C’est au tour de Microsoft, qui planifie d’ajouter l’authentification double-facteur (2FA – Two-Factor Authentication) pour une connexion aux comptes des divers services de la firme.

Ce principe de validation en deux étapes, qui augmente considérablement la sécurité vis-à-vis d’un simple mot de passe, est de plus en plus adopté par les géants du web. Après Google avec son application Google Authenticator, Facebook, PayPal, Yahoo!, Evernote, Amazon Web Services, Dropbox, des jeux comme World of Warcraft ou encore très récemment Apple, c’est au tour de Microsoft d’incorporer cette nouvelle fonctionnalité comme l’annonce la news du 09/04/2013 de LiveSide.

Dans un récent article de Eve Maler, analyste chez Forrester, l’évolution depuis 2 ans et le futur à court-termes de l’authentification 2FA y est retracée. Cette technique est vouée à être de plus en plus employée afin de protéger l’utilisateur final en déportant une partie des crédentiels d’authentification avec lui-même (Something you have). Ceci se justifie par les récents piratages en masse de services et réseaux sociaux (Evernote, LinkedIn, DropBox, etc), où des bases de données complètes ont été compromises.

D’après Eve Maler :

“With the greater experience of banks starting to introduce [two-factor authentication] in a minimal way, and the greater experience of password breaches forcing people to undergo some pain, I think we are going to experience a sea change in strong authentication that consumer users will encounter for ordinary online interactions. […] I see it the same way social logins became a federated single sign-on pattern we thought consumers would never go for.”

Google utilise une technique nommée 2SV (Two-Step Verification), qui consiste à faire suivre le crédentiel principal (mot de passe – Something you know) par une séquence de 6 chiffres de vérification qui est fournie à l’utilisateur par divers moyens (application Smartphone, SMS, mail…). Publiquement, Google annonce que son système est utilisé par des millions d’utilisateurs et qu’il est l’un des plus large déploiement dans le monde ; toutefois même si 10 millions de comptes s’en équipaient, cela resterait un pourcentage bien mince des utilisateurs de Google.

Microsoft a intégré cette nouvelle fonctionnalité à ses comptes, et à tous les services qui en découles. La 2FA de Microsoft se fonde sur l’association d’un mot de passe connu de l’utilisateur et d’un code à 6 chiffres aléatoire généré via une application sur smartphone. Cette application, Microsoft Authenticator, est déjà disponible pour Windows Phone.

Microsoft disposait déjà d’un système 2FA qui s’applique à ses comptes. Celui-ci se manifestait pour des opérations sensibles liées au compte, comme la synchronisation des mots de passe sur une nouvelle machine jugée de confiance. A la différence d’utiliser une application sur smartphone, ce mécanisme de 2FA plus ancien utilise les SMS pour envoyer un code aléatoire.

A l’avenir on peut envisager une démocratisation et une adoption de ces mécanismes 2FA/2SV par le grand public. La plupart des grands comptes et des organismes sensibles, comme les banques, intègrent de tels systèmes de validation d’identité. Ces problématiques d’authentification forte, 2FA et d’OTP sont le quotidien de SYNETIS. Nos clients requièrent des technologies de protection d’identité, ce qui nous amènent à travailler avec des éditeurs et partenaires ancrés et reconnus dans ce domaine.

Sources & ressources

• Exclusive: Microsoft account to get two-factor authentication soon – LiveSide
• Arstechnica – Two-factor authentifcation finally heading to Microsoft Account
• Microsoft : vers l’authentification à double-facteur – Generation-NT
• Arstechnica – Apple follows Google, Facebook, and others with two-step authentication
• Two-factor authentication in two years

Yann CAM

Consultant Sécurité