websights Authentification par code QR : renforcer la sécurité sans mot de passe MFA

Vous cherchez inwebo.com? Vous êtes au bon endroit ! Pour en savoir plus, lisez notre article de blog

Rejoignez-nous en personne lors des prochains salons et conférences de l'industrie.

Pourquoi la combinaison QR Code et Deeplink est la meilleure réponse aux attaques de push bombing

Face à l'évolution rapide du paysage de la cybersécurité, les organisations cherchent continuellement des moyens d'améliorer leurs processus d'authentification et de protéger les données sensibles. Fort de sa compréhension fine des besoins en sécurité des entreprises, TrustBuilder est heureux de dévoiler une mise à jour majeure de sa solution d’authentification forte (MFA) passwordless. Cette mise à jour introduit une méthode d'authentification, le scan de QR code, qui offre encore plus de confort et de sécurité aux utilisateurs. La lecture de QR code constitue notamment une mesure efficace contre les attaques de type « push bombing ». Dans cet article, nous explorerons en détail cette nouvelle fonctionnalité et les nombreux avantages qu'elle apporte aux organisations et à leurs utilisateurs finaux.

Code QR pour l'en-tête de l'article

Comment lutter contre le push bombing en bref

La philosophie de TrustBuilder lors de l'élaboration de solutions de cybersécurité a toujours été de combiner un très haut niveau de sécurité avec la plus grande compatibilité et accessibilité possibles. Cette proposition unique a été la pierre angulaire du succès d'inWebo MFA et les évolutions actuelles sous la marque TrustBuilder ne font pas exception.

  • Transformez votre poste de travail et/ou votre navigateur en un dispositif de confiance = grâce à ses tokens exclusifs Browser et Desktop, TrustBuilder veille à ce qu'un hacker ne puisse pas prendre le contrôle de votre compte même avec des informations d'identification volées.
  • La lecture du QR code fonctionne sur tous les appareils, avec ou sans appareil photo = L'authentification par scan du QR code permet de se débarrasser des notifications non sollicitées, elle est beaucoup plus sûre que le number matching et sa combinaison avec la technologie du deeplinking en fait un outil très facile à utiliser.

Qu'est-ce que le push bombing ?

Une attaque de type « push bombing » est une cyberattaque dans laquelle un attaquant envoie de manière répétée des notifications push à l'appareil d'un utilisateur, le submergeant ainsi d'un nombre excessif de notifications. Cette attaque vise à perturber l'expérience de l'utilisateur, à le détourner d'autres notifications légitimes et à obtenir sa validation par fatigue ou inadvertance. Les attaques de type « push bombing » peuvent être automatisées au moyen de scripts. Elles sont particulièrement efficaces contre les applications qui ne disposent pas de mécanismes de défense adéquats.

Qu'est-ce qui permet une attaque de type « push bombing » ?

  • Une opération initiée à partir d'un environnement inconnu

    L'acquisition d'une liste d'informations d'identification est une première étape, désormais facile, pour accéder au compte d'un utilisateur et initier une attaque de type « push bombing ». Si aucune vérification supplémentaire n'est effectuée, l'attaque peut être déclenchée à partir de n'importe quel navigateur.
  • Une opération déverrouillée d'une simple pression sur OK

    La mise en œuvre d’un système d'authentification à deux facteurs (2FA) uniquement à l'aide d'un identifiant, d'un mot de passe et d'un facteur de possession (appuyer sur OK) augmente l'impact de l'attaque de type « push bombing », car les utilisateurs finaux peuvent l'accepter par habitude.
  • Le manque de sensibilisation à la sécurité

    Le manque d'actions préventives pour aider les utilisateurs à développer les bons réflexes pour identifier les demandes d'authentification suspectes.

Lorsqu'ils cherchent à atténuer l'impact des attaques de type « Push Bombing », les clients doivent avoir en tête les exigences suivantes :

  • Obtenir le coût d'intégration le plus bas pour leur système informatique existant
  • Minimiser l'impact sur l'utilisateur final et l’ampleur des changements
  • Assurer le plus haut niveau de sécurité
  • Prendre en charge un large éventail d'applications

L'authentification par scan de QR code

La dernière mise à jour de TrustBuilder introduit l'authentification par scan de QR code comme nouvelle méthode au sein de sa solution MFA passwordless. Grâce à cette fonctionnalité, les utilisateurs peuvent désormais s'authentifier en scannant un QR code à l'aide de leur smartphone ou d'autres appareils compatibles. Cette approche innovante rationalise le processus d'authentification et garantit que l'utilisateur qui initie la demande est bien celui qui la valide grâce à la méthode de liaison des appareils.

