icon

Authentification multifacteur : pourquoi un appareil portable séparé est-il meilleur que votre smartphone ?

Multi-Factor Authentication (MFA) header image

Aux États-Unis, environ 19 % de la population adulte a été victime d'un vol d'identitéPlus de 60 millions d'Américains ont vu leur identité en ligne exposée par le piratage des bases de données clients de leurs fournisseurs de services ou d'agences gouvernementalesLa situation est similaire en Europe et dans d'autres pays

L'usurpation d'identité n'est pas le seul crime qui va de pair avec des mots de passe piratés et des comptes en ligne compromis : la fraude par carte de crédit, le chantage, l'atteinte à la vie privée et les écoutes téléphoniques illégales se produisent fréquemment dans le monde entier.

L'authentification multifacteur (MFA, parfois simplifiée en « deux facteurs » ou 2FA) s'est avérée être un outil efficace pour renforcer la sécurité des comptes en ligneCependant, l'activation de MFA ou 2FA ne signifie pas que votre compte est automatiquement sécurisé

L'armée et l'élite utilisent la MFA depuis des sièclesPar exemple, dans les Trois Mousquetaires d'Alexandre Dumas, d'Artagnan reçoit une bague de la reine Anne de France en plus des instructions orales qu'il doit utiliser pour communiquer au duc de Buckingham afin d'avertir le duc que le cardinal de Richelieu et Milady de Winter complotent pour le tuer

L'utilisation moderne de la MFA pour sécuriser les enregistrements informatiques et les comptes en ligne trouve son origine dans le secteur bancaire, l'exemple typique étant le retrait d'espèces à un guichet automatique, qui nécessite d'avoir une carte bancaire et connaître votre code PIN

Person using ATM

Personne utilisant un guichet automatiqueImage par Pixabay

Au début des années 2000, les banques, les magasins et les services en ligne ont introduit une version télécom de 2FA basée sur des SMS contenant un mot de passe à usage unique (OTP)Maintenant, c'est synonyme de 2FA lui-même

Récemment, les applications mobiles (egmultiplateforme Google Authenticator) a apporté une 2FA indépendante de l'opérateur aux plates-formes mobiles en utilisant TOTP et HMAC< algorithmes logiciels t11>

Google Authenticator screenshot

Capture d'écran de Google Authenticator sur un smartphone AndroidImage par AskUbuntu via StackExchange

Alors, pourquoi s'embêter encore avec des jetons d'authentification matériels à l'ancienne qui nécessitent de transporter encore un autre objet ?

Dans cet article, nous essaierons d'expliquer pourquoi une solution matérielle de deuxième facteur est une bonne option et nous vous guiderons à travers les fonctionnalités de notre produit phare, la Hideez Key, qui rend le matériel MFA une solution efficace et facile à utiliser pour de tels cas

Un appareil externe est un véritable deuxième facteur, en fait, l'un des multiples facteurs nécessaires pour se sentir en sécurité dans le cyberespace moderne

À une époque où les criminels en ligne et les gouvernements peuvent contourner même l'authentification à deux facteurs, confiez votre deuxième facteur au même appareil que vous souhaitez protéger n'est pas la meilleure solutionLes trois piliers bien connus de l'authentification à deux facteurs sont ce que vous savez (c'est-à-direemot de passe ou code PIN), ce que vous avez (c'est-à-direecarte bancaire, jeton numérique ou autre objet physique) et ce que vous êtes (c'est-à-direedes données biométriques telles que les empreintes digitales, l'iris ou les veines oculaires, la manière dont vous tapez sur votre clavier, le modèle d'onde sonore de votre voix ou votre rythme cardiaque, etc.)

Les clients qui utilisent l'A2F uniquement logiciel se limitent à ce qu'ils savent, jeeleur mot de passe permanent ou phrase secrète et un mot de passe à usage unique (OTP) ou code PIN qui n'est… qu'un mot de passe de plus au finalCela signifie qu'un professionnel de l'informatique ou un criminel qui a en quelque sorte pris le contrôle de votre appareil client ou a la capacité de voir ce qui est sur votre écran (pensez à la vidéosurveillance ou aux caméras de sécurité cachées à l'intérieur des immeubles de bureaux modernes) peut contourner le logiciel 2FA comme ça

En fait, compte tenu de toutes les menaces du monde moderne, nous recommandons à nos clients d'aller au-delà de la 2FA conventionnelle vers une MFA plus complexe avec des données biométriques comme principal facteur d'authentification avec tous les autres facteurs auxiliaires requis uniquement pour prouver le authenticité du message de confirmation émis sur la base des données biométriquesIci, la facilité d'utilisation commence à jouer un rôle clé

S'ils sont configurés et utilisés correctement, les périphériques externes peuvent être plus fiables que l'OTP

Depuis la fin des années 2000, les OTP délivrés par SMS sont devenus une méthode d'authentification très populaire dans le secteur bancaire et se sont étendus aux services en ligne tels que les e-mails, les réseaux sociaux, le stockage dans le cloud, etc.Là, les OTP sont faciles à utiliserCependant, leur fiabilité dépend de plusieurs facteurs

Tout d'abord, le client doit s'assurer que le réseau mobile utilisé pour fournir l'OTP est suffisamment protégéIl existe déjà des rapports publics de failles dans les réseaux 4G et même 5G, tandis que la 3G a également été compromise dès le début 2010

Deuxièmement, les OTP SMS sont vulnérables aux écoutes téléphoniques du gouvernement, ce qui pourrait être un problème pour les pays confrontés à des problèmes de liberté d'expression et d'autres droits humains fondamentaux.Chaque norme 3G et 4G comporte des instruments obligatoires intégrés permettant aux organismes gouvernementaux chargés de l'application de la loi d'accéder aux serveurs SMS des réseaux mobiles opérant dans la juridiction de l'organisme chargé de l'application de la loi.De plus, il est possible d'intercepter ces SMS OTP pendant que la victime d'une attaque utilise l'itinérance dans ce pays.

