Alors que les internautes passent de plus en plus de temps en ligne, les cybercriminels, quant à eux, consacrent une bonne partie de leur temps à mettre sur pied de nouvelles cyberattaques basées sur l’ingénierie sociale afin de prendre le contrôle de compte en ligne. L’objectif des hackers est toujours de voler les informations d’utilisateur. L’authentification double facteur plus communément appelée authentification multifacteur, parmi d’autres solutions, vise à répondre à ce problème.
Le vol d’identifiants de connexion est l’un des principaux risques auxquels les organisations sont confrontées. D’après la société Verizon, 61 % des intrusions impliquent des identifiants volés, que les attaquants récoltent à l’aide de diverses techniques allant du phishing ou « hameçonnage » à l’ingénierie sociale en passant par des attaques par « force brute ».
L’authentification multifacteur vise à résoudre ces enjeux de cybersécurité en ajoutant des étapes supplémentaires lors du processus d’authentification, de sorte que même si un attaquant parvient à voler des informations d’identification, il ne pourra pas accéder au compte. Mais qu’est-ce que l’authentification multifacteur exactement ? Cet article examine ce qu’est l’authentification multifacteur, son importance, son fonctionnement et la manière dont elle peut protéger vos utilisateurs contre les menaces et ceux qui les entretiennent.
Qu’est-ce que l’authentification multifacteur et comment fonctionne-t-elle ?
L’authentification multifacteur est un mode d’authentification selon lequel un utilisateur doit fournir deux facteurs de vérification (ou plus) pour accéder à un compte ou à une ressource en ligne. Il existe trois principaux facteurs que vous pouvez utiliser pour authentifier les utilisateurs :
- « Something you know »/Quelque chose que vous savez : un élément d’information que seul l’utilisateur connaît, comme un mot de passe ou un code PIN.
- « Something you have »/Quelque chose que vous avez : un élément que l’utilisateur possède, comme son smartphone ou un jeton cryptographique.
- « Something you are »/Quelque chose que vous êtes : quelque chose de spécifique à l’utilisateur, comme une empreinte digitale, une reconnaissance vocale ou faciale ou d’autres données biométriques.
La plupart des solutions d’authentification multifacteur grand public utilisent des mots de passe combinés à des « passcodes » (codes à usage unique à 6 chiffres ou plus) envoyés sur l’e-mail de l’utilisateur ou générés sur son smartphone. Leur usage permet de vérifier l’identité de l’utilisateur et valider son accès à des comptes ou à des appareils spécifiques.
Il s’agit là d’une mesure de sécurité. Grâce à elle, même si un hacker vole votre mot de passe, il ne peut pas l’utiliser pour se connecter à votre compte sauf s’il a déjà accès à votre téléphone ou à votre compte. Si l’authentification multifacteur n’est pas une solution miracle pour se protéger contre les intrusions, les chercheurs estiment que son utilisation pourrait éviter jusqu’à 80 à 90 % des cyberattaques, grâce à l’ajout d’étapes supplémentaires au processus d’authentification.
Pourquoi l’authentification multifacteur est-elle importante ?
L’authentification multifacteur n’est pas vraiment considérée comme un outil de sécurité agréable à utiliser, mais elle est indispensable voire vitale pour prévenir les vols de mots de passe et les prises de contrôle de comptes via des attaques de phishing et d’ingénierie sociale.
Supposons par exemple qu’un cybercriminel parvienne à voler vos informations d’identification par le biais d’un e-mail de phishing ou en les achetant sur le Dark Web. Dans ce cas, l’authentification multifacteur l’empêche d’accéder à vos comptes en ligne s’il n’a pas accès aux autres facteurs d’authentification. L’authentification multifacteur constitue une couche supplémentaire de sécurité et réduit l’efficacité des attaques par vol d’identifiants de connexion.
Plus de 15 milliards d’identifiants de connexion volés sont disponibles sur le Dark Web. Le déploiement de l’authentification multifacteur est un moyen simple pour se protéger d’une partie des cyberattaques par vol d’identifiants les plus courantes.
