Pour gérer vos consentements :

Le « facteur humain », plafond de verre de l’authentification forte ?

Dans quelle mesure le « facteur humain » dicte-t-il le choix des solutions d’authentification multifacteur ? On peut se poser la question au regard du commentaire qu’un membre de la Microsoft Tech Community a publié en réaction à un post d’Alex Weinert.

Ce dernier dirige l’équipe Identity Security au sein du groupe américain. Dans sa démarche d’évangélisation, il avait d’abord axé sa communication sur la faiblesse des mots de passe. Avant de commencer à hiérarchiser les méthodes d’authentification forte. Jusqu’à en appeler, cette semaine, à abandonner les SMS et les appels vocaux.

Son principal argument : la fragilité du canal de transport des informations. En l’occurrence, le réseau 2G, dont on reconnaît aujourd’hui les limites en matière de chiffrement. Autre écueil : l’implication d’opérateurs télécoms. Lesquels peuvent eux-mêmes représenter un point faible, en plus d’introduire de l’opacité pour les fournisseurs de services d’authentification multifacteur.

Réfléchir avant d’agir

De manière générale, explique Alex Weinert, plus les textos s’implantent dans les stratégies d’authentification forte, plus l’intérêt des pirates informatiques grandit. Les outils open source à leur disposition ne manquent pas, tout comme les services (femtocells, SS7, radios logicielles…).

« Pour la plupart des utilisateurs, nous pensons que la bonne réponse réside dans les applications d’authentification », résume Alex Weinert. Ces dernières, en plus de reposer sur des réseaux réputés plus sécurisés, offrent un potentiel de contextualisation des accès.
L’intéressé ne nie pas qu’il existe des méthodes encore plus sûres. Aussi bien face aux risques de prise de contrôle du canal de communication que de phishing en temps réel. En particulier, les clés de sécurité physiques. Même si de nombreuses applications restent incompatibles.

Alors le SMS, bon à jeter aux orties ? Pas pour l’auteur du commentaire sus-évoqué. « Ce qui me fait peur avec [les applications d’authentification], c’est que beaucoup de mes utilisateurs ne sont pas attentifs, explique-t-il. Ils approuveraient toute demande. Bien trop semblent prédisposés à cliquer sur « Oui » ou sur « Autoriser » sans comprendre (ou sans même se donner la peine de lire) ce sur quoi ils cliquent. Au moins, avec les SMS, les tentatives frauduleuses de connexion ne remontent pas jusqu’à l’attaquant », conclut-il.

Photo d’illustration © twobee – Fotolia

Recent Posts

La France a-t-elle les moyens de mesurer la menace ransomware ?

La France a-t-elle les outils pour évaluer la menace ransomware ? Éléments de réponse sous…

8 heures ago

Antitrust : Nextcloud rallie l’écosystème français contre Microsoft

Une dizaine d'entreprises françaises se liguent à la plainte que Nextcloud a déposée en début…

12 heures ago

Collaboratif : Jamespot étoffe son portefeuille avec Diapazone

L'éditeur logiciel français Jamespot ajoute la brique d'orchestration de réunions Diapazone à son offre collaborative…

3 jours ago

Gestion des secrets : pourquoi les équipes DevOps sont à la peine

Les pratiques DevOps de gestion des secrets d'une majorité d'organisations ne sont pas normalisées et…

3 jours ago

Visioconférence : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la visioconférence et qu'attendre de leurs offres ? Éléments…

3 jours ago

Fargate : une nouvelle étape dans la transition Arm d’AWS

Le moteur serverless Fargate vient allonger la liste des services AWS exploitables avec les instances…

3 jours ago