websights Qu'est-ce que l'authentification sécurisée du client (SCA) ?

Vous cherchez inwebo.com? Vous êtes au bon endroit ! Pour en savoir plus, lisez notre article de blog

Rejoignez-nous en personne lors des prochains salons et conférences de l'industrie.

Contenus

Qu'est-ce que l'authentification client sécurisée (SCA), en quoi est-elle différente de l'authentification 2FA et comment fonctionne-t-elle ?

Chaque jour, des entreprises sont victimes d'une attaque par ransomware ou d'une violation de leur sécurité. Ces incidents ne nuisent pas seulement à la réputation de ces organisations, les cyberattaques peuvent également perturber leur activité, entraîner des amendes réglementaires et tout simplement détourner les entreprises de leur cœur de métier. La plupart de ces attaques de prise de contrôle de compte (ATO) sont initiées par le vol d'identifiants de connexion par le biais du phishing, des bases de données du dark web ou de l'ingénierie sociale. Ces attaques peuvent être facilement évitées en appliquant l'authentification sécurisée du client (SCA). Dans cet article, nous expliquerons ce qu'est l'authentification à deux facteurs, comment elle fonctionne et comment vous pouvez la mettre en œuvre. Nous ferons également une comparaison entre l'authentification à deux facteurs et l'authentification sécurisée du client.

homme-ordinateur portable-smartphone

Qu'est-ce que l'authentification à deux facteurs ?

L'authentification à deux facteurs (2FA) est une mesure de sécurité qui fournit une couche supplémentaire de protection pour les comptes en ligne et les informations sensibles. Elle implique l'utilisation de deux facteurs différents pour vérifier l'identité d'un utilisateur. Généralement, le premier facteur est quelque chose que l'utilisateur connaît ou est, comme un mot de passe ou un code PIN (que l'utilisateur connaît) ou une empreinte digitale ou une identification faciale (que l'utilisateur est). Le deuxième facteur est quelque chose que l'utilisateur possède, comme un appareil mobile ou un jeton de sécurité, qui génère un mot de passe à usage unique (OTP). Pour s'authentifier, l'utilisateur doit fournir les deux facteurs, ce qui ajoute un obstacle supplémentaire à l'accès non autorisé. L'authentification à deux facteurs renforce considérablement la sécurité en obligeant les utilisateurs à saisir les deux éléments de sécurité, ce qui atténue les risques associés aux violations de mot de passe et rend plus difficile l'accès non autorisé à des données personnelles ou sensibles par des acteurs malveillants. En conséquence, les comptes dont les mots de passe ont été trouvés sur le dark web ne peuvent plus être utilisés.

Pourquoi avons-nous besoin d'une couche de sécurité supplémentaire pour l'authentification des utilisateurs ?

La cybercriminalité évolue sans cesse et devient de plus en plus sophistiquée, tout comme les conséquences des cyberattaques. Selon un rapport récent, "le coût des violations de données pour les entreprises a augmenté régulièrement, car les changements sur le lieu de travail et les méthodes de pénétration plus avancées enhardissent les cybercriminels. En 2022, les violations de données coûteront en moyenne 4,35 millions d'USD aux entreprises, contre 4,24 millions d'USD en 2021".

Par conséquent, les méthodes visant à empêcher les cybercriminels de voler et/ou de compromettre l'argent et les données doivent également évoluer. Il fut un temps où un simple mot de passe suffisait à sécuriser efficacement un compte en ligne. Ce n'est plus le cas aujourd'hui. Vous aurez remarqué que même les comptes n'utilisant que l'authentification à facteur unique (AFU) exigent que les mots de passe contiennent un nombre minimum de lettres, de chiffres et de caractères. Et si ce n'est pas le cas, évitez de le faire !

Il est souvent suggéré aux utilisateurs d'utiliser des gestionnaires de mots de passe, qui peuvent générer et stocker des mots de passe complexes pour les utilisateurs. Bien que ces outils soient pratiques pour les utilisateurs, ils utilisent toujours la SFA avec tous leurs flux dans leurs mécanismes de connexion. De plus, ces gestionnaires de mots de passe deviennent des pots de miel pour les pirates informatiques et ont été violés à plusieurs reprises dans le passé.

Les mots de passe étant désormais beaucoup plus faciles d'accès pour les cybercriminels, il est logique d'exiger un deuxième moyen de vérifier que la personne qui détient le mot de passe est bien celle qu'elle prétend être. Le 2FA exige effectivement un deuxième mot de passe, créé de manière aléatoire, un mot de passe à usage unique (OTP) pour renforcer la sécurité d'un compte.

Comment fonctionne le système 2FA ?

L'authentification à deux facteurs utilise une combinaison de deux identifiants. Le premier facteur peut être un mot de passe, un code PIN ou des données biométriques telles que l'empreinte digitale de votre appareil mobile. Le second facteur est un mot de passe valable pour une période limitée et ne pouvant être utilisé qu'une seule fois (d'où OTP ou One-Time Password). Ce OTP est créé à partir d'un secret unique, lié à l'utilisateur, et d'un événement dynamique tel que le temps (TOTP) ou un numéro (haché) (HOTP). Le serveur et le client disposent de ces informations et utilisent un algorithme pour générer un nombre qui est saisi dans le champ OTP . (C'est la raison pour laquelle cette méthode est appelée "mot de passe"). (Si le numéro généré par le serveur et celui introduit par l'utilisateur correspondent, l'accès est accordé. Le deuxième facteur peut être transmis à l'utilisateur final de différentes manières, certaines plus sûres que d'autres.

Quels sont les facteurs qui peuvent être utilisés pour le 2FA ?

  • SMS ou e-mail OTP: L'utilisation de votre téléphone portable comme second facteur présente certains avantages, tels qu'une portabilité et une mobilité accrues. Les appareils mobiles sont très portables et les utilisateurs les emportent presque partout où ils vont. Cette portabilité en fait une plateforme pratique pour la mise en œuvre de l'authentification 2FA. Les utilisateurs peuvent accéder à leurs comptes et compléter le processus d'authentification depuis pratiquement n'importe quel endroit, ce qui ajoute une couche de sécurité supplémentaire, même lorsqu'ils utilisent des réseaux ou des appareils non fiables. Le premier facteur peut être le code PIN du téléphone lui-même, bien que cela ne soit pas conseillé car le service ne peut pas contrôler si l'utilisateur utilise un code PIN sur son téléphone, et parfois le SMS peut être lu à partir de l'écran d'accueil. Le deuxième facteur (le mot de passe à usage unique) est généré par le serveur et envoyé au téléphone ou à l'adresse électronique de l'utilisateur. Le code doit ensuite être saisi manuellement par l'utilisateur. Leur utilisation est de moins en moins populaire car ces