Les limites de l’authentification multifacteur
Comme mentionné, l’authentification multifacteur n’est pas une solution miracle, car des attaquants rusés peuvent toujours trouver des moyens de contourner le mécanisme d’authentification s’ils ont les compétences et le temps nécessaires pour le faire.
Au début de l’année 2021, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a repéré une intrusion. D’après eux, les hackers avaient détourné les cookies de la session d’un utilisateur authentifié pour contourner le mécanisme d’authentification et accéder au compte de l’utilisateur.
On observe également une augmentation croissante des cyberattaques par échange de cartes SIM, au cours desquelles des cybercriminels se font passer pour une personne et téléphonent à son fournisseur de téléphonie. Ils incitent alors le service assistance de l’opérateur à transférer le numéro de la victime sur une carte SIM qu’ils contrôlent.
Il suffit alors aux attaquants d’essayer de se connecter à l’appareil de la victime à l’aide des codes d’accès à usage unique envoyés directement sur son appareil. Ces attaques sont en hausse, à tel point qu’en 2021, le FBI a reçu 1 611 plaintes pour échange de cartes SIM, contre 320 entre janvier 2018 et décembre 2020.
Par conséquent, lors de la mise en place de l’authentification multifacteur, il faut toujours garder à l’esprit que cette méthode n’est pas infaillible. Le mieux est de la combiner avec d’autres bonnes pratiques de sécurité pour réduire les risques d’intrusions.
5 bonnes pratiques de cybersécurité à combiner avec l’authentification multifacteur
Si vous souhaitez obtenir les meilleurs résultats possibles lorsque vous utilisez l’authentification multifacteur, il existe des actions de sécurité simples que vous pouvez déployer en parallèle pour réduire les risques. En voici 5.
1. Utilisez des outils de simulation de phishing
L’utilisation d’outils de simulation de phishing apprendra aux employés à repérer les e-mails frauduleux et les arnaques par phishing, afin qu’ils ne soient pas amenés à divulguer des informations personnelles.
2. Mettez en place une formation en sensibilisation à la cybersécurité
Déployez une formation en sensibilisation à la sécurité pour informer les employés sur l’importance d’activer l’authentification multifacteur sur leurs appareils. Cette stratégie permet également de garder les menaces de phishing et d’ingénierie sociale bien présentes à l’esprit des utilisateurs.
3. Communiquez régulièrement sur les nouvelles menaces
Diffusez régulièrement aux employés des campagnes de communication sur les nouvelles menaces de cybersécurité et les tentatives de phishing, en particulier s’ils contournent l’authentification multifacteur. Informez-les sur les meilleures pratiques comme la création de mots de passe robustes et l’utilisation d’un VPN.
4. Définissez des règles d’accès au réseau
Établissez des règles d’accès au réseau qui limitent l’utilisation des appareils personnels et le partage d’informations en dehors de votre réseau d’entreprise, de sorte que si un hacker compromet un appareil, il n’aura accès qu’à une petite portion d’informations.
5. Mettez à jour l’ensemble de l’infrastructure
Assurez-vous que toutes les applications, les systèmes d’exploitation, les outils réseau et les logiciels internes sont à jour, et que les terminaux sont protégés par des logiciels antimalware et antispam, afin que les attaquants n’aient pas de points d’entrée concrets dans l’environnement.
En résumé
Les vols d’identifiants atteignant des sommets, la mise en œuvre de l’authentification multifacteur est essentielle pour protéger vos utilisateurs et rendre plus difficile l’accès aux données de votre organisation pour des personnes non autorisées.
Bien qu’elle ne soit pas totalement infaillible, l’authentification multifacteur empêchera la plupart des attaques de mots de passe visant les comptes en ligne des utilisateurs et vous protégera si un employé est victime d’une attaque de phishing et divulgue son mot de passe à un individu malveillant.
Vous voulez savoir comment utiliser la formation en sensibilisation à la cybersécurité pour promouvoir l’authentification multifacteur dans votre organisation ?
Voyez la plateforme de sensibilisation à la sécurité en action!