Dépasser le concept des identifiants sécurisés par mot de passe avec Fido 2.0

Les équipes de sécurité ont tout intérêt à mettre en œuvre de nouvelles approches en matière d'identifiants, telles que les standards Fido 2.0, dès la mise en place de leurs réseaux.

La sécurité numérique est plus que jamais cruciale pourtant le sempiternel duo login/mot de passe perdure dans les entreprises bien que sa vulnérabilité ne soit plus à prouver. Dans ce contexte, Fido 2.0 (Fast IDentity Online ou Identification rapide en ligne) repense les modes d’authentification en combinant un ensemble de technologies qui renforcent le processus de connexion aux services en ligne.

Les systèmes d’authentification classiques exposent de plus en plus les entreprises à des cybermenaces sophistiquées basées sur l'IA. L'augmentation des attaques contre les entreprises peut être largement attribuée à ces identifiants mal sécurisés. Les équipes de sécurité ont donc tout intérêt à mettre en œuvre de nouvelles approches en matière d'identifiants, telles que les standards FIDO 2.0, dès la mise en place de leurs réseaux. D’ailleurs, selon une recherche FIDO Alliance et LastPass, 92% des entreprises prévoient de passer au passwordless et 95% l’expérimentent déjà.

Changer le statu quo en matière d'authentification

Malgré la diversité des méthodes d'authentification, l'utilisation courante de codes alphanumériques pour l'ouverture de session continue de compromettre la sécurité des entreprises. En effet, 61 % des violations concernent des mots de passe faibles ou des informations d’identification compromises(1). Ces attaques visent également les services publics : la moitié des départements français et douze régions ont été victimes d’une cyberattaque en dix-huit mois(2).

Par le passé, ces attaques étaient menées avec succès en identifiant une vulnérabilité au sein d'un système et en l'exploitant à l'aide de tactiques appropriées. Les méthodes d’attaques ont évolué et, aujourd'hui, les entreprises sont confrontées à deux menaces principales : le phishing (attaques par hameçonnage) et la compromission des appareils.

Attaques par phishing

La récente attaque de Microsoft (des mails de cadres de Microsoft ont été piratés par un groupe de hackers russe) en dit long sur les conséquences néfastes de l'utilisation d'authentifications traditionnelles. La compromission d'un seul compte, grâce à des tentatives d'hameçonnage réussies, a permis aux hackers de mettre en danger des centaines d'organisations. Cette attaque aurait pourtant pu être évitée si l'entreprise avait suivi la norme FIDO2, qu'elle propose sur ses produits et qu'elle exige même sur son site GitHub.

L'IA a considérablement augmenté et affiné la précision des attaques de phishing. Alors qu’auparavant, ces attaques consistaient à envoyer des emails mal rédigés à de nombreux utilisateurs, aujourd'hui, elles associent des messages conçus par l'IA à des notifications push par SMS et à d'autres formes de communication apparemment anodines.

Cela a permis à des acteurs de la menace, dénués de compétences techniques, de s’appuyer sur des technologies avancées pour exploiter les vulnérabilités. Une méthode fréquente consiste à envoyer aux employés un email semblant provenir du service informatique de l’entreprise et à leur demander de cliquer sur un lien "changer de mot de passe". Une fois entré, les hackers ont un accès total à tous les documents et réseaux qu’utilisent l'utilisateur floué. Cette évolution des attaques de phishing ne représente pas seulement un changement technologique, mais aussi un risque opérationnel critique pour les entreprises.

La mise en œuvre de Fido2 élimine le risque d'une attaque SIM Swap, d'attaques IdP MITM Phishing, de Push bombs, d'attaques OTP MITM, de craquage de mots de passe et de perte/réutilisation d'identifiants.

Compromission des appareils

Les entreprises qui autorisent le télétravail ou le recours au BYOD sont confrontées à appliquer une couche de sécurité supplémentaire sur ces appareils non répertoriés. Les services informatiques se sont toujours efforcés d'identifier et d'approuver tous les appareils d'un réseau, en s'appuyant à nouveau sur des noms d'utilisateur, des mots de passe et éventuellement d'autres techniques d'authentification alphanumérique. Le danger réside dans la possibilité que ces méthodes d'authentification à deux facteurs soient également compromises, en même temps que les informations d'identification de l'utilisateur.

