L’authentification par connaissance (KBA), c’est quoi ?

Lorsque vous paramétrez un nouveau compte, on vous demande souvent de créer un mot de passe, mais aussi de choisir une question de sécurité et une réponse (par ex., quel est le nom de jeune fille de votre mère ?). Répondre aux questions de sécurité en fonction d’informations personnelles lorsque vous vous connectez à une appli ou à un système, c’est ce qu’on appelle l’authentification par connaissance (KBA). Bien que l’authentification KBA soit largement utilisée, les individus partagent librement les mêmes informations sur les sites des réseaux sociaux, ce qui réduit son niveau de sécurité.

Les mots de passe sont aussi partagés, volés ou devinés grâce à des outils de cracking automatique. En 2020, une étude de la Digital Shadows Photon Research Team a révélé que 15 milliards d’identifiants volés étaient disponibles sur le dark web, notamment des combinaisons de noms d’utilisateur et de mots de passe. Le mot de passe et l’authentification KBA d’un utilisateur pouvant être facilement obtenus par des acteurs malveillants, les entreprises qui s’appuient sur ces méthodes d’authentification doivent les renforcer avec des solutions plus sécurisées. Tout comme remplacer une simple poste par une porte blindée avec une serrure trois points est plus efficace pour protéger votre maison.

En poursuivant votre lecture, vous en saurez plus sur le KBA, ses utilisations, ses limites et comment le renforcer.

Les entreprises utilisent l’authentification par connaissance pour vérifier l’identité d’un utilisateur en s’appuyant sur quelque chose qu’il sait. Cette information peut provenir directement de l’utilisateur, comme un numéro de téléphone, l’adresse actuelle ou les réponses à des questions de sécurité qu’il fournit lors de son inscription, ou bien l’entreprise peut obtenir cette information à partir de data brokers et autres sources.

L’authentification par connaissances statiques (SKBA)

La plupart des gens connaissent le KBA statique, que l’on appelle parfois un secret partagé. Cela va au-delà des informations de base, comme une adresse ou un numéro de téléphone. Lorsqu’un utilisateur crée un compte, on lui demande de fournir la réponse à une ou plusieurs questions de sécurité. Il peut fournir des informations précises ou inventer des réponses, du moment qu’il se souvienne de ces réponses lorsqu’on les lui demande. Les entreprises doivent faire attention lorsqu’elles choisissent le nombre de questions qu’elles posent, car les gens sont gênés par les questions intrusives ou trop nombreuses.

L’authentification par connaissance dynamique (DKBA)

Bien que le KBA dynamique fournisse un niveau de sécurité supérieur, on l’utilise moins souvent. Le KBA dynamique s’appuie sur les informations collectées auprès de sources de données différentes pour générer des questions en temps réel. Par exemple, on peut demander à un utilisateur : « Parmi les entreprises suivantes, quelle est celle pour laquelle vous n’avez jamais travaillé ? » puis découvrir une liste incluant trois anciens employeurs et une réponse incorrecte. Vos utilisateurs pourraient être déconcertés en voyant la profondeur et la quantité d’information que vous pouvez obtenir sur eux. Le DKBA est également une option plus chère pour les entreprises que le SKBA.

Les informations personnelles utilisées pour le KBA peuvent souvent être découvertes ou volées en faisant des recherches, en ayant recours au hameçonnage ou l’ingénierie sociale, et être utilisées pour réaliser des fraudes en ligne. En plus des acteurs malveillants qui trouvent des informations personnelles sur les comptes des réseaux sociaux des gens ou sur d’autres sites en ligne, ils peuvent également utiliser l’ingénierie sociale pour créer des questionnaires et publier des questions afin d’obtenir des informations précises. Selon un rapport de Cyber Florida, « Près de 40 pour cent des utilisateurs de réseaux sociaux interrogés avaient répondu à un questionnaire ou joué à un jeu qui figurait sur leur fil au cours d’une semaine normale ».

