D’après un rapport de Twitter sur la sécurité des comptes, seuls 2,3 % des utilisateurs actifs de Twitter utilisent l’authentification à deux facteurs pour sécuriser leurs comptes. Parmi eux, 79,6 % utilisent le SMS – une méthode d’authentification qui, bien qu’elle soit meilleure que les mots de passe seuls, est reconnue depuis longtemps comme moins efficace contre les menaces courantes telles que le phishing.

La faible utilisation de l’authentification à deux facteurs et la popularité continue des SMS pour l’authentification à deux facteurs soulignent quelque chose d’essentiel : nous ne parvenons pas à éduquer efficacement les utilisateurs sur le risque croissant et les impacts des piratages de comptes. Par ailleurs, on ne se rend pas forcément compte que l’on peut atténuer ces menaces avec des solutions facilement disponibles et faciles à utiliser – comme les données biométriques sur les téléphones ou les ordinateurs portables que le grand public utilise probablement déjà pour déverrouiller leurs appareils.

Ce manque de sensibilisation est l’un des principaux obstacles à la protection des données personnelles et à l’éradication de l’énorme problème mondial des violations de données.

Voici comment les fournisseurs de services en ligne peuvent alerter les utilisateurs – et quelles solutions s’offrent à eux :

S’assurer que ses clients comprennent qu’une violation peut (et va probablement) leur arriver s’ils ne sécurisent pas leurs comptes.

Selon le rapport Verizon Data Breach Investigations Report de 2021, il y a eu 5 258 violations de données confirmées en 2020. 36 % étaient dues au phishing. 25 % résultaient de l’utilisation par les fraudeurs d’informations d’identification précédemment volées (comme des mots de passe). Une enquête de l’Alliance FIDO sur la sécurité des réseaux sociaux montre que 45 % des personnes interrogées ont été victimes d’un piratage sur les médias sociaux.

En plus de confirmer les données de Twitter qui montrent une faible adoption de l’authentification multi-facteurs, ces chiffres soulignent que les consommateurs ne comprennent pas la gravité du problème des violations de données ou pensent que cela ne leur arrivera pas. Mais il y a de fortes chances que si.

Informer ses utilisateurs des méthodes d’authentification disponibles.

De nombreuses organisations proposent plusieurs méthodes d’authentification forte, notamment les mots de passe uniques par SMS (OTP), la biométrie, les applications d’authentification ou encore les clés de sécurité. Néanmoins, il ne faut pas tenir pour acquis que les utilisateurs savent ce que sont ces technologies ou comment elles fonctionnent. Une FAQ ou d’autres explications simples peuvent aider les consommateurs à comprendre les options qui s’offrent à eux, en les guidant vers un système d’authentification unique basé sur un dispositif.

Aider les utilisateurs à évaluer leur risque pour déterminer comment sécuriser leur compte.

Toutes les méthodes d’authentification ne sont pas égales. L’authentification par SMS répond aux critères d’utilisation de plusieurs formes d’authentification, mais elle ne protège les comptes contre une attaque ciblée que dans 76 % des cas. Cela peut être suffisant pour certains utilisateurs dont les données ont peu de valeur, mais ceux disposant d’un accès administrateur, les personnalités publiques, les cadres de niveau C ou les personnes qui s’expriment publiquement (sur les réseaux sociaux ou lors d’événements, par exemple) sont plus susceptibles d’être la cible d’un cybercriminel et ont besoin d’une protection accrue. Les clés de sécurité offrent une sécurité maximale, protégeant les comptes contre une attaque ciblée dans 100 % des cas. En dotant les utilisateurs d’outils d’évaluation des risques et de connaissances sur ces méthodes, on peut contribuer grandement à ce qu’ils puissent se protéger correctement contre les menaces en ligne.

Faire en sorte que les utilisateurs puissent facilement activer l’authentification multifactorielle.

Le rapport de Twitter montre à quel point peu de personnes ont pris des mesures pour sécuriser leurs comptes, mais ce phénomène n’est pas propre à Twitter. D’après l’étude de l’Alliance FIDO, 31 % des personnes interrogées n’ont pas pris le temps ou ne savent pas comment protéger leurs comptes en ligne, même si des options sont disponibles. En tant que fournisseurs de services, la mise à disposition d’options d’authentification ne représente que la moitié de la bataille. L’autre moitié est d’amener les utilisateurs à les activer, et la seule façon d’y parvenir est de rendre les choses aussi simples que possible.

Les fournisseurs de services doivent prendre des mesures pour simplifier le processus pour les utilisateurs, par exemple en mettant les options d’authentification forte au premier plan lors de la création du compte – plutôt que de les caler au beau milieu des paramètres de sécurité. Ils doivent également communiquer avec les utilisateurs par le biais de plusieurs canaux pour leur indiquer où et comment activer l’authentification multifactorielle afin d’accélérer le processus de configuration. Il existe également des bonnes pratiques pour aider les fournisseurs de services à encourager leurs clients à utiliser l’authentification forte afin qu’ils puissent obtenir la sécurité dont ils ont besoin sans sacrifier la convivialité.

En résumé, les consommateurs doivent être informés des risques et des conséquences de la fraude, ainsi que des solutions disponibles pour sécuriser leurs comptes en ligne – et les fournisseurs de services en ligne sont particulièrement bien placés pour être des messagers efficaces dans cette quête collective d’élimination de la fraude en ligne. On peut vite passer de sensibiliser à effrayer les clients, mais l’adoption de meilleures pratiques d’authentification profite autant aux consommateurs qu’aux fournisseurs de services, car les seules personnes qui profitent des violations de données sont les pirates informatiques.
___________________

Par Andrew Shikiar, Executive Director de l’Alliance FIDO