S'attaquer au problème des mots de passe avec FIDO2 et WebAuthn

Atteinte à la protection des données, vols de mots de passe, phishing, les attaques se multiplient et il est plus important que jamais pour les entreprises de s'assurer que les comptes de leurs employés sont correctement protégés. Les mots de passe ne sont plus la solution, dès lors que faire ?

Avec des annonces désormais quotidiennes d'atteintes à la protection des données et de vol de mots de passe, il est plus important que jamais pour les entreprises de s'assurer que les comptes de leurs employés sont correctement protégés – d’autant que le vol de noms d'utilisateur, de mots de passe (y compris à usage unique) ou de numéros de carte de crédit sont souvent la cible des criminels via des attaques de phishing. 

Les conséquences de telles attaques peuvent être désastreuses - non seulement pour la personne concernée, mais aussi pour l'entreprise pour laquelle elle travaille. Par exemple, les pirates informatiques peuvent cibler un employé pour dérober des secrets d'affaires ou ils peuvent contraindre des cadres supérieurs ayant autorité à effectuer des dépenses, à transférer de l'argent par virement électronique. Nombre de ces attaques de phishing sont conçues pour ouvrir une porte par laquelle des vols de données beaucoup plus importants peuvent être perpétrés, laissant l'organisation vulnérable aux amendes réglementaires, à la perte d'activité et aux atteintes à sa réputation.

Les mots de passe ne sont plus la solution. Bien qu'ils soient utilisés aujourd'hui par la plupart des particuliers et des entreprises, les noms d'utilisateur et les mots de passe sont généralement stockés sur des serveurs centralisés, ce qui signifie qu'ils peuvent facilement être piratés à mesure que les cybercriminels s'organisent et se perfectionnent. Sur le plan pratique, les mots de passe sont forcément faillibles. Des études récentes ont révélé que les employés réutilisent en moyenne seulement cinq mots de passe pour leurs comptes professionnels et personnels. Cela signifie qu'une fois qu'un hacker met la main sur ces précieuses identifiants, il peut débloquer plusieurs comptes.

Mais si les mots de passe ne suffisent plus, que doit-on faire désormais ?

Les limites de l'authentification à deux facteurs

L'authentification à deux facteurs (2FA) est de plus en plus reconnue comme la méthode de choix pour renforcer la protection du compte au-delà du nom d'utilisateur et du mot de passe. En bref, elle exige que les individus utilisent une combinaison de deux facteurs de sécurité différents. Il peut s'agir de quelque chose que vous possédez (clé matérielle, téléphone), que vous connaissez (mots de passe, code PIN, questions fondées sur les connaissances) ou que vous êtes, par exemple : visage, voix, empreintes digitales (capteurs biométriques).

Bien que la 2FA présente des avantages notables sur le plan de la sécurité, il existe des freins à l'adoption. Certaines des méthodes 2FA actuelles peuvent se révéler fastidieuses pour les utilisateurs ou sont toujours vulnérables aux attaques de vol d'identité par phishing. De plus, l’'authentification à deux facteurs ne débarrasse toujours pas des mots de passe. N'oubliez pas que ces facteurs s'ajoutent à un nom d'utilisateur et à un mot de passe. C'est ce niveau de complexité qui ralentit l'adoption à grande échelle.

Compte tenu des lacunes des méthodes 2FA existantes, les leaders de l'industrie commencent à redéfinir les paramètres de l'authentification moderne avec de nouvelles normes ouvertes qui ouvrent la voie.  Celles-ci offrent une expérience utilisateur simple, une accessibilité étendue, une adoption facile à l’échelle mondiale, une forte protection contre l'hameçonnage et, surtout… des connexions sans mot de passe.

Construire le cadre pour l'authentification sans mot de passe

WebAuthn, qui a été lancé plus tôt cette année, est largement considéré comme le premier standard mondial pour l'authentification Web. WebAuthn est un composant clé de la norme d'authentification FIDO2 (qui est basée sur une forme unique de cryptographie à clé publique) et offre des niveaux de confort et de sécurité considérablement améliorés.  Il est en passe d'être supporté par toutes les plates-formes et tous les navigateurs, marquant une étape importante dans l'histoire de la sécurité Internet.

WebAuthn est une API standard ouverte qui offre aux utilisateurs un choix d'authentificateurs puissants basés sur leurs préférences individuelles, qui peuvent inclure des éléments tels que des clés de sécurité, des capteurs biométriques intégrés ou une combinaison des deux. Pour les fournisseurs de services, WebAuthn offre la possibilité de prendre en charge une authentification forte à facteur unique, à deux facteurs ou à plusieurs facteurs. Lorsqu'il est sélectionné, un service peut choisir de remplacer les noms d'utilisateur et les mots de passe standard par une forme d'authentification à facteur unique beaucoup plus forte. Grâce à ce choix élargi de flux d'authentification, le bénéfice supplémentaire de la personnalisation existe et les services ont la possibilité de choisir le modèle d'authentification qui convient le mieux à leurs cas d'utilisation et à leurs clients. Par conséquent, les entreprises peuvent adopter une approche de la sécurité basée sur le risque en choisissant d'assouplir les contrôles d'authentification pour les environnements à faible risque et de renforcer les contrôles d'authentification pour les environnements à haut risque.

Étant donné qu'une grande partie de notre vie personnelle et professionnelle se déroule maintenant en ligne, le besoin d'une sécurité accrue n'a jamais été aussi évident. Nous assistons à un changement de paradigme, et avec les utilisateurs et l'industrie prêts à adopter une authentification résiliente, de haute intégrité et facile à utiliser, les perspectives semblent prometteuses pour un avenir sans mot de passe.