Deviceless MFA : une Révolution sur le marché de l’Authentification Forte
Qu’est ce que le “Deviceless MFA” ?
B.P : Pour résumer, le Deviceless MFA est le terme désignant le token browser, ou token navigateur, qui permet de faire de l’authentification forte multi-facteurs sans nécessiter de posséder un « device » (smartphone, tablette ou clé physique). Il s’agit d’une innovation majeure pour le MFA.
L.C : Le Deviceless MFA est un moyen pour l’utilisateur final de s’authentifier fortement, de manière ultra-sécurisée, via son navigateur, sans avoir besoin ni d’un matériel spécifique, ni d’installer un quelconque logiciel.
B.P : Exactement ! Avec le Deviceless MFA, c’est le navigateur web (edge, chrome, firefox, safari, IE, etc.) qui devient l’équipement de confiance pour s’authentifier en toute sécurité à son ou ses application(s).
Plus besoin de posséder un “device” spécifique (smartphone, clé de sécurité, carte à puce) ou d’en fournir un à vos utilisateurs pour la sécurité de leur accès, d’où le « Deviceless ».
En quelques mots, comment cela fonctionne ?
L.C : Le Deviceless MFA s’appuie sur un JavaScript qui s’exécute dans le navigateur de l’utilisateur.
B.P : Et puisque tous les navigateurs savent faire du JavaScript, cela signifie que l’authentification forte peut se faire dans n’importe quel type de navigateur, dans un ordinateur, une tablette ou un téléphone.
Comment concilier très haute sécurité et authentification dans un navigateur ?
B.P : Un navigateur ne peut être considéré comme un environnement “sûr” car il peut être facilement manipulé par un individu malveillant. Seules nos clés dynamiques et aléatoires, une technologie exclusive et propriétaire d’inWebo, nous permettent de pallier cette faiblesse.
L.C : En changeant nos clés de manière aléatoire, simultanément à chaque demande de connexion, nous offrons une sécurité maximale même dans un environnement non sécurisé. Nos clés ont, virtuellement, une durée de vie de 0s.
B.P : Oui, la clé nécessaire à la connexion est générée à l’instant t de la demande de connexion. Et une fois utilisée, elle est périmée. Même si un hacker s’en empare, elle ne fonctionnera plus. inWebo fait mieux que protéger ses clés : nous avons tout simplement rendu leur vol inutile.
L.C : Raison pour laquelle il faut bien faire attention à la technologie derrière chaque solution MFA. Elles sont loin de toutes se valoir. L’authentification multi-facteurs est certes une protection très efficace contre les attaques de phishing et de credential stuffing, mais encore faut-il préciser de quelle technologie l’on parle. Ainsi, dans la réglementation européenne DSP2 concernant la sécurité des paiements, les solutions d’authentification à base de SMS sont clairement identifiées comme non sécurisées.
L’authentification forte offre une protection complète contre les cyberattaques. Mais attention, pas n’importe quelle authentification forte.
Découvrez en plus sur la technologie des clés dynamique aléatoire.
Les + du Deviceless MFA
Un token universel, accessible à tous et disponible immédiatement.
Quels sont les avantages pour l’utilisateur final ?
L.C : Un des avantages du Deviceless est qu’un même navigateur peut-être utilisé par différents utilisateurs qui auront chacun leur propre authentification. Très utile sur des postes partagés pour maintenir un haut niveau de sécurité des connexions et distinguer les différents personnels qui utilisent les accès.
Et pour les administrateurs ?
B.P : C’est un soulagement pour les administrateurs. Plus besoin de fournir du matériel informatique spécifique aux utilisateurs (prestataires externes, employés sans matériel informatique mobile, partenaires, etc.). C’est LE token pour favoriser le BYOD tout en montant son niveau de sécurité.
L.C : Lorsqu’on a un projet de MFA, il y a une urgence immédiate. Là où certaines politiques de sécurité empêchent d’installer une application, ou requièrent une procédure longue et chronophage, le Deviceless est un gain de temps. Il n’y a rien à installer, le déploiement se fait très rapidement en quelques clics, sans installation, et sans contact humain.
Et pour les intégrateurs / développeurs ?
