Les ingénieurs de Microsoft ont révélé, au cours de la conférence RSA qui s’est tenue fin février, que 99,9 % des comptes ayant été compromis n’utilisent pas la double authentification, et seuls 11 % des comptes d’entreprises sont sécurisés de cette manière. Ce constat s’appuie sur l’analyse de plus de 30 milliards de sessions et plus d’un million d’utilisateurs actifs mensuels. Sachant que 0,5 % des comptes sont compromis tous les mois, janvier 2020 a totalisé 1,2 million de compromissions.
Les cybercriminels développent des méthodes d’attaques de plus en plus sophistiquées et tirent parti du manque de bonnes pratiques des utilisateurs, c’est pourquoi l’authentification à double facteur doit aujourd’hui entrer dans les mœurs pour contrer ces prises de contrôle de comptes.
Trouver l’équilibre entre sécurité et simplicité d’usage est un défi, à l’heure du cloud et du nombre croissant d’applications, de comptes et de plateformes nécessitant des identifiants de connexion. Les utilisateurs tendent à définir constamment les mêmes mots de passe que ce soit au travail ou à la maison pour leurs emails, leurs comptes de messagerie ou réseaux sociaux (Office 365, Facebook, Instagram, LinkedIn, ou encore Twitter, pour ne citer qu’eux), par confort et parce que posséder des combinaisons différentes et complexes pour chacune de leurs sessions est très contraignant à l’usage. Les pirates informatiques le savent et utilisent cette opportunité pour dérober les données de leurs victimes. L’authentification par mots de passe, même complexes, les SMS et les applications mobiles à génération de codes uniques et notifications poussées sur un téléphone portable sont vulnérables aux attaques de type hameçonnage et l’homme du milieu, y compris dans le cadre de la double authentification.
Une fois la compromission réussie, les cybercriminels utilisent ces informations d’identification volées et des logiciels malveillants pour établir une présence au sein des comptes d’utilisateurs. De là, ils augmentent leurs privilèges pour s’emparer de la propriété intellectuelle et des données sensibles des entreprises et des consommateurs. L’objectif étant bien souvent de demander une rançon en l’échange du déchiffrage et de la restitution de l’accès aux données. Les conséquences de telles attaques ransomware en termes de réputation financière, juridique et d’image pour les entreprises sont astronomiques et peuvent parfois conduire ces dernières à des situations complexes ; à l’instar de la société lyonnaise Lise Charmel, récemment victime d’une attaque ransomware l’ayant conduite à se mettre en redressement judiciaire.
Sachant que ces attaques sont aujourd’hui inévitables, les entreprises et les utilisateurs doivent anticiper ce risque et s’équiper en conséquence, afin de renforcer l’ensemble de leurs accès aux applications que ce soit à distance ou localement. Si la chose semble compliquée de prime abord, elle est aujourd’hui simplifiée par la disponibilité des moyens permettant une authentification multi-facteur sûre, y compris la biométrie ou encore les clés de sécurité qui protègent de manière universelle les ordinateurs, les terminaux mobiles, réseaux et services en ligne auxquels accède un même utilisateur. Cela rend non seulement l’expérience de sécurité plus ergonomique, simple et économique sur le long terme, mais assure également une sécurité renforcée des données personnelles et professionnelles des utilisateurs. Sans l’utilisation de méthodes d’authentification modernes tels que FIDO2/WebAuthn, les organisations et consommateurs resteront la cible d’attaques, et le nombre de comptes compromis va augmenter de façon exponentielle.
Yannick Hervé (Yubico)
Crédit photo : DR
[cc] Breizh-info.com, 2020, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine – V
