tostphoto - stock.adobe.com
L’authentification multifacteurs est imparfaite, le « sans-mot de passe » est mieux
Les mots de passe sont souvent à l’origine des violations, et l’authentification multifactorielle n’est qu’un pis-aller pour la protection des comptes. Il est temps d’adopter une stratégie sans mot de passe.
Des brèches très médiatisées ont démontré, l’an dernier, l’importance de la sécurisation des identités. Un couple mécontent a piraté IHG, propriétaire de grandes marques d’hôtels, en incitant un employé à télécharger un logiciel malveillant par le biais d’un courriel piégé. Le couple a ensuite accédé au coffre-fort des mots de passe d’IHG en utilisant le mot de passe « Qwerty1234 ».
Quelques jours plus tard, un pirate revendiquait une intrusion dans l’environnement d’Uber en utilisant le prompt bombing, un type d’attaque d’ingénierie sociale par lequel le pirate a forcé le système d’authentification multifactorielle (MFA) d’Uber à envoyer de manière répétée des demandes d’authentification au téléphone de la victime. Après avoir bombardé le téléphone de la victime pendant plus d’une heure, le pirate s’est fait passer pour le service informatique d’Uber et a envoyé à la victime un message WhatsApp indiquant que le seul moyen d’arrêter les notifications était d’approuver les demandes de connexion.
Le pirate a pu ensuite accéder au coffre-fort des mots de passe, car Uber avait codé en dur les identifiants de son coffre-fort dans un script PowerShell facilement accessible.
La puissance des coffres-forts à mots de passe
Les identités les plus importantes dans votre environnement sont celles qui offrent un accès spécial et des capacités supérieures à celles des utilisateurs normaux. Ces identités de superutilisateur ou de privilégié permettent aux utilisateurs d’accéder à n’importe quel système ou données et de modifier les configurations. Ces identités sont littéralement les clés du royaume.
Les coffres-forts pour mots de passe permettent aux organisations de surveiller, de contrôler, de détecter et d’empêcher l’utilisation non autorisée d’identités privilégiées. Comme dans une bibliothèque, les utilisateurs peuvent emprunter une identité privilégiée (ou y avoir accès), souvent pour un temps limité.
Avec un coffre-fort à mots de passe, vous pouvez supprimer les privilèges permanents ou l’octroi continu d’un accès spécial. Cette mesure, combinée à un accès privilégié limité dans le temps, réduit considérablement votre surface d’attaque.
Résoudre un problème avec les coffres-forts à mots de passe, mais en introduire un autre
Les mots de passe sont des secrets que vous êtes le seul à connaître et qui permettent donc d’authentifier la personne que vous prétendez être. Malheureusement, les mots de passe faciles à retenir sont faibles et peuvent être devinés. En revanche, les mots de passe forts sont difficiles à mémoriser, ce qui entraîne la réutilisation des mots de passe et le risque de compromission de plusieurs comptes.
Pour pallier ces faiblesses inhérentes aux mots de passe, le secteur de la cybersécurité a mis au point l’authentification à facteurs multiples (MFA). En plus de ce que vous savez, la MFA utilise ce que vous avez, comme un téléphone portable, et ce que vous êtes, comme des données biométriques.
Les produits de MFA peuvent constituer une solution pour réduire rapidement les risques lorsque les employés utilisent des mots de passe faibles. Cependant, de nombreux types de MFA introduisent de nouveaux problèmes, tels que les attaques de type « prompt bombing » et autres attaques d’ingénierie sociale ou d’hameçonnage. D’autres problèmes liés à la MFA incluent l’utilisation de messages texte facilement compromis comme deuxième facteur, transformant votre téléphone et votre numéro de téléphone en dispositifs d’identité en dehors de leurs critères de conception d’origine.
La MFA ajoute également à la pénibilité des processus d’authentification. Près d’un tiers (32 %) des personnes interrogées dans le cadre de l’enquête « Securing the Identity Perimeter with Defense in Depth » de l’Enterprise Strategy Group (ESG) ont déclaré qu’elles rendaient la MFA facultative pour leurs employés, et 27 % l’ont rendue facultative pour leurs sous-traitants.
L’authentification sans mot de passe à la rescousse
L’authentification sans mot de passe supprime les mots de passe du processus d’authentification, ce qui peut réduire considérablement les risques.
FIDO2 est l’une des nombreuses techniques et normes d’authentification sans mot de passe. Basée sur la cryptographie à clé publique, la technique FIDO2 nécessite un élément que vous possédez (une clé de passe, appelée aussi clé d’identification ou « keypass » en anglais) et un élément que vous êtes (des données biométriques), pour permettre au système d’authentification d’accéder à votre clé de passe.
FIDO2 élimine une grande partie, voire la totalité, des problèmes liés à l’authentification par mot de passe et à la MFA. Ce n’est donc pas une surprise si elle gagne en attrait. Avec les annonces de Google, Microsoft et Apple concernant la prise en charge de FIDO2 combinée à WebAuthn sur leurs appareils, 2023 sera l’année où l’authentification sans mot de passe commencera à se généraliser.
D’autres produits d’authentification sans mot de passe sont entièrement basés sur la biométrie. La plupart des personnes savent qu’elles utilisent la reconnaissance faciale pour accéder à leurs appareils mobiles via Face ID d’Apple ou de Google, ou à leurs ordinateurs portables avec des programmes comme Windows Hello. Des sociétés comme Incode, Pindrop et Veridium proposent également des outils permettant d’ajouter l’authentification par empreintes digitales, reconnaissance faciale et empreinte vocale, aux applications et aux services.
L’adoption d’un système obligatoire d’authentification multifacteurs – ou, mieux encore, l’élimination des mots de passe – constitue une étape importante dans la réduction des risques. De plus, l’authentification sans mot de passe réduit les frictions et améliore l’expérience utilisateur. Elle augmente également l’efficacité des opérations informatiques et de sécurité, en réduisant le temps et les efforts consacrés à la réinitialisation des mots de passe et au verrouillage des comptes.
ESG et LeMagIT sont des filiales du groupe international TechTarget.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
« MFA : la sensibilisation des collaborateurs est nécessaire » (Antoine Coutant, Synetis)
-
Julien Mousqueton : « la question n’est plus s’il faut mettre en œuvre la MFA, mais quelle MFA »
-
Authentification : Microsoft met en garde contre les attaques en détournement de jetons
-
Authentification multifactorielle adaptative (MFA adaptative)