Et même si l'authentification unique a gagné en popularité, lorsqu’un utilisateur est compromis, son profil, souvent associé à tous les outils qu’il utilise, est exploité par les hackers pour continuer à s’introduire dans le système. Il en est de même avec les SSO approuvés par l’entreprise dans un environnement sécurisé, quelle que soit la sécurité de ces API et de ces authentifications ; si la porte d'entrée est toujours sécurisée par un nom d'utilisateur, un mot de passe et une authentification alphanumérique, le risque est toujours présent. Paradoxalement, une grande partie des équipements mis à la disposition des employés par les entreprises sont déjà dotés de capacités biométriques sécurisées ou de clé d’authentification. La compromission des appareils n'est donc pas seulement un défi technique, mais aussi une vulnérabilité opérationnelle importante.

FIDO 2.0 - Renforcer l'authentification et les normes

Cette incapacité à faire évoluer au même rythme les identifiants de connexion et les récentes technologies est reconnue par Google, Microsoft, Amazon, Apple, ... Pour y remédier et empêcher les attaques par identifiant, l'alliance FIDO a créé de nouvelles normes qui s'appuient sur les solutions déjà existantes telle que la puce de sécurité utilisée pour authentifier les utilisateurs et les appareils qu’ils utilisent.

Dans les entreprises, il existe d’ores et déjà des appareils conformes à la norme Fast IDentity Online 2.0 (FIDO) tels les dispositifs à reconnaissance faciale, d’empreintes digitales ou de tokens physiques (carte ou clé NFC). À l'instar de l'authentification avancée des principaux smartphones, FIDO 2.0 impose une vérification réciproque par les organisations sur la base d'approbations et d'informations d'identification établies. En ajoutant cette couche de protection, les combinaisons de noms d'utilisateur et de mots de passe ne sont plus qu'une partie d'un processus d'authentification plus complexe et constituent un obstacle majeur pour les hackers.

Sécuriser les endpoints et le cloud

Alors que le phishing continue de cibler tous les utilisateurs, le Graal est désormais de s’introduire dans le SI des entreprises. Tous les endpoints en entreprise (même parfois les plus anciens) étant déjà équipés des fonctionnalités nécessaires à la mise en place de Fido2.0, il devient urgent d’adopter ces normes pour prévenir des attaques potentielles qui pourraient coûter des millions d’euros. L'intégration des normes Fido2.0 n'est pas seulement une mise à jour technologique ; c'est un impératif stratégique pour renforcer les défenses numériques dans un monde de plus en plus interconnecté.

Pourquoi Fido2 est-il plus sûr que le duo login/mot de passe ?

Fido2.0 s'appuie sur un processus d'authentification plus solide. Concrètement, chaque appareil ou jeton matériel doit être enregistré individuellement pour permettre l'authentification Fido2.0 - cela se fait en créant des clés publiques/privées. Dans le cas d'un iPhone associé à un fournisseur de gestion sécurisée des identités, l'interface utilisateur guidera l'utilisateur tout au long du processus d'inscription.

Le fonctionnement est simple : la partie clé publique est enregistrée dans le service web et attribuée à l'identité de l'utilisateur. Du côté de l'appareil de l'utilisateur, la clé privée est stockée dans le téléphone ou l'ordinateur portable. Lors de l'authentification, le service web demande à l'utilisateur de fournir la "clé de passage" (la clé privée stockée dans le téléphone ou l'ordinateur portable), puis de déverrouiller l'enclave sécurisée de l'appareil, ce qui permet d'utiliser la clé privée pour finaliser l’authentification. La clé privée ne quitte jamais l'appareil et est beaucoup plus sûre que le traditionnel login/mot de passe.

Même si les logins et mots de passe continueront à être utilisés, pendant un certain temps, dans le cadre d’une l'authentification Fido2.0, ils ne pourront pas l’être sans une authentification défi/réponse via la clé privée. De fait, si le login/mot de passe est perdu ou volé, il n'a que peu de valeur car il ne peut plus être utilisé seul lors de l'authentification.

(1) Source : Security Magazine

(2) Source : ANSSI - Synthèse de la menace ciblant les collectivités territoriales