Authentification à plusieurs facteurs : pour se protéger contre l’usurpation d’identité

cyber-guru-2fa

Au cours des dernières années, de nombreux cas d’usurpation d’identité à des fins frauduleuses ont été enregistrés. Ces usurpations ont souvent été à l’origine de violations d’accès à des systèmes et des applications qui ont affecté des entreprises, publiques et privées, de différentes tailles. Les enquêtes sur la nature des incidents ont trop souvent révélé que le compte piraté n’avait qu’un seul niveau de protection, c’est-à-dire que sa sécurité dépendait exclusivement d’un mot de passe, sans méthodes d’identification et de vérification supplémentaires.

Dans beaucoup de ces cas, pour ne pas ouvrir la porte à la cybercriminalité, il aurait suffi que la victime utilise un double niveau d’authentification, c’est-à-dire une authentification à plusieurs facteurs. Les systèmes d’authentification à plusieurs facteurs, en plus d’utiliser un mot de passe, exigent que les utilisateurs fournissent une preuve supplémentaire pour confirmer leur identité. Ce test supplémentaire doit être quelque chose que seul l’utilisateur possède comme un smartphone ou un élément biométrique comme une empreinte digitale.

Comment se déroule une usurpation d’identité numérique ?

Pour s’approprier les informations d’identification d’un utilisateur, les pirates utilisent généralement l’une des techniques suivantes :

  1. Le hameçonnage cette technique prévoit, en général, l’envoi par un faux expéditeur d’un courriel, dont le contenu est destiné à encourager tous les destinataires qui le reçoivent à accéder à une page internet, naturellement fausse, dans laquelle saisir leurs identifiants. Le contenu du courriel peut varier : de l’offre d’accès à un nouvel outil, à la nécessité de devoir réinitialiser un mot de passe ou, ironie du sort, de devoir vérifier des activités suspectes du compte.
  2. Le hameçonnage ciblé – suit dans ses principales caractéristiques le modèle du hameçonnage, mais dans ce cas, les courriels sont adressés à un utilisateur spécifique, avec nom et prénom, et les contenus sont beaucoup plus en lien avec les habitudes de l’utilisateur lui-même. C’est pour cette raison que les courriels de hameçonnage ciblé, semblant plus crédibles, et beaucoup plus dangereux que les courriels de hameçonnage classiques.
  3. Le Password Spraying – avec cette technique, les cybercriminels parviennent à pirater un compte en essayant simplement d’utiliser des mots de passe communs ou prédéfinis, tels que les génériques « 12345678 », « mot de passe », et ainsi de suite.
  4. Le bourrage d’identifiants– cette technique, récemment très utilisée, exploite les listes d’informations d’identification volées, désormais facilement disponibles sur le dark web ou sur le net, pour essayer avec elles d’accéder à des sites et à des applications. En partant de l’idée qu’étant donné le pourcentage élevé d’utilisateurs qui utilisent toujours la même combinaison de nom d’utilisateur et de mot de passe, très probablement avec l’une de ces informations d’identification, tôt ou tard, vous réussirez à violer un accès à des sites ou à des APPLICATIONS.
Pourquoi l’authentification à plusieurs facteurs est-elle si importante ?

Malheureusement, comme il ressort de nombreuses recherches, les utilisateurs qui utilisent le même mot de passe pour différents comptes sont plus de 50 %. Par conséquent, il est facile d’imaginer que les mêmes mots de passe peuvent être partagés entre les comptes personnels et les comptes professionnels.

La sécurité de votre entreprise est donc étroitement liée à la sécurité personnelle. La protection de votre identité numérique est de plus en plus indispensable, et pour ce faire, il est essentiel d’activer, lorsque cela est possible, un niveau d’authentification supplémentaire. La banque en ligne est certainement un exemple d’authentification à plusieurs facteurs que nous connaissons tous. Des mécanismes similaires peuvent également être activés pour protéger votre compte sur les réseaux sociaux, des environnements récemment très fréquentés par les cybercriminels.

Activer une couche supplémentaire d’authentification sur les courriels personnels tels que Gmail ou sur un réseau social est facile à configurer et pratique à utiliser. Chaque application a ses propres instructions à suivre comme dans le cas de Facebook ou WhatsApp. L’activation de ces fonctionnalités pourrait vous éviter des surprises désagréables, tout en minimisant le risque de violation de données. Les avantages qui en découlent ne sont pas seulement personnels, mais concernent aussi, indirectement, votre entreprise.

La sensibilisation à la cybersécurité et le facteur humain

Compte tenu des nombreuses techniques d’attaque et du peu d’attention qui est parfois accordée à l’utilisation du mot de passe, pour un cybercriminel, sa possession peut devenir une mission absolument « possible ». Se retrouver avec un compte compromis n’est donc pas un événement aussi improbable. Un risque très sérieux pour soi-même et pour son entreprise.

Pour se défendre contre ce risque, un mode d’authentification supplémentaire qui ajoute une couche de sécurité supplémentaire à la paire nom d’utilisateur/mot de passe peut s’avérer très efficace. En effet, si la facilité avec laquelle un mot de passe peut être piraté est évidente, il est tout aussi évident que les chances pour un cybercriminel d’accéder à distance à l’appareil qui permet une couche d’authentification supplémentaire sont « presque » nulles.

Presque nuls, cela signifie que pour protéger tous ses systèmes d’authentification, qu’il s’agisse de mots de passe ou de smartphones, il est essentiel de rester extrêmement vigilants. Le facteur humain reste un élément déterminant pour se défendre contre les attaques de plus en plus sophistiquées d’un cybercrime à la recherche continue de nouveaux modes pour contourner même les systèmes d’authentification les plus complexes.

L’utilisation de systèmes d’authentification à plusieurs facteurs peut donc ne pas suffire, face à une cybercriminalité en constante évolution, si l’on ne met pas en place des parcours de formation sur la Cyber Security Awareness vraiment efficaces.