sécurité, les rendant encore un peu plus vulnérables aux attaques.
Flotte mobile professionnelle : des coûts et une efficacité relative
L’alternative au BYOD consiste à mettre en place une politique COBO (Company Owned, Business Only) ou COPE (Company Owned, Personnally Enabled) dans laquelle la DSI fournit les smartphones à ses collaborateurs. Ce qui lui permet de mieux maîtriser les connexions au réseau, et agir à distance en cas de compromission. Cette solution n’est toutefois pas idéale et moins efficace qu’une solution d’authentification matérielle basée sur des mots de passe à usage unique (OTP) ou sur une infrastructure à clés publiques (PKI). Par ailleurs, la gestion d’une flotte mobile professionnelle représente un coût non négligeable pour une PME/ ETI.
Préférez les solutions de sécurité matérielles dédiées pour l’authentification multifacteur
L’authentification forte sur smartphone a représenté une avancée notable pour la protection des données sensibles de l’entreprise. Grâce à elle, il devient nettement plus difficile pour un hacker de s’introduire dans l’organisation ou d’usurper l’identité d’un collaborateur. Cependant, entre les différents modèles, marques et systèmes d’exploitation, les failles matérielles (zero day), et l’usage personnel/professionnel du BYOD, rien n’est simple.
L’authentification multifacteur (MFA) via smartphone ne peut donc être perçu comme sésame idéal permettant d’accéder aux données de l’entreprise. Cette solution peut même s’avérer coûteuse lorsqu’il s’agit de mettre en place une politique de flotte mobile professionnelle.
L’efficacité doit rimer avec simplicité et rentabilité. Ainsi, pour éviter des solutions de sécurité différentes pour chacun, une solution matérielle dédiée et unique est souvent la plus simple à déployer et à supporter. Grâce à une surface d’attaque bien moins importante que les smartphones et l’utilisation d’un Secure Element (SE), elles permettent d’authentifier en sécurité l’accès des collaborateurs au réseau de l’entreprise.
Par ailleurs et alors que la souveraineté est au cœur des débats en France et en Europe pour le numérique, le choix d’une solution respectueuse des données des utilisateurs parait être un critère secondaire et pourtant ô combien essentiel.
Enfin, dans le contexte géopolitique actuel, le choix d’une solution souveraine est un véritable marqueur d’engagement et de réassurance : protection des données et de la vie privée, assurance de l’accessibilité au service, soutien à l’écosystème national…
