La pandémie de coronavirus a entraîné une augmentation des activités de piratage et de
phishing. Des activités telles que l'échange de carte SIM, les courriels frauduleux, les liens
clickbait sur Internet sont en augmentation rapide ces jours-ci et les mesures
d'authentification traditionnelles telles que la réception de codes par SMS ne suffisent pas à
protéger vos comptes personnels et en ligne. Les alertes de notification par SMS sont utilisées
depuis longtemps et, malheureusement, elles ne sont plus sécurisées. Examinons les lacunes du
système d'authentification basé sur SMS, puis explorons les solutions possibles.
Pourquoi les SMS ne suffisent pas ?
Au fil des ans, les pirates ont incité les opérateurs de connectivité mobile à transférer un
numéro dans un nouvel appareil. C'est ce qu'on appelle l'échange de carte SIM et il permet aux
pirates d'accéder à votre numéro de téléphone. De plus, il n'est pas très difficile pour les
pirates de connaître les derniers chiffres de vos numéros de sécurité sociale ou de vos
informations d'identification bancaires - ces entrées sont souvent divulguées par le système
bancaire. Combinez ces deux et vos informations personnelles peuvent être facilement
compromises.
De plus, il existe une faiblesse importante dans le système de télécommunications mobiles, connue
sous le nom d'attaque SS7. Lors d'une attaque SS7, un pirate peut écouter votre appel
téléphonique, lire des SMS et voir votre position.
Les inconvénients énumérés ci-dessus rendent le système d'authentification basé sur SMS très
dangereux. Une méthode plus avancée consiste à utiliser les applications d'authentification à la
place. Laissez-nous les explorer ci-dessous
Applications d'authentification
Si vous essayez de vous connecter à Gmail via un appareil ou un emplacement non reconnu, Google
vous enverra une invite vous demandant de vous vérifier d'abord. Un code image s'affiche à
l'écran et le même code est également envoyé à votre téléphone portable. Vous devrez taper le
code sur votre téléphone avant que l'application ne vous permette de continuer. C'est ainsi que
fonctionne l'authentification basée sur les applications. Outre Google, il existe également
d'autres joueurs dans le jeu, tels que Microsoft Authenticator ou Authy, etc.
Ces applications d'authentification sont plus sécurisées que les SMS. Contrairement aux SMS qui
restent sur votre appareil pour toujours, les codes générés par les applications durent 30
secondes ou moins. En outre, vous devez appuyer sur le code au lieu de les saisir
manuellement. Cela améliore encore la sécurité.
Il existe de nombreuses applications qui prennent en charge ce type de système
d'authentification. Il vous suffirait d'activer la fonctionnalité. De cette façon, vous recevrez
automatiquement des notifications push, qui nécessitent un appui pour l'authentification.
Cela dit, les applications d'authentification, tout comme les SMS, sont un type
d'authentification à deux facteurs (2FA) et les systèmes d'authentification à deux facteurs
présentent de sérieuses lacunes. Laissez-nous les explorer ci-dessous
Inconvénients des authentifications à deux facteurs (2FA)
Les systèmes de vérification en deux étapes (par exemple, la fonction SMS ou les applications
d'authentification) sont un moyen plus sûr que l'authentification à un facteur (qui comprend
uniquement la saisie du mot de passe). Néanmoins, un système 2FA présente de nombreuses lacunes
qui les rendent vulnérables. Les inconvénients d'un SMS uniquement sont déjà décrits plus haut
dans le blog. Il existe également d'autres scénarios qui font de 2FA une fonctionnalité peu
pratique. Par exemple, lorsque les ouragans Harvey et Irma ont frappé l'Amérique du Nord,
l'installation électrique des zones touchées a été gravement endommagée. Les gens n'avaient pas
d'électricité pour recharger leurs téléphones portables et, par conséquent, ils ne pouvaient pas
se connecter à leurs comptes de médias financiers et sociaux.
De plus, les options de récupération contredisent toute la notion de 2FA. Si vous parvenez à
récupérer vos facteurs à l'aide de mesures de récupération simples, le pirate informatique peut
faire de même. Cependant, sans options de récupération, vous pouvez perdre votre compte.
De plus, les pirates peuvent utiliser l'authentification à deux facteurs pour vous exclure de
votre propre compte. Ils peuvent modifier vos identifiants de connexion et vous pouvez perdre à
jamais l'accès à vos données sensibles.
Authentification multifacteur
Au cours des dernières années, l'authentification multifacteur est devenue un substitut viable à
l'authentification à deux facteurs. L'authentification multifacteur (MFA) remplace deux facteurs
d'identification par plusieurs facteurs. Par exemple, en plus du mot de passe et du code
d'application SMS/authentification, il peut vous être demandé d'ajouter votre empreinte
digitale/reconnaissance faciale, etc. Ces couches ajoutées rendent votre session de connexion
plus sécurisée et vous empêchent de piratages/violations externes.
En règle générale, l'authentification multifacteur se compose des éléments suivants
a. Des objets que vous connaissez. Par exemple, votre mot de passe, etc.
b. Les objets que vous avez en votre possession. Par exemple pour smartphone ou badge.
c. Des objets qui font partie intégrante de vous. Pour, par exemple, la biométrie, les capteurs
d'empreintes digitales, la reconnaissance vocale, etc.
L'authentification multifacteur utilise principalement une combinaison des éléments suivants pour
l'authentification :
a. Codes générés par smartphone
b. Badges, USB et autres appareils
c. Certificats ou soft tokens
d. La reconnaissance faciale.
e. Analyse comportementale
f. Réponses aux questions de sécurité.
g. Codes livrés aux adresses e-mail
h. Empreintes
MFA fonctionne en tenant compte du comportement des utilisateurs et du contexte situationnel lors
de l'authentification. Ceux-ci comprennent principalement
a. Où est votre emplacement? Êtes-vous sur votre réseau domestique ou êtes-vous à l'extérieur sur
un réseau Wi-Fi non sécurisé (comme les cybercafés, etc.) ?
b. A quelle heure essayez-vous d'accéder? Est-ce pendant une période étrange ?
c. Quel appareil est utilisé pour accéder ? Est-ce un smartphone ou un ordinateur portable/de
bureau ?
d. Dans quel type de réseau êtes-vous ? Est-ce public ou privé ?
Authentification adaptative
L'authentification adaptative est un type d'authentification multifacteur qui exploite des
technologies avancées telles que l'intelligence artificielle et l'apprentissage automatique,
etc. L'idée est d'utiliser ces technologies pour détecter les connexions inhabituelles et les
signaler aux utilisateurs. Il prescrit également une meilleure utilisation de l'AMF dans les
scénarios qu'il juge risqués. Par exemple, si vous essayez de vous connecter depuis un café,
l'authentification adaptative vous donnera des éléments MFA plus difficiles. Si cela devient un
événement régulier, c'est-à-dire que vous visitez le café tous les jours pendant cette période,
les questions MFA deviendront plus faciles. En bref, l'authentification adaptative surveille
généralement l'activité de vos utilisateurs, puis suggère la meilleure mesure d'identification
possible tout en signalant les scénarios à risque.
Conclusion
Dans le paysage commercial moderne, de plus en plus de personnes travaillent à domicile, ce qui
a mis le sujet de l'accès sécurisé à l'honneur. Les entreprises doivent disposer de mesures
avancées d'identité et d'accès qui sont sécurisées et peuvent prendre en charge une variété de
scénarios. Malheureusement, l'authentification à deux facteurs (2FA) est très obsolète et
présente de graves lacunes en matière de sécurité. Au cours des dernières années,
l'authentification multifacteur a gagné beaucoup de terrain car elle fournit une configuration
d'identité plus sûre. Avec l'avènement de l'authentification adaptative, il devient encore plus
difficile pour les pirates de provoquer une brèche, car la technologie examine l'activité de
l'utilisateur et donne ensuite des verrous d'authentification personnalisés à ouvrir.
Même du point de vue du consommateur, c'est un changement bienvenu car maintenant leur accès est
plus sécurisé et ils peuvent être assurés que leurs entrées sensibles ne seront pas
compromises. L'authentification multifacteur et en particulier l'authentification adaptative est
le présent et l'avenir du paysage de la gestion des identités et des accès.