Vers une authentification sans téléphone intelligent
Les smartphones sont depuis longtemps recommandés pour la commodité qu'ils offrent, et il est indéniable qu'ils ont un impact considérable sur l'expérience de l'utilisateur. Dans le cadre d'une solution d'authentification multifactorielle, bien qu'ils soient un choix populaire, l'expérience a montré qu'ils n'étaient peut-être pas le moyen le plus sûr de protéger vos systèmes et vos données. Examinons de plus près Smartphoneless.
En 2021, les cyberattaques ont atteint un niveau record et une nouvelle attaque est signalée toutes les 39 secondes¹. Il est désormais plus qu'évident que l'autosatisfaction n'est plus de mise si l'on veut garder une longueur d'avance en matière de cybersécurité. Alors pourquoi abandonner l'authentification mobile au profit de l'authentification sans téléphone intelligent ?
Quels sont les défis liés à l'authentification mobile ?
Défi 1 : L'authentification mobile exige que vous possédiez ou fournissiez un téléphone portable.
Tout d'abord, l'authentification mobile exige que les utilisateurs disposent d'un smartphone. Pour l'authentification des clients finaux, ce n'est donc pas toujours une option appropriée car ils n'ont pas tous un smartphone compatible. Quant à l'authentification des employés et des partenaires, les entreprises sont de plus en plus réticentes à l'idée de fournir des smartphones, dans le but de réduire les coûts et les problèmes logistiques.
Défi 2 : L'authentification mobile est vulnérable à certaines cyberattaques
De nombreuses inquiétudes ont été exprimées quant au risque de compromission des appareils mobiles. Lors de l'authentification par SMS OTP, il existe un risque de récupération d'informations par SMiShing (attaque de phishing par SMS). Quant à l'authentification via l'application Authenticator, on a tendance à oublier les attaques de fatigue MFA. Il s'agit d'une cyberattaque qui incite les utilisateurs à autoriser l'accès à l'appareil en raison d'une surcharge de notifications push.
En 2020, les attaques de phishing par SMS (SMiShing) ont augmenté de 37 %. Et selon le nombre d'appareils mobiles, ce type d'attaque peut coûter jusqu'à 150 millions de dollars².
Qu'est-ce que l'authentification sans téléphone intelligent ?
Vous vous demandez peut-être ce que nous entendons par "authentification sans smartphone". Il s'agit tout simplement d'un moyen de vérifier l'identité d'un utilisateur sans avoir recours à un smartphone. Il s'agit d'une autre façon d'utiliser l'authentification multifactorielle (MFA) lorsque vous n'avez pas, ou ne voulez pas avoir, de smartphone dans le cadre du processus d'authentification/de connexion. Cette méthode peut être combinée :
- un facteur de connaissance (tel qu'un code PIN) ou un facteur d'inhérence (tel qu'une empreinte digitale),
- avec un facteur de possession autre qu'un mobile.
La plupart du temps, nous pensons au jeton de bureau ? Pourtant, vous seriez surpris d'apprendre qu'il existe d'autres alternatives, comme le token browser par exemple.
Ne négligez pas les avantages de la suppression des contraintes d'équipement liées à l'authentification mobile.
Pourquoi passer à l'authentification sans téléphone intelligent ? Quels sont les avantages ?
De plus en plus d'organisations commencent à passer à l'authentification sans smartphone car, dans de nombreux cas, le smartphone lui-même peut être source de contraintes, non seulement pour les utilisateurs, mais aussi pour les développeurs et les intégrateurs.
En effet, en permettant aux utilisateurs de s'authentifier et d'accéder à leurs applications, à leur réseau et à leurs données sans avoir besoin d'un appareil mobile, on obtient un certain nombre d'avantages précieux :
#1
Les utilisateurs ne sont plus obligés de se fier à un téléphone portable.
Le fait de ne pas dépendre d'un smartphone signifie que vous n'êtes pas lié à un équipement spécifique et supplémentaire autre que l'appareil sur lequel vous essayez de vous connecter. En outre, imaginez que votre téléphone portable n'ait plus de batterie, quelle expérience de connexion désastreuse...
#2
Réduire la charge logistique des équipes informatiques
Cet avantage est particulièrement important pour l'accès des employés. En effet, d'un point de vue administratif, cela implique moins de logistique pour équiper et mettre à jour le matériel des utilisateurs.
#3
Réduire les coûts
Cette réduction de la charge de travail et des besoins en équipement se traduit par une baisse des coûts pour les entreprises.
#4
Protégez-vous des attaques ciblées
L'authentification sans téléphone intelligent permet de se protéger contre certaines attaques telles que le phishing par SMS (SMiShing) ou les attaques de fatigue MFA réalisées par le biais du push mobile.
L'authentification sans téléphone intelligent deviendra-t-elle la nouvelle norme ?
Il n'est pas surprenant que les organisations veuillent mettre en œuvre des changements afin de réduire leur niveau de risque et d'améliorer leurs processus opérationnels.
