L’authentification multiple et la biométrie au service de la sécurisation de l’identité numérique

L�authentification multiple et la biométrie au service de la sécurisation de l�identité numérique

Octobre est devenu le mois international de la cybersécurité et l’occasion de renforcer la sensibilisation aux cyber-vulnérabilités et aux bonnes pratiques pour s’en prémunir. Cette année, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé l’initiative « Cybermoi/s » à destination des citoyens.

Son souhait est de mettre l’accent sur le rôle que chaque individu joue dans la sécurité en ligne et sur l’importance de prendre des mesures proactives pour améliorer la cybersécurité chez soi et en entreprise. Selon ses propres termes : « les acteurs français de la sécurité du numérique lancent un nouvel appel à l’action à destination des citoyennes et citoyens français pour sécuriser activement et efficacement leur vie numérique, dans la sphère personnelle, comme professionnelle. » 

Lorsqu’il s’agit de sécuriser son profil numérique, l’authentification multiple est un enjeu clé

Les cybercriminels réussissent très bien à obtenir des informations personnelles et sensibles de la part de victimes peu méfiantes. À mesure que la technologie évolue, leurs méthodes sont en effet de plus en plus ciblées. Les utilisateurs ont donc la responsabilité de se protéger contre les cybermenaces en se renseignant sur les fonctions de sécurité disponibles sur leurs périphériques et dans les logiciels qu’ils utilisent.

Il est également essentiel d’utiliser plusieurs types d’authentification, et pas seulement un mot de passe, pour protéger les terminaux et services en ligne, tels que les comptes bancaires, les comptes emails, les services publics en ligne (tels que les impôts ou la sécurité sociale) et les réseaux sociaux.

Pour Frank Abagnale Junior, l’ancien faussaire reconverti en consultant sécurité au FBI, les mots de passe ne devraient plus exister. Dans une interview pour le media britannique Information Age, il confiait en juillet dernier « je ne peux pas croire que les mots de passes aient été développés en 1964, quand j’avais 16 ans, et qu’aujourd’hui, à 71 ans, nous utilisons toujours des mots de passe comme protocole pour entrer dans les systèmes de sécurité. Je ne comprends pas pourquoi les mots de passe sont toujours là alors que nous savons qu’ils sont la cause principale de l’ensemble de nos problèmes. »

Néanmoins, il n’est pas envisageable à l’heure actuelle de fonctionner complètement sans mots de passe et le renforcement de leur sécurité devient par conséquent une priorité absolue.

Cela commence par la mise en œuvre de l’authentification multi-facteurs (MFA pour Multi-factor authentication), un mécanisme de sécurité dans lequel les individus doivent présenter deux éléments de vérification de l’identité lorsqu’ils se connectent à un compte. Dans la plupart des cas, la MFA inclut un mot de passe et une confirmation d’authentification additionnelle sur le périphérique mobile de l’utilisateur, comme les SMS.

Utiliser la MFA signifie que même si un cyber-attaquant réussit à comprendre un mot de passe très complexe il ne serait toujours pas en mesure d’obtenir l’accès sans l’autre élément d’authentification.

Selon les recherches de Microsoft, l’utilisation de la MFA réduit de 99,9 % le risque de compromission des comptes utilisateurs. Il s’agit d’une pratique exemplaire en matière de cybersécurité qui ne nécessite pas beaucoup d’efforts. Malheureusement, des cyber-attaquants persistants découvrent toujours des solutions alternatives. De récentes attaques ont démontré que si l’authentification multiple est une étape cruciale, c’est aussi une cible.

Surmonter les angles morts de la MFA avec les technologies biométriques

Plus tôt ce mois-ci, le FBI a ainsi publié un avertissement indiquant avoir « observé des cyber-acteurs contournant l’authentification multiple par le biais d’attaques d’ingénierie sociale et autres techniques d’intrusion ». En effet, de plus en plus de personnes implémentent la MFA en tant que couche supplémentaire de protection de cybersécurité, les assaillants tournent donc leur attention et leurs efforts vers l’exploitation des angles morts inhérents à la MFA.

L’authentification multiple s’appuie généralement sur « quelque chose que vous connaissez » soit une question de sécurité personnelle, et « quelque chose que vous possédez » comme un ordinateur portable ou un smartphone. Or, aucune de ces méthodes ne confirme l’identité, l’objet possédé peut avoir été volé et la chose connue avoir été découverte en amont : ce qui peut donc biaiser le processus.

L’attaque contre le PDG de Twitter, Jack Dorsey, est un exemple de l’exploitation des angles morts de la MFA par les attaquants. En effet, fin août, son compte Twitter personnel a été compromis et près de deux douzaines de tweets offensifs et de re-tweets ont été postés avant la suppression du contenu. La méthode d’attaque utilisée est appelée « SIM Swapping » ou échange de cartes SIM.

Elle consiste à convaincre ou subvertir un employé du réseau de téléphonie mobile pour qu’il transfère le numéro associé à une carte SIM sur un autre appareil mobile. Une fois le changement effectué, l’attaquant peut intercepter tous les codes de MFA envoyés par SMS et prendre le contrôle du téléphone de l’utilisateur. Il peut ainsi avoir accès à tout, des media sociaux aux comptes bancaires, en passant par la messagerie, voire même les comptes de cryptomonnaie.

Certains attaquants utilisent cette méthode pour cibler et compromettre des personnalités politiques de premier plan, dans le but de porter atteinte à la réputation et à la désinformation. En France, suite à la médiatisation de l’attaque contre Jack Dorsey, l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs (AFMM) a annoncé en septembre dernier la mise en place d’une solution de sécurité, en partenariat avec Orange, SFR et Bouygues Telecom pour lutter contre le SIM Swapping.

Alors, comment se protéger ? 

Le FBI exhorte les particuliers et les organisations à continuer à utiliser la MFA ; et à faire aussi un pas supplémentaire en matière de sécurité en ajoutant une authentification biométrique. Les attaquants auront ainsi plus de difficultés à tromper les utilisateurs pour qu’ils divulguent les codes MFA ou utilisent une interception technique pour les créer.

L’authentification biométrique utilise des caractéristiques biologiques, telles que les empreintes digitales, les balayages de l’iris de l’œil et les modèles de voix, à des fins d’identification et de contrôle d’accès. Ces identifiants sont entièrement propres à chaque individu et donc uniques, et il est facile d’activer les fonctionnalités biométriques déjà disponibles sur ses terminaux pour s’authentifier.

Il n’existe pas de solution miracle pour la cybersécurité – un mélange solide de bonnes pratiques technologiques et sécuritaires sont donc nécessaires pour se protéger ainsi que son entreprise, à l’ère du numérique. Les directives de l’ANSSI, de l’AFMM, ou encore du FBI autour de la MFA et les applications biométriques de bon sens sont parfaitement indiquées, car elles font toutes deux partie intégrante d’une approche de sécurité à plusieurs niveaux, également appelée modèle Zero-Trust.

On ne le répète jamais assez : il ne faut surtout pas attendre qu’il soit trop tard pour se protéger. Le mois de la cybersécurité est l’occasion de renforcer sa protection et de vérifier que les comptes sont sécurisés de manière adaptée afin de ne pas être la prochaine victime d’une cyberattaque.

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading