Une expérience d’authentification forte accessible à tous, un enjeu de sécurité majeur
Selon une étude menée par le Ponemon Institute, 54 % des personnes interrogées en France réutilisent la même combinaison pour accéder à plusieurs comptes, et 46 % indiquent que leur entreprise utilise des post-its pour gérer les mots de passe ; des pratiques qui ouvrent la voie royale aux cybercriminels.
Il est évident que les internautes doivent créer des mots de passe plus forts pour protéger les données sensibles, mais cela est-il suffisant ? Les éléments de base seuls ne suffisent plus. Les organisations doivent donc prendre des mesures plus avancées. Cela passe par exemple par la mise en œuvre de solutions techniques telles que le verrouillage des comptes pour se défendre contre les attaques par force brute – en autorisant entre cinq et dix tentatives de connexion avant le verrouillage – et l’inscription sur liste noire des mots de passe pour empêcher automatiquement l’utilisation des combinaisons les plus courantes.
En outre, il est important que les organisations insistent sur l’utilisation, au minimum, d’une authentification à deux facteurs comme couche de sécurité supplémentaire. Ce niveau additionnel peut reposer sur une clé de sécurité, une application d’authentification mobile ou un code SMS vers un téléphone ; bien que ces dernières solutions soient connues pour être vulnérables aux détournements et non recommandés. Les clés de sécurité matérielles offrent quant à elles des niveaux de sécurité en ligne plus importants, en particulier celles basées sur un protocole moderne tels que PIV ou FIDO2, ratifié par le W3C (World Wide Web Consortium) en 2019, et qui est aujourd’hui un standard d’authentification sécurisé et accessible. Ces clés permettent aux utilisateurs de se connecter à de nombreux services sans avoir à ressaisir identifiants et mots de passe à chaque fois, et donc de bénéficier d’une expérience optimale. De plus, contrairement aux SMS et aux applications d’authentification, certaines clés de sécurité ne nécessitent pas de connexion au réseau, et ou ne dépendent pas de la batterie.
De manière générale, une expérience des plus simples en matière d’authentification doit aujourd’hui permettre de rendre la sécurité accessible à tous, y compris aux utilisateurs considérés comme les moins exposés qui se servent pourtant d’une application de messagerie, elle-même critique. Il faut savoir que les cybercriminels cherchent bien souvent le maillon faible pour réaliser une incursion avec le minimum de résistance, avant de rebondir vers les postes ou serveurs cibles. Ce qui signifie que, même si un projet d’authentification s’opère par vagues successives, en privilégiant les utilisateurs les plus exposés dans un premier temps avant de l’étendre plus largement, il doit être pensé au niveau global. Adopter une approche en silo reviendrait à blinder la porte d’entrée d’une maison tout en laissant des fenêtres non sécurisées.
En fin de compte, les organisations doivent trouver le bon équilibre entre sécurité et convivialité. La transition que doivent opérer les entreprises pour moderniser leurs solutions d’authentification et tendre vers un monde sans mot de passe est aujourd’hui possible, facilitée par certaines clés de sécurité compatibles avec les protocoles anciens tel que OTP (One Time […..]
Source:: Une expérience d’authentification forte accessible à tous, un enjeu de sécurité majeur