Contrairement aux opérateurs de télécommunications, les fournisseurs de matériel de jetons 2FA n'ont actuellement aucune obligation de divulguer leur technologie au gouvernement dans la plupart des pays, car cela pourrait avoir des effets négatifs sur la sécurité bancaire et les communications gouvernementales elles-mêmesCela ne signifie pas que les gouvernements ne peuvent pas cibler la technologie matérielle 2FA, mais les moyens légitimes pour le faire sont très limités

Les appareils 2FA externes basés sur Bluetooth offrent le même niveau de protection qu'un jeton matériel USB correctement entretenu, tout en offrant la commodité d'un OTP basé sur SMS ou d'applications mobiles comme Google Authenticator

Bien que les jetons matériels USB pour 2FA soient très fiables et efficaces, s'ils sont utilisés correctement, ils obligent le client à les insérer dans le port USB de son appareil chaque fois qu'il a besoin de les utiliserCela incite le client à laisser le stick "juste dans la fente", rendant ainsi le deuxième facteur activé par ce stick vulnérable au piratage

Hideez Key combine la fiabilité d'un authentificateur matériel à second facteur avec la facilité d'utilisation d'un protocole de communication sans filL'utilisateur final n'a pas besoin de brancher l'appareil n'importe où, il a juste besoin de le garder dans sa poche ou sur un porte-clés près de son corps

Contrairement à d'autres appareils Bluetooth permettant de "déverrouiller votre ordinateur", Hideez prend au sérieux le reniflement et les attaques MITMNous utilisons des protections supplémentaires en plus de l'appairage Bluetooth standardCes protections améliorent l'échange initial de clés et rendent plus difficile la détection non autorisée et d'autres techniques d'interception de signaux avec nos appareils.

L'interception du trafic Bluetooth sur un appareil client par des logiciels malveillants peut également être un problème, mais nous le résolvons en ajoutant des protections supplémentaires à l'échange de clés de chiffrement.

Comment l'appareil connaît-il son propriétaire ?

Une autre vulnérabilité critique de tout deuxième facteur matériel est la même que pour toute clé physique ou jeton d'accès : le logiciel suppose que la personne présentant le jeton physique pour l'authentification en est le propriétaire légitimeCependant, que se passe-t-il si l'appareil du deuxième facteur est perdu ou volé ?

Si une clé Hideez est perdue pour une raison quelconque, l'utilisateur peut également utiliser My Hideez pour dissocier la Hideez Key à partir de leur compte ou contactez leur administrateur systèmeCela empêchera l'utilisation non autorisée de la clé Hideez

La synchronisation via Bluetooth est plus sûre que la synchronisation via le Cloud ou le Wi-Fi

Connaître votre mot de passe au bon moment n'est pas moins important que de le garder en sécuritéDiverses plates-formes mobiles comme iCloud Keychain, LastPass, Dashlane, SafeInCloud et d'autres offrent des gestionnaires de mots de passe internes et autonomes avec des fonctionnalités de synchronisation entre appareils

Bien que toutes ces solutions aient une excellente réputation, elles utilisent toutes Internet pour synchroniser les données entre les différents appareils des clients, ce qui signifie qu'il existe une vulnérabilité potentielle

Dans le cas d'un appareil avec une connexion sans fil locale (Bluetooth 42 LE dans le cas de Hideez Key), il n'y a pas une telle vulnérabilitéLes utilisateurs finaux peuvent utiliser notre coffre-fort de mots de passe matériel externe comme moyen de synchronisation des mots de passe entre divers appareils compatibles Bluetooth sans utiliser de connexion Internet, avec les risques associésNotre équipe atténue les risques de reniflement et autres risques liés au sans fil grâce aux couches de chiffrement supplémentaires susmentionnées sur la couche de transport et à l'intérieur de l'application.

Conclusion

Alors que l'authentification MFA basée sur logiciel devient de plus en plus populaire et vaut mieux que rien, l'environnement de cybersécurité actuel nécessite une authentification MFA véritablement distribuéeSeules les solutions matérielles peuvent offrir cela

Néanmoins, les solutions matérielles doivent offrir une facilité d'utilisation associée à la fiabilité afin de minimiser le risque qu'un client décide de choisir l'option la plus simple et compromette son deuxième facteur en laissant sa clé USB à l'intérieur de son port USB ou en utilisant un ' 1111' PIN pour l'identification de l'utilisateur final sur l'appareil du second facteur

Les appareils Bluetooth pour MFA résolvent ce problème en permettant une utilisation pratique et facile, tout en appliquant des pratiques de sécurité strictesNotamment, ils créent un risque supplémentaire d'interception du signal par des équipements radio spécialisés et ne protègent pas contre le risque d'interception de données par des logiciels malveillants, installés à l'intérieur de l'appareil couplé, bien que ces types d'attaques soient beaucoup moins courants à l'heure actuelle.

Les solutions MFA basées sur Bluetooth offrent aux clients un avantage supplémentaire de synchronisation sans fil entre les différents appareils du client sans avoir besoin d'Internet

S'il est conçu avec diligence et correctement entretenu par l'utilisateur final, un appareil de deuxième facteur basé sur Bluetooth offre une facilité d'utilisation et un niveau de protection industriel

En savoir plus sur les principales caractéristiques et spécifications de HideezSi vous souhaitez mettre en œuvre une telle solution dans votre entreprise ou organisation, consultez Hideez Enterprise Solution ou planifiez une démonstration gratuite :

Related Posts