Depuis une dizaine d’années, les experts de la tech poussent pour l’adoption d’une approche sans mots de passe. En effet, avec la recrudescence des cyberattaques, les simples identifiants ne sont plus considérés comme sûrs, car ils sont faciles d’accès pour les cybercriminels. Compte tenu du paysage actuel des cybermenaces, l'authentification multifactorielle (MFA) résistante au phishing est alors l'outil de protection le plus efficace pour prévenir les violations et sécuriser les données hébergées sur les réseaux informatiques.
En effet, plusieurs géants de la technologie font pression pour rendre l’authentification double facteur (2FA) obligatoire, jusqu’à l’abandon des mots de passe. Microsoft, Apple et Google ont ainsi annoncé leur objectif de se passer de ces derniers d'ici l'année prochaine. Cette prise de conscience permet aux entreprises de comprendre la véritable valeur de la MFA, et les propulse doucement vers la modernisation de leurs méthodes d’’authentification. Un enjeu important alors que les cybermenaces ne cessent de croître dans le contexte actuel.
Se sécuriser en période de crise
Les tensions au niveau international, et notamment la guerre en Ukraine, ont mis en avant le besoin de défendre les infrastructures critiques des organisations. Des cybercriminels s’en prennent aux ressources des gouvernements et des entreprises en tentant de soustraire des informations sensibles quotidiennement. Le gouvernement ukrainien a ainsi déclaré en avril 2022 que le pays avait subi trois fois plus de cyberattaques au cours du premier mois et demi de la guerre, comparé à la même période en 2021. Protéger l’accès aux comptes des utilisateurs devient donc une priorité, et cela commence avec une authentification mieux sécurisée. Les mots de passe seuls entraînent en effet une plus grande vulnérabilité en matière de sécurité, permettant aux cybercriminels d'accéder facilement aux systèmes informatiques d'une entreprise.
La pandémie a aussi accéléré la transition vers le travail à distance, ce qui impose aux utilisateurs de se connecter aux réseaux de leurs entreprises depuis chez eux via un réseau domestique parfois peu sécurisé. Ces risques de cybersécurité continuent de poser des difficultés aux organisations et leurs équipes informatiques. De ce fait, même les petites et moyennes entreprises sont contraintes de trouver des moyens de renforcer leurs périmètres de défense. L’adoption de solutions MFA qui ne dépendent pas uniquement des mots de passe, leur permet alors de mieux protéger leurs systèmes.
Choisir la bonne solution MFA
Il faut toutefois tenir compte d’un point important : toutes les formes de MFA ne sont pas égales et offrent différents niveaux de sécurité. Certaines, telles que l’authentification via un téléphone mobile, sont beaucoup plus vulnérables aux cyberattaques. Les mots de passe uniques (OTP) sont faillibles car la chaîne OTP transite sur un réseau, et donc peut-être jouée en temps réel par l’attaquant pour prendre le contrôle du compte de la victime. En ce qui concerne le push, cette méthode reste également insuffisante, l’attaquant pouvant également en temps réel jouer les identifiants de la victime, qui reçoit un vrai push, pendant que l’attaquant se connecte au compte. Par ailleurs, cette méthode induit un coût plus élevé pour les entreprises, qui doivent approvisionner tous leurs utilisateurs avec des téléphones portables, sans pour autant être protégés du risque d’attaque.
Pour garantir une protection accrue, la clé de sécurité matérielle constitue une solution optimale car elle repose sur un dispositif physique débloqué grâce un code PIN unique ou à une empreinte biométrique pour se connecter à un compte. Les organisations peuvent également se tourner vers le protocole FIDO 2, qui s’appuie sur des mécanismes de sécurité avancés.
Adopter les normes d'authentification FIDO
Ces nouveaux protocoles permettant de faire du sans mot de passe ont été créés par l’alliance FIDO, un consortium de diverses grandes entreprises qui œuvrent dans l'authentification de l'utilisateur final. Il a été lancé en 2012 afin de promouvoir un futur sans mot de passe. Pour y parvenir, l’alliance met en œuvre des standards, et développe des API (application programming interface) de soutien qui peuvent être déployées pour construire des écosystèmes IT sans mot de passe.
Une norme phare créée par ces experts est FIDO2, la première mondialement acceptée pour l’authentification sur le web depuis plus de trois ans. Elle garantit aux organisations une connexion plus sécurisée, car elle repose sur le chiffrement à clé publique, qui élimine le recours aux mots de passe, et de ce fait l’exposition aux compromissions de comptes, car aucun secret n’est stocké sur un serveur. La norme FIDO2 permet une expérience améliorée, car elle propose différentes méthodes plus simples pour vérifier l'identité des utilisateurs. En l'occurrence, la clef de sécurité permet l’abandon des mots de passe complexes pour des méthodes plus sûres et ergonomiques.
Le phénomène croissant des cyberattaques a entraîné un besoin d’une authentification moderne. De nombreuses entreprises cherchent actuellement à renforcer les mots de passe par une MFA ou de migrer vers le sans mot de passe afin de garantir une sécurisation accrue de leurs systèmes. L’implémentation de ces pratiques permettra de contenir les cyber-risques et aux équipes IT de consacrer plus de temps à des tâches davantage stratégiques.
Par Fabrice de Vesian, Channel Manager chez Yubico