Le “Deviceless MFA”, une révolution sur le marché de l’authentification forte

Le Deviceless MFA est la réponse aux enjeux de cybersécurité sans compromettre l’expérience utilisateur ni la facilité de déploiement pour les entreprises. De quoi s’agit il exactement ? Comment cela fonctionne ? Quels sont les avantages ? Interview avec 2 de nos experts en cybersécurité, Bruno Prigent et Lorena Cabrera, tous deux ingénieurs avant-vente au sein d’inWebo.

Qu’est ce que le “Deviceless MFA” ?

B.P : Pour résumer, le Deviceless MFA est le terme désignant le token browser, ou token navigateur, qui permet de faire de l’authentification forte multi-facteurs sans nécessiter de posséder un « device » (smartphone, tablette ou clé physique). Il s’agit d’une innovation majeure pour le MFA.

L.C : Le Deviceless MFA est un moyen pour l’utilisateur final de s’authentifier fortement, de manière ultra-sécurisée, via son navigateur, sans avoir besoin ni d’un matériel spécifique, ni d’installer un quelconque logiciel.

B.P : Exactement ! Avec le Deviceless MFA, c’est le navigateur web (edge, chrome, firefox, safari, IE, etc.) qui devient l’équipement de confiance pour s’authentifier en toute sécurité à son ou ses application(s).

Plus besoin de posséder un “device” spécifique (smartphone, clé de sécurité, carte à puce) ou d’en fournir un à vos utilisateurs pour la sécurité de leur accès, d’où le « Deviceless ».

En quelques mots, comment cela fonctionne ?

L.C : Le Deviceless MFA s’appuie sur un JavaScript qui s’exécute dans le navigateur de l’utilisateur.

B.P : Et puisque tous les navigateurs savent faire du JavaScript, cela signifie que l’authentification forte peut se faire dans n’importe quel type de navigateur, dans un ordinateur, une tablette ou un téléphone.

Comment concilier très haute sécurité et authentification dans un navigateur ?

B.P : Un navigateur ne peut être considéré comme un environnement “sûr” car il peut être facilement manipulé par un individu malveillant. Seules nos clés dynamiques et aléatoires, une technologie exclusive et propriétaire d’inWebo, nous permettent de pallier cette faiblesse.

L.C : En changeant nos clés de manière aléatoire, simultanément à chaque demande de connexion, nous offrons une sécurité maximale même dans un environnement non sécurisé. Nos clés ont, virtuellement, une durée de vie de 0s.

B.P : Oui, la clé nécessaire à la connexion est générée à l’instant t de la demande de connexion. Et une fois utilisée, elle est périmée. Même si un hacker s’en empare, elle ne fonctionnera plus. inWebo fait mieux que protéger ses clés : nous avons tout simplement rendu leur vol inutile.

L.C : Raison pour laquelle il faut bien faire attention à la technologie derrière chaque solution MFA. Elles sont loin de toutes se valoir. L’authentification multi-facteurs est certes une protection très efficace contre les attaques de phishing et de credential stuffing, mais encore faut-il préciser de quelle technologie l’on parle. Ainsi, dans la réglementation européenne DSP2 concernant la sécurité des paiements, les solutions d’authentification à base de SMS sont clairement identifiées comme non sécurisées.

L’authentification forte offre une protection complète contre les cyberattaques. Mais attention, pas n’importe quelle authentification forte.

Découvrez en plus sur la technologie des clés dynamique aléatoire.

Les + du Deviceless MFA 

Un token universel, accessible à tous et disponible immédiatement.

Quels sont les avantages pour l’utilisateur final ?

B.P : Le processus d’enrôlement est complètement transparent pour l’utilisateur et l’authentification se fait en toute simplicité. De plus, les utilisateurs finaux s’affranchissent des contraintes liées à leur équipement.

L.C : Un des avantages du Deviceless est qu’un même navigateur peut-être utilisé par différents utilisateurs qui auront chacun leur propre authentification. Très utile sur des postes partagés pour maintenir un haut niveau de sécurité des connexions et distinguer les différents personnels qui utilisent les accès.

Et pour les administrateurs ?

B.P : C’est un soulagement pour les administrateurs. Plus besoin de fournir du matériel informatique spécifique aux utilisateurs (prestataires externes, employés sans matériel informatique mobile, partenaires, etc.). C’est LE token pour favoriser le BYOD tout en montant son niveau de sécurité.

L.C : Lorsqu’on a un projet de MFA, il y a une urgence immédiate. Là où certaines politiques de sécurité empêchent d’installer une application, ou requièrent une procédure longue et chronophage, le Deviceless est un gain de temps. Il n’y a rien à installer, le déploiement se fait très rapidement en quelques clics, sans installation, et sans contact humain.

Et pour les intégrateurs / développeurs ?

B.P : Les développeurs seront heureux de ne plus avoir à gérer les mots de passe des utilisateurs. Ils peuvent s’appuyer sur le token du navigateur et les librairies de développement inWebo pour implémenter rapidement du MFA pour leur application. Et pour ceux qui ne développent pas, nous offrons des outils prêts à l’emploi qui peuvent être simplement configurés.

L.C : Oui et les équipes IT vont pouvoir déporter et déléguer l’authentification à l’éditeur de logiciel, en l’occurrence inWebo. Mais ça tombe bien, l’authentification forte, c’est notre spécialité.

Pour les utilisateurs finaux

  • La meilleure expérience utilisateur
  • Accessible à tous
  • Connexions “multi-user” sécurisées

Pour les admin

  • Garantir la sécurité de tous les accès sans contrainte d’équipement
  • Déploiement rapide

Pour les intégrateurs et développeurs

  • Intégration ultra-facile
  • Déléguer, sans friction, l’authentification forte à un spécialiste

Qui propose le Deviceless MFA ?

B.P : Seules les clés dynamiques aléatoires rendent le Deviceless MFA possible et surtout, ultra-sécurisé. Cette technologie est unique et brevetée inWebo.

L.C : C’est d’ailleurs cette techno qui permet au MFA d’inWebo d’offrir le plus haut niveau de sécurité du marché.

B.P : Il faut savoir que inWebo est centrée UX by Design. La solution offre un large choix en matière de token ce qui permet aux clients d’ouvrir le champ des possibilités et aux utilisateurs finaux de se connecter simplement et rapidement à leurs applications, quelles qu’elles soient. Précisons qu’en plus de sécuriser les accès depuis le navigateur, inWebo a apporté un soin particulier à la protection contre le phishing en vérifiant que le device de confiance est utilisé avec une application légitime et non un site malveillant.

L.C : Il arrive que certains clients aient une solution qui propose une authentification basée sur des protocoles standards comme SAML ou Open ID connect, ou spécifiques tels que Microsoft Azure AD ou ADFS. Notre technologie leur permet ici d’ajouter très simplement la couche MFA inWebo pour offrir une expérience full navigateur à leurs utilisateurs.

inWebo est le seul acteur du marché proposant le Deviceless MFA

Conclusion

La plus haute sécurité du marché quel que soit votre environnement digital

Ne partez pas du postulat que les solutions MFA sont toutes équivalentes en termes de sécurité, de fonctionnalités et d’expérience de connexion. A l’heure où les utilisateurs sont de plus en plus exigeants, à la recherche de plus de simplicité et de facilité d’usage, il est important d’inclure la dimension “UX” dans la mise en place de sa stratégie de cybersécurité.

Grâce à un grand nombre de connecteurs, peu importe votre application, l’intégration de la solution MFA peut se faire en quelques clics. Aussi, inWebo accompagne les intégrateurs et développeurs dans le processus d’intégration avec son interface de programmation (API) et son kit de développement (SDK).

Consultez notre infographie pour vous aider dans le benchmark d’une solution MFA.

Bruno Prigent

Cybersecurity Sales Engineer
inWebo

Lorena Cabrera

Cybersecurity Sales Engineer
inWebo

L’authentification forte « Deviceless » : cas d’usage dans l’accompagnement de la transformation digitale

Cas d'usages du Deviceless MFA

Contactez-nous pour une démo ou pour demander l’ouverture de votre compte de test

Contact

Nos dernières actualités

Voir plus
Contactez-nous