Dans quelle mesure le « facteur humain » dicte-t-il le choix des solutions d’authentification multifacteur ? On peut se poser la question au regard du commentaire qu’un membre de la Microsoft Tech Community a publié en réaction à un post d’Alex Weinert.
Ce dernier dirige l’équipe Identity Security au sein du groupe américain. Dans sa démarche d’évangélisation, il avait d’abord axé sa communication sur la faiblesse des mots de passe. Avant de commencer à hiérarchiser les méthodes d’authentification forte. Jusqu’à en appeler, cette semaine, à abandonner les SMS et les appels vocaux.
Son principal argument : la fragilité du canal de transport des informations. En l’occurrence, le réseau 2G, dont on reconnaît aujourd’hui les limites en matière de chiffrement. Autre écueil : l’implication d’opérateurs télécoms. Lesquels peuvent eux-mêmes représenter un point faible, en plus d’introduire de l’opacité pour les fournisseurs de services d’authentification multifacteur.
De manière générale, explique Alex Weinert, plus les textos s’implantent dans les stratégies d’authentification forte, plus l’intérêt des pirates informatiques grandit. Les outils open source à leur disposition ne manquent pas, tout comme les services (femtocells, SS7, radios logicielles…).
« Pour la plupart des utilisateurs, nous pensons que la bonne réponse réside dans les applications d’authentification », résume Alex Weinert. Ces dernières, en plus de reposer sur des réseaux réputés plus sécurisés, offrent un potentiel de contextualisation des accès.
L’intéressé ne nie pas qu’il existe des méthodes encore plus sûres. Aussi bien face aux risques de prise de contrôle du canal de communication que de phishing en temps réel. En particulier, les clés de sécurité physiques. Même si de nombreuses applications restent incompatibles.
Alors le SMS, bon à jeter aux orties ? Pas pour l’auteur du commentaire sus-évoqué. « Ce qui me fait peur avec [les applications d’authentification], c’est que beaucoup de mes utilisateurs ne sont pas attentifs, explique-t-il. Ils approuveraient toute demande. Bien trop semblent prédisposés à cliquer sur « Oui » ou sur « Autoriser » sans comprendre (ou sans même se donner la peine de lire) ce sur quoi ils cliquent. Au moins, avec les SMS, les tentatives frauduleuses de connexion ne remontent pas jusqu’à l’attaquant », conclut-il.
Photo d’illustration © twobee – Fotolia
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…