Gartner prévoit que d'ici à la fin de 2022, les entreprises numériques qui proposent des parcours d'authentification faciles et fluides auront un chiffre d'affaires supérieur de 10 % à celui de leurs concurrents qui ne le font pas.
C'est pourquoi inWebo a proposé une alternative logicielle à l'authentification par smartphone. Cette solution est en fait ce que nous appelons "Deviceless" et s'appuie sur le navigateur de l'utilisateur en tant que dispositif de confiance pour s'authentifier et accéder à ses applications d'une manière simple, sécurisée et fluide.
Une chose est sûre, les utilisateurs s'adapteront rapidement à la liberté de ne pas être liés à leur mobile pour pouvoir se connecter à leurs applications et à leurs données.
Authentification sans appareil ou sans téléphone intelligent ?
L'authentification sans appareil est une authentification sans téléphone intelligent. Il s'agit en quelque sorte d'une sous-catégorie car elle est encore plus spécifique puisqu'elle s'appuie sur le site token browser. Elle peut être réalisée à partir de n'importe quel appareil et avec n'importe quel navigateur. Il n'est pas nécessaire qu'il s'agisse de l'appareil de l'utilisateur, ni même de celui de l'entreprise. Rétrospectivement, cette technologie sans dispositif ajoute trois avantages supplémentaires à la liste ci-dessus.
Les comptes sans appareil + 3 avantages par rapport à Smartphoneless
#5
Deviceless facilite et sécurise le BYOD ("Bring Your Own Device")
Les habitudes de travail changent et de plus en plus d'ordinateurs personnels sont utilisés à des fins professionnelles. Deviceless élimine les risques de sécurité associés au BYOD et sécurise tous les accès aux applications et réseaux internes. Aucun smartphone ou ordinateur portable professionnel n'est nécessaire, il suffit d'un navigateur.
#6
Facile à configurer et à utiliser
Surtout, cette nouvelle méthode d'authentification des utilisateurs ne nécessite aucune installation et peut être déployée à grande échelle en quelques clics. Une véritable aubaine pour les intégrateurs.
#7
Un très bon moyen de fournir des connexions multi-utilisateurs sécurisées
Le même navigateur peut être utilisé par différents utilisateurs qui auront tous leur propre authentification. Pour les organisations qui dépendent d'ordinateurs partagés, il s'agit d'un avantage considérable, qui garantit à la fois un niveau élevé de sécurité et la possibilité d'identifier chaque utilisateur accédant au système.
La technologie MFA d'inWebo a été conçue pour garantir que même si elle est manipulée par des tiers, elle sera impossible à utiliser : au lieu d'utiliser une simple clé cryptographique, comme le font toutes les autres solutions MFA , inWebo a rendu ses clés dynamiques et aléatoires. Une technologie unique et brevetée.
Avec token browser, les clés cryptographiques sont stockées dans le navigateur de l'utilisateur plutôt que sur son ordinateur. Ces clés changent de manière aléatoire chaque fois que l'utilisateur génère un OTP au moment où il souhaite se connecter au système.
Ainsi, une fois que les clés ont été utilisées, elles ne peuvent plus l'être et sont donc totalement inutilisables pour quiconque tenterait de "pirater" le système. L'identité de chaque utilisateur est protégée et la probabilité de failles de sécurité est considérablement réduite, d'autant plus que le site token browser est le plus sûr contre les attaques par hameçonnage.
L'avenir sera dépourvu de dispositifs
Est-il donc probable que nous passions tous à un avenir sans téléphone intelligent en matière d'authentification ? Bien que nous n'ayons pas de boule de cristal, les signes pointent certainement dans cette direction.
Nous sommes tous à la recherche de moyens innovants pour garantir la sécurité de nos systèmes et de nos processus, mais nous voulons également nous assurer que nos utilisateurs bénéficient d'une expérience simple.
Un processus d'authentification qui permet ces deux choses, tout en réduisant le phishing par SMS, les coûts et la logistique, et qui est simple à mettre en place et à utiliser, semble certainement valoir la peine qu'on investisse dans ce domaine.
Smartphoneless est un moyen d'authentifier, c'est-à-dire de vérifier l'identité d'un utilisateur, sans utiliser de smartphone. Il s'agit d'une autre façon d'utiliser l'authentification multifactorielle (MFA).
L'authentification sans téléphone intelligent se fait par l'intermédiaire d'un site MFA utilisant un facteur de connaissance (PIN) ou un facteur inhérent (empreinte digitale) combiné à un facteur de possession autre que le mobile. La plupart du temps, l'authentification sans smartphone se fait à l'aide d'un jeton de bureau ou d'ordinateur portable. Mais il existe également une technologie alternative qui permet l'authentification à l'aide d'un token browser.
Dans le cas de l'authentification par OTP SMS, la suppression de l'utilisation des téléphones portables, grâce notamment à Smartphoneless, permet d'éviter les risques d'attaques de phishing par SMS, ou "smishing".
