Mise en place d’une authentification multifacteur forte sur notre interface client

Toujours soucieux de la protection de nos clients et de la sécurité de nos systèmes, votre interface Altospam permettant de gérer vos domaines et leurs flux d’e-mails supporte l’authentification multifacteur forte.

Néanmoins, l’utilisation des mots de passe possède certaines limites. Il est fréquent que des utilisateurs appliquent le même mot de passe à plusieurs systèmes. La vulnérabilité de ces autres sites ou programmes met donc en péril la sécurité du mot de passe, partout où il serait utilisé. De plus, suivant la politique de sécurité imposée par l’entreprise, il arrive régulièrement que des mots de passe soient échangés ou présents sur des espaces partagés. 

Pourquoi aurais-je besoin d’une authentification multifacteur forte? 

Enfin, même stocké correctement via le navigateur ou un gestionnaire de mots de passe sécurisé, le stockage de ce mot de passe fait intrinsèquement partie des données du système d’information de l’entreprise. Il peut donc être compromis si le système est victime d’une cyberattaque globale (interception interne, keylogger, etc).  

Comme la plupart des systèmes demandant une reconnaissance claire de l’utilisateur en cours, nos interfaces utilisent le classique couple « Identifiant / Mot de passe » pour authentifier ses connexions. C’est un système robuste, sécurisé et bien connu par l’ensemble des utilisateurs. Les mots de passe sont stockés, du côté de nos systèmes, sous forme d’empreintes cryptographiques (jamais en clair) et ne risquent donc pas de piratage ou de récupération d’informations. 

Qu’est-ce qu’une authentification multifacteur (MFA) ? 

Qu’elle se nomme double authentification, vérification en deux étapes (two-factor authentification ou 2FA) ou authentification multifacteur (multi-factor authentification ou MFA), cette méthode consiste à demander la présentation de deux preuves d’identité distinctes par l’utilisateur, afin de valider son accès. 

La première sera classiquement le couple « Identifiant / Mot de passe » et la seconde un code unique, idéalement accessible sur un équipement informatique distinct, en dehors du système d’information de l’entreprise (SMS, application sur téléphone, clé USB, carte à puce, etc). Ceci afin de réduire les risques en cas de perte, vol ou piratage d’un des deux matériels concernés. 

Qu’est-ce qu’une authentification forte ? 

L’ANSSI (Agence Nationale de Sécurité des Systèmes d’Informations) préconise l’utilisation d’une authentification forte, c’est à dire reposant sur un mécanisme cryptographique dont les paramètres et la sécurité sont jugés robustes. Elles exploitent souvent un mécanisme dit de « défi / réponse » : Le serveur demandant l’authentification émet une requête que la personne doit valider via la transmission d’un code calculé à partir d’une signature cryptographique. 

Cette méthode permet de se prémunir des cyberattaques type interception (type « homme du milieu » ou MITM), attaques par dictionnaire ou de « brute-force », mais aussi des attaques par ingénierie sociale qui pourraient permettre le vol d’un mot de passe, mais pas d’un code temporaire généré cryptographiquement.

La solution mise en place par Altospam 

Pour cette double authentification, nous avons opté pour la mise en place du protocole TOTP (Time based One Time Password définie par la RFC 6238 – https://www.rfc-editor.org/rfc/rfc6238). Nous répondons donc aux deux recommandations de l’ANSSI, une authentification multifacteur et forte. 

Ce système, lors de son activation, va demander à se synchroniser avec une application présente sur votre téléphone. Les applications compatibles sont nombreuses, citons notamment Google Authenticator (android, iOS), Microsoft Authenticator (Windows Phone), FreeOTP (android, iOS), Aegis (android), Authy (android, iOS) ou OTP Auth (iOS). 

Lors d’une tentative de connexion à notre interface client, après la validation du mot de passe, l’algorithme inclus dans TOTP va générer un code unique et temporaire nécessaire à la connexion. L’application TOTP synchronisée sur téléphone va générer un code correspondant et la validation de ce code dans l’interface permettra l’authentification. Ces codes ont une durée de validité courte ce qui assure qu’ils ne puissent être réutilisés ultérieurement. 

Par souci de simplicité, nous avons ajouté une option « se rappeler du périphérique », ce qui permettra une reconnexion sans nécessiter une double validation systématique. Cette option est valable pour une durée d’un mois ou jusqu’à déconnexion manuelle du compte.  

De plus, lors de l’activation de la double authentification, l’enregistrement d’une série de codes de récupération vous sera proposé. Ces codes vous permettront de récupérer votre compte si vous perdez l’accès au téléphone ou à l’application TOTP. Ils sont à conserver précieusement, dans un endroit sécurisé et indépendant des deux équipements informatiques habituels d’authentification. 

Comment mettre en place cette authentification sur mon compte d’administration Altospam ? 

Pour mettre en place l’authentification multifacteur, rendez-vous sur l’interface client Altospam. Cliquez sur le nom de votre compte, en haut à droite de la page, puis « Sécurité » et choisissez « Activer l’authentification multifacteur ». Un QR code permettra d’effectuer automatiquement la synchronisation avec le logiciel client choisi. Celui présentera alors un code qui validera l’activation de l’authentification au niveau de l’interface. Elle sera immédiatement activée, vous pouvez tester son fonctionnement en vous déconnectant pour initier une nouvelle connexion, sécurisée par l’authentification multifacteur forte. 

Si vous avez la moindre question sur la mise en place de l’authentification multifacteur, n’hésitez pas à contacter notre équipe par téléphone au 0825.950.038* ou par email support@altospam.com

TPE, PME, ETI, Associations ou collectivités? Contactez Altospam pour bénéficier d’une première utilisation gratuite de notre solution Mailsafe d’Altospam et découvrir notre solution anti-phishing, anti-ransomware, anti-spam, anti-spearphishing...