Comment fonctionne l'authentification par QR code

Lorsqu'un utilisateur tente d'accéder à une ressource protégée, la solution MFA de TrustBuilder génère un QR code unique spécifique à cet utilisateur et à cette session. L'utilisateur scanne ensuite ce QR code à l'aide de l'application Trustbuilder Authenticator ou de l'application photo de son smartphone. Les informations scannées permettent à l'utilisateur d'approuver la demande d'authentification. Cette demande est alors validée, à condition bien sûr que l’appareil sur lequel la validation a lieu soit enrôlé et de confiance.

L’authentification par QR code améliorée par TrustBuilder

Bien sûr, l’authentification par scan de QR code est une technique qui existe depuis quelques années. Mais la version de TrustBuilder offre des avantages spécifiques en termes de sécurité et d'expérience utilisateur.

Sécurité très élevée

  • Protection contre l'ingénierie sociale
    • Les QR codes sont liés à un compte utilisateur et ne peuvent pas être utilisés sur d'autres appareils sans un appareil de confiance.
    • Étant donné que l'utilisateur final n'a pas à retaper les données (contrairement à d'autres méthodes telles que la correspondance de chiffres), les QR codes peuvent contenir des données complexes et longues (comme un identifiant de session) beaucoup plus difficiles à pirater qu'un code à deux chiffres.
    • Les QR codes ont une durée de validité courte afin d'éviter la génération en masse et l'envoi anticipé.
  • Réduction du nombre d'erreurs acceptées par les utilisateurs
    • Le QR code établit un lien entre le canal sur lequel la transaction a été initiée et le canal sur lequel elle est validée.
    • Il n'y a aucun moyen d'accéder à la transaction en cours sans les informations contenues dans le QR code et sans l'authentification du dispositif de confiance.

Meilleure expérience utilisateur

  • Élimine les notifications push non sollicitées
    • Les notifications push ont été remplacées par la lecture du QR code, permettant aux utilisateurs de visualiser la transaction à valider.
  • S’adapte aux habitudes des utilisateurs
    • De nos jours, les utilisateurs scannent un QR code pour obtenir le menu d'un restaurant, un itinéraire, des informations sur un produit ou pour télécharger une application sur l'App Store ou Google Play. Cette opération est devenue banale pour la plupart des utilisateurs.
  • Fonctionne à partir d'un navigateur sur l’appareil de confiance
    • Des deeplinks sont disponibles pour que vous puissiez vous authentifier directement à partir de votre appareil de confiance sans avoir à dépendre d’un autre appareil enregistré.
  • Fonctionne avec un simple scan de l'appareil photo - pas besoin de lancer l'application dédiée
    • Les deeplinks (liens profonds) sont disponibles pour lancer automatiquement l'application TrustBuilder Authenticator lorsque l'utilisateur scanne le QR code.

Conclusion

La mise à jour majeure de la solution MFA passwordless de TrustBuilder, combinant le QR code et le deeplinking pour rendre l'expérience d’authentification totalement transparente, révolutionne le monde des méthodes d'authentification. En adoptant cette approche efficace et innovante, les organisations ne se contentent pas de renforcer la sécurité, de simplifier l'expérience utilisateur et de réduire les coûts associés aux solutions MFA traditionnelles. Elles se dotent également des moyens de lutter encore plus efficacement contre la menace des attaques de type « push bombing ».

Grâce à l'engagement constant de TrustBuilder en faveur de l'amélioration continue et de la prise en compte de l'évolution des besoins en matière de sécurité, les organisations peuvent adopter en toute confiance l'authentification par QR code en tant que méthode puissante d'authentification progressive, garantissant à la fois la sécurité et la commodité pour les utilisateurs comme pour les équipes en charge de l’administration et du support.