Poussées par la pandémie à accélérer la digitalisation de leurs activités et leurs processus, les entreprises ont dû choisir la voie la plus rapide pour permettre à leurs utilisateurs de s’identifier à distance. Les organisations déployant une authentification multifacteur (MFA) se sont orientées vers des connexions via un mobile, telles que l’envoi d’un mot de passe unique par SMS ou via une application mobile en mode push dédiée. La simplicité d’utilisation de ces processus ainsi que l’omniprésence des téléphones portables ont favorisé leur mise en place.
Pourtant, les organisations continuent de subir des cyberattaques qui pénètrent leur défense. En effet, selon le FBI, les attaques de type SIM-swapping, qui visent à récupérer le numéro de téléphone ainsi que tous les appels et SMS qui sont transmis sur celui-ci, ont coûté plus de 68 millions de dollars en 2021. Ainsi, il est important de comprendre que toutes les solutions MFA ne se valent pas. A mesure que les cybermenaces continuent de se multiplier, les organisations doivent repenser leur authentification à double facteur.
Connectivité, productivité et coûts cachés, les limites de l’authentification mobile
La vulnérabilité de cette solution est liée à un certain nombre de faiblesses. Tout d’abord, l’identification via un téléphone portable n’est pas forcément synonyme de simplicité. Aujourd’hui, plus de 6 milliards de personnes disposent d’un smartphone ; ce qui implique un volume de connexions important, susceptible de créer des frictions pour les utilisateurs. Aussi, une mauvaise saisie, la création d’un nouveau code ou encore la connectivité peuvent conduire à une déconnexion temporisée et ajouter des obstacles à leur productivité. En effet, pour utiliser un mobile, celui-ci a besoin d’être chargé, à portée de signal et disponible. Dans certains cas, il peut même être interdit, ce qui rend inopérante toute stratégie d’authentification qui s’appuie sur eux.
Bien que l'authentification mobile soit peu onéreuse à déployer, la plupart des organisations peuvent subir des coûts cachés, des pertes de productivité et des problèmes de support. En demandant à leurs employés de privilégier une telle stratégie, les entreprises devront en effet assumer les frais liés aux téléphones portables, aux services récurrents, ainsi qu’au logiciel de gestion des appareils d’entreprise. En outre, elles subissent des répercussions financières dues au verrouillage des comptes, car les mots de passe peuvent être compromis et réinitialisés ensuite par les équipes IT, alors que ceux-ci ne représentent que le premier facteur de l’authentification.
Pour limiter les coûts liés à la dotation de téléphones mobiles professionnels pour tous les personnels, certaines entreprises pensent qu’il peut être intéressant de mettre à contribution les téléphones mobiles propriété des utilisateurs pour opérer les tâches d’authentification forte. Cette stratégie va rapidement se heurter à la nécessité légale d’obtenir l’autorisation des utilisateurs d’une part, mais aussi de manager des vulnérabilités de mobiles de marques, de systèmes d’exploitation (OS) et de versions d’OS hétérogènes, une mission quasiment impossible pour l’entreprise.
Des cybercriminels prêts à déjouer l’authentification par mobile
Outre les freins qui peuvent entraver l’efficacité de l’authentification mobile, cette pratique est facile à détourner par les cybercriminels. Dans ce sens, un mot de passe à usage unique, ou one-time password (OTP) peut être intercepté, voire volé, grâce à une attaque par phishing. Aussi, les téléphones portables constituent eux-mêmes un vecteur d’attaque potentiel. En effet, ils contiennent un système d’exploitation et des applications susceptibles d’être compromis, ce qui rend les données critiques, y compris les mots de passe à usage unique, accessibles aux hackers. Lors d’une offensive de type man-in-the-middle par exemple, le cybercriminel se place entre l’utilisateur et le fournisseur de services, créant un environnement dans lequel chacun croit communiquer avec l’autre. Celle-ci peut commencer par un message de phishing ou tirer parti de réseaux Wi-Fi non protégés ; des URLs manipulés qui ressemblent à des sites légitimes sont une autre porte d’entrée vers un compte utilisateur, au même titre que le SIM-swapping, une technique qui peut permettre aux cybercriminels de récupérer un mot de passe à usage unique.
Des clés de sécurité matérielles et des standards pour une défense solide
Dans le contexte actuel, avec les cybermenaces omniprésentes, les moyens de connexion doivent être solides. Parmi les moyens disponibles aujourd’hui, les clés de sécurité matérielles permettent une authentification forte tout en réduisant les problèmes liés à l’identification en ligne, par rapport aux autres protocoles à plusieurs étapes. En effet, cette méthode est un frein pour les cybercriminels car elle ne peut être compromise et ajoute une vérification supplémentaire plus sûre qu’un mobile. Elle renforce ainsi la sécurité contre l’hameçonnage et la prise de contrôle de comptes.
En outre, les clés de sécurité conformes aux normes FIDO2 et WebAuthn ouvrent la voie à l'interopérabilité et ne présentent aucun coût caché après leur mise en place. FIDO2 est une spécification des normes d'authentification de l'Alliance FIDO, tandis que WebAuthn est une API Web qui permet aux sites Web d'ajouter une authentification basée sur FIDO. Le modèle de sécurité des identifiants cryptographiques FIDO2 élimine les risques de phishing et de vol de mots de passe. Cet écosystème en pleine évolution contribue à la sécurité et à la facilité d’utilisation, tout en répondant aux besoins de portabilité et de compatibilité.
Il est temps pour les entreprises de créer des stratégies de MFA qui prennent en compte l’importance de la sécurité, du coût et de l’expérience utilisateur. Pour ce faire, les organisations doivent évaluer les vulnérabilités liées à l’authentification mobile, notamment aux attaques de phishing et de type man-in-the-middle. Il est également essentiel de considérer les coûts et les frictions qui en découlent, que ce soit au niveau de l’entreprise ou des utilisateurs. Dans ce sens, le déploiement d’une authentification forte qui repose sur des clés de sécurité matérielle permet de concilier la protection des données sensibles, la facilité d’utilisation, et un coût total d’acquisition (TCO)attractif.
Par Laurent Nezot, Sales Director France chez Yubico