Certaines personnes répondent aussi, sur les réseaux sociaux, à des questions qui semblent aléatoires. Par exemple, quelqu’un pourrait demander sur Facebook : « Mon chat, Sir Fluffball, me manque beaucoup. Comment s’appelait votre animal de compagnie préféré ? » Un utilisateur quelconque de Twitter pourrait publier : « Qu’est ce qui est connu dans la ville où vous êtes né ? » Sans penser aux conséquences, les gens donnent des réponses que tout le monde peut voir. Les fraudeurs qui détiennent déjà des identifiants compromis (combinaisons nom d’utilisateur-mot de passe) peuvent regarder les profils des gens sur les réseaux sociaux, les réponses qu’ils donnent ou les questionnaires auxquels ils participent, pour trouver des correspondances et réaliser une raude par usurpation de compte. Les utilisateurs des médias sociaux qui incluent leur nom complet ainsi que leur adresse, leur numéro de téléphone, leur lycée, leur groupe préféré, les membres de leur famille et autres détails de leur vie, facilitent le piratage de leurs comptes par des hackers.

Les clients veulent une expérience sans frictions, et c’est pourquoi il est si frustrant de devoir choisir des questions de sécurité sur une liste et de fournir des réponses. Les questions sur les membres de la famille ou les animaux de compagnie peuvent également être blessantes si la personne ou l’animal est malade ou décédé. Les utilisateurs sont susceptibles d’interrompre la procédure avant d’avoir terminé leur enregistrement.

Pour ce qui est des utilisateurs qui terminent la procédure, des semaines ou des mois peuvent s’écouler avant qu’on leur demande la réponse à une question de sécurité. Ceux qui ont oublié un mot de passe ou la réponse à une question de sécurité savent combien il est frustrant de tenter de joindre un service d’assistance informatique si une option en libre-service n’existe pas. Les clients irrités pourraient renoncer et s’orienter vers un concurrent.

L'authentification multifacteur (MFA) et l' authentification à double facteur (2FA) demandent aux utilisateurs de fournir une preuve de leur identité à partir de deux facteurs d’authentification ou plus. Les facteurs d’authentification incluent :

• Connaissance - Quelque chose que vous connaissez. Cela inclut le KBA, les mots de passe, les codes PIN et d’autres types d’informations que les utilisateurs partagent avec les entreprises.

  
  

• Possession - Quelque chose que vous possédez. Il peut s’agir d’un jeton généré par une transaction ou une application, comme les mots de passe à usage unique envoyés sur votre téléphone portable. Il peut également provenir d’un jeton physique, comme un appareil basé sur USB ou un générateur de code séparé.
  

• Biométrie - Quelque chose que je suis. Il s’agit d’un trait donc vous avez hérité et qui est confirmé par un scan, par exemple le scan d’une empreinte digitale, la reconnaissance faciale ou un scan de la rétine. Pour utiliser la biométrie, il faut avoir une sorte de scanner, comme un smartphone.

   

Utiliser deux méthodes d’authentification issues du même facteur, comme un mot de passe et la réponse à une question de sécurité dans la catégorie « Connaissance », est moins sécurisé qu’une authentification multifacteur ou à double facteur. Il est rare que les acteurs malveillants qui obtiennent des mots de passe compromis et la réponse à des questions de sécurité aient également accès aux facteurs « Possession » et « biométrie ». En fait, selon Microsoft, le MFA peut empêcher 99,9 pour cent des attaques ciblant vos comptes.

Regardez cette courte vidéo pour découvrir comment l’authentification multifacteur (MFA) conduit l’authentification par connaissance (KBA) à un niveau supérieur pour renforcer la sécurité, améliorer l’expérience utilisateur et empêcher les fuites de données.

Si vous avez envie d’en savoir plus sur les différentes formes d’authentification pouvant compléter ou remplacer le KBA, consultez notre Guide complet sur l’authentification.