Pourquoi ?
En 2020, plus de 97 % des attaques sur les comptes en ligne des plus grands fournisseurs reposent sur la fragilité des mots de passe, soit via des mots de passe trop faciles à trouver (123456, password, azerty, qwerty, iloveyou, …) soit via des mots de passe piratés.
A ce sujet, allez faire un tour du côté de ce site internet par curiosité, ça fait froid dans le dos…
Ajoutons à cela que depuis le grand confinement du printemps les cyber-attaques ont explosé en nombre partout sur Internet. Et pour cause, avec le déploiement massif du télétravail “à l’arrache” (non, ne riez pas, nous le mesurons sur le terrain dans nos missions tous les jours !), il est plus facile encore pour les pirates du monde entier de gagner de l’argent.
Une solution existe et elle est très simple à activer
Cette solution existe pourtant depuis longtemps. Vous la connaissez sans doute de par l’accès en ligne à votre banque et parce qu’elle vous est souvent conseillée par les géants du web. Il s’agit de la double authentification aussi appelée “authentification multifactorielle”, “validation en deux étapes” chez Google et Apple ou encore “authentification à deux facteurs” chez Facebook. Vous pouvez aussi la retrouver sous les acronymes tels que MFA, F2A, 2FA. Même nos enfants savent l’utiliser sur leur compte Discord !
Mais de quoi s’agit-il exactement ?
D’après Wikipédia, la vérification en deux étapes permet d’assurer l’authenticité de la personne derrière un compte en autorisant seulement l’accès à ce dernier après avoir présenté deux preuves d’identité distinctes. En général, un code à usage unique doit être renseigné en plus du mot de passe habituel de l’utilisateur. S’il n’est pas correct, l’authentification échoue même si le mot de passe renseigné correspond à celui relié au compte.
Le moyen le plus simple de pénétrer le Système d’Information d’une organisation c’est d’avoir les clés. C’est à dire un identifiant et son mot de passe. Et si cet identifiant a des privilèges d’administration de tout ou partie des systèmes alors, c’est le jackpot pour l’attaquant ! Comme vu plus haut, le mot de passe reste un élément fragile surtout s’il est simple et, que le même couple identifiant et mot de passe est utilisé sur plusieurs systèmes différents ou encore que vous êtes une cible pour une attaque importante (dirigeants, cadres supérieurs).
Maintenant, imaginez que vous deviez prouver votre identité avec un second moyen : un code reçu par SMS, une empreinte digitale lue par votre smartphone, un code unique généré par une application ou encore répondre à une question secrète dont vous êtes le seul à connaître la réponse. Vous comprenez maintenant la difficulté pour l’attaquant. D’autant plus s’il utilise des mécanismes automatisés qui “planteront” sur le second élément. Bingo, vous êtes protégé ! Tout du moins beaucoup mieux qu’avant.
Alors, comment l’appliquer dans une organisation comme la vôtre ?
C’est beaucoup plus simple qu’il n’y paraît. Tout d’abord, la quasi totalité des logiciels modernes permettent d’activer une authentification multi-facteurs. C’est le cas des solutions de travail collaboratif les plus répandues comme Google G Suite et Microsoft 365 ou les médias sociaux comme Facebook et Twitter. Et c’est aussi le cas pour une multitude d’autres outils disponibles en ligne y-compris des solutions Open Source telles que NextCloud ou Bitwarden par exemple.
Au niveau des outils de l’organisation tels que la messagerie collaborative ou le VPN pour l’accès aux ressources privées, le déploiement d’une solution de double authentification doit respecter quelques critères de bon sens : ne pas être trop coûteuse à l’achat, en déploiement et en maintenance. Et elle doit rester très simple à utiliser au quotidien.
Une étude rapide devra permettre de valider la ou les bonnes solutions, les coûts et les méthodes de déploiement puis il faut y aller sans plus attendre. Il en va de la sécurité de vos actifs immatériels et de votre crédibilité après de vos clients et partenaires.
A l’heure qu’il est, les cybermenaces sur nos systèmes n’ont jamais été aussi importantes et nous savons que la quasi totalité de ces attaques reposent sur des tentatives d’intrusion via des comptes existants. Le moyen le plus rapide et le plus simple pour s’en prémunir c’est l’authentification multifactorielle, à minima par SMS et si vous le pouvez, avec un générateur de codes à usage unique, une clé USB physique ou encore de la biométrie.
Naviguez sereinement et en toute sécurité grâce au modèle « Zéro Trust”
Si vous déployez ces solutions sur l’ensemble de vos applications vous aurez alors fait un grand pas vers le modèle de sécurité “Zero Trust”, ce nouveau paradigme en sécurité qui part du principe qu’on ne peut plus faire confiance à priori. Ou, dit autrement, que toute tentative d’accès à vos données doit être considérée comme une menace potentielle jusqu’à preuve du contraire.