L.C : Oui et les équipes IT vont pouvoir déporter et déléguer l’authentification à l’éditeur de logiciel, en l’occurrence inWebo. Mais ça tombe bien, l’authentification forte, c’est notre spécialité.
Pour les utilisateurs finaux
- La meilleure expérience utilisateur
- Accessible à tous
- Connexions “multi-user” sécurisées
Pour les admin
- Garantir la sécurité de tous les accès sans contrainte d’équipement
- Déploiement rapide
Pour les intégrateurs et développeurs
- Intégration ultra-facile
- Déléguer, sans friction, l’authentification forte à un spécialiste
Qui propose le Deviceless MFA ?
B.P : Seules les clés dynamiques aléatoires rendent le Deviceless MFA possible et surtout, ultra-sécurisé. Cette technologie est unique et brevetée inWebo.
L.C : C’est d’ailleurs cette techno qui permet au MFA d’inWebo d’offrir le plus haut niveau de sécurité du marché.
B.P : Il faut savoir que inWebo est centrée UX by Design. La solution offre un large choix en matière de token ce qui permet aux clients d’ouvrir le champ des possibilités et aux utilisateurs finaux de se connecter simplement et rapidement à leurs applications, quelles qu’elles soient. Précisons qu’en plus de sécuriser les accès depuis le navigateur, inWebo a apporté un soin particulier à la protection contre le phishing en vérifiant que le device de confiance est utilisé avec une application légitime et non un site malveillant.
L.C : Il arrive que certains clients aient une solution qui propose une authentification basée sur des protocoles standards comme SAML ou Open ID connect, ou spécifiques tels que Microsoft Azure AD ou ADFS. Notre technologie leur permet ici d’ajouter très simplement la couche MFA inWebo pour offrir une expérience full navigateur à leurs utilisateurs.
inWebo est le seul acteur du marché proposant le Deviceless MFA
Conclusion
La plus haute sécurité du marché quel que soit votre environnement digital
Ne partez pas du postulat que les solutions MFA sont toutes équivalentes en termes de sécurité, de fonctionnalités et d’expérience de connexion. A l’heure où les utilisateurs sont de plus en plus exigeants, à la recherche de plus de simplicité et de facilité d’usage, il est important d’inclure la dimension “UX” dans la mise en place de sa stratégie de cybersécurité.
Grâce à un grand nombre de connecteurs, peu importe votre application, l’intégration de la solution MFA peut se faire en quelques clics. Aussi, inWebo accompagne les intégrateurs et développeurs dans le processus d’intégration avec son interface de programmation (API) et son kit de développement (SDK).
Consultez notre infographie pour vous aider dans le benchmark d’une solution MFA.
Bruno Prigent
Cybersecurity Sales Engineer
inWebo
Lorena Cabrera
Cybersecurity Sales Engineer
inWebo
L’authentification forte « Deviceless » : cas d’usage dans l’accompagnement de la transformation digitale
Qu’est ce que l’authentification Deviceless ?
Le Deviceless MFA permet-il une authentification sans smartphone ?
Comment mettre en place le Deviceless MFA ?
L’authentification Deviceless n’est proposée que par un seul acteur sur le marché de l’MFA, car elle est basée sur une technologie brevetée. La solution, offerte par inWebo, peut être implémentée de manière simple et rapide, sans besoin de contact humain. Vous pouvez également essayer la solution gratuitement sur https://www.inwebo.com/free-trial/.
Contactez-nous pour une démo ou pour demander l’ouverture de votre compte de test
Nos dernières actualités
Comprendre les différences entre l’authentification et l’autorisation
Les termes « authentification » et « autorisation » sont des concepts fondamentaux en matière d’IAM et de CIAM. Ils forment le cadre de la cybersécurité. Leur proximité de sens et de prononciation...
PBAC vs ABAC : Quelles Différences ?
Avec l’évolution rapide de la technologie, on assiste à une migration massive des industries et des grandes organisations vers le cloud. Presque toutes les ressources, données et autres entités...
Non, tous les MFA ne sont pas vulnérables au prompt bombing
Avez-vous déjà entendu parler de MFA prompt bombing ? C’est le sujet du moment dans le domaine de la cybersécurité. Cette technique a récemment été utilisée contre Uber par le célèbre groupe de...