L’authentification à double facteur devient primordiale au fil des années afin de sécuriser efficacement nos comptes. Emails, comptes bancaires, réseaux sociaux, boutiques en ligne, services cloud, notre environnement numérique prend de l’ampleur chaque jour et nos données personnelles et professionnelles y sont placées.

Fin 2016, Yahoo a révélé avoir découvert une deuxième fuite de données (datant d’août 2013) exposant plus d’un milliard de comptes utilisateur. Il s’agit d’une fuite distincte de celle annoncée en septembre 2016, qui avait été très médiatisée et minutieusement examinée, après avoir exposé plus de 500 millions de comptes utilisateur. Ces deux violations de données sont survenues dans des circonstances presque identiques et ont potentiellement affecté 1,5 milliard d’utilisateurs à elles deux.

Rappelons nous notamment que l’année dernière, des centaines de millions de comptes LinkedIn, MySpace et Tumblr, hackés en 2012-2013, se vendaient dans les souterrains du dark Web.

Les cybercriminels peuvent trouver deux sources pour ces données, soit des vols massifs de base chez les fournisseurs, soit des vols progressifs en utilisant des virus déployés, qui vont dérober les mots de passe des utilisateurs qui tentent de se connecter. Il semblerait que des incidents similaires aient lieu presque tous les jours et que personne ne soit à l’abri. Les interrogations passent de « Comment éviter qu’on pirate mes données ? » à « Comment me protéger pour minimiser les dommages ? ».

Changer ses comportements face aux choix de mots de passe

D’après l’étude de Verizon sur la violation des données de 2016, 63 % des violations confirmées impliquent l’utilisation de mots de passe par défaut, trop faibles ou volés. L’impact d’une fuite de données est aggravé par le fait que les utilisateurs ont souvent des mots de passe similaires voire identiques pour différents comptes en ligne, comme Yahoo, iTunes, Facebook, Twitter, et même pour leurs services bancaires en ligne, simplement par commodité. C’est finalement très humain : éviter tout ce qui perturbe notre activité et réutiliser partout le même mot de passe que nous connaissons par cœur.

Pour toute violation de données, même si le hacker n’arrive à obtenir que des noms utilisateur et mots de passe dans cette instance, ces informations, ajoutées à des tactiques d’ingénierie sociale, peuvent facilement être utilisées pour accéder à d’autres identités en ligne bien plus sensibles à travers l’activité des utilisateurs sur d’autres services en ligne.

En théorie, les personnes et les entreprises peuvent facilement se protéger face à cette menace. Les utilisateurs doivent accepter de mettre de côté leur commodité en échange d’une certaine sécurité en cessant d’utiliser les mêmes mots de passe pour leurs comptes en ligne. Cela s’applique aussi à la pratique trop courante qui consiste à autoriser un site Web à enregistrer un mot de passe. Saisir votre mot de passe à chaque fois est moins pratique, mais permet d’augmenter grandement la sécurité. Si vous utilisez encore votre vieux mot de passe Facebook sur votre Gmail et LinkedIn, arrêtez tout de suite la lecture de cet article et changez-le immédiatement.

Toutefois, les utilisateurs doivent se montrer plus exigeants envers leur organisation, ainsi qu’envers les autres organisations auxquelles ils confient leurs données personnelles. Une solution consiste à savoir comment sont sécurisées les données et à exiger d’utiliser directement l’authentification à double facteur, ce qui ajoute une étape supplémentaire à votre procédure de connexion de base.

Deux étapes d’identification pour plus de sécurité

L’authentification à double facteur permet de s’assurer avec plus de certitude que vous êtes bien celui que vous prétendez être lors de la connexion. Le mot de passe (premier facteur) est quelque chose que vous savez, tandis que le deuxième facteur est quelque chose que vous avez, un téléphone, une clé USB, ou que vous êtes, une empreinte digitale ou vocale. Vous utilisez déjà cette méthode depuis longtemps avec les distributeurs, où vous disposez à la fois de votre code secret ET de votre carte bancaire pour retirer des sous.

Le type d’authentification à double facteur le plus courant et le plus facile à implémenter est le mot de passe à usage unique (OTP). Avec ce système, après avoir saisi votre mot de passe, la ressource à laquelle vous essayez d’accéder vous invite à entrer le deuxième facteur, à savoir un numéro aléatoire à six ou huit chiffres qui est généré avec un « token », matériel ou logiciel dont vous disposez. L’ajout du numéro aléatoire fait que votre mot de passe est à usage unique. Il est ainsi bien plus difficile de pirater le compte plus tard. Même si le hacker connaît le nom d’utilisateur et le mot de passe d’accès, il ne peut pas se connecter sans la séquence générée par le token logiciel ou matériel, qui est en possession physique de l’utilisateur.

Du côté des organisations (qui sont la cible des violations de données), des changements radicaux sont nécessaires. Ces fuites ont un effet désastreux tant sur la réputation de l’entreprise que sur ses résultats financiers.

Prendre les bonnes mesures

En examinant de plus près une fuite, nous constatons que les hackers utilisent souvent des mots de passe compromis pour obtenir un premier accès. Ensuite, ils utilisent des techniques permettant d’élever leur niveau de privilèges jusqu’à disposer d’informations d’identification d’administrateur permettant d’accéder aux données sensibles qu’ils ciblent. Plus vous contrôlez les connexions (via une authentification à double facteur) et surveillez les comptes ayant des privilèges, plus vous atténuez les risques et réduisez la surface d’exposition. Il est donc essentiel de supprimer le partage des comptes ayant des privilèges, de surveiller l’utilisation de ces informations d’identification par les administrateurs et d’implémenter un modèle du moindre privilège, où les administrateurs disposent uniquement des droits d’accès nécessaires pour remplir leurs fonctions, ni plus ni moins.

Même si nous ne disposons pas de suffisamment d’informations sur ces exemples de fuite de données pour déterminer si l’authentification à double facteur aurait pu éviter cette situation ou si un manquement dans la gestion des comptes ayant des privilèges était en jeu, il n’y a aucun doute sur le fait que ces technologies et pratiques peuvent s’avérer d’une aide précieuse en cas de violations de données similaires.

__________
Hicham Bouali est ingénieur en solutions IAM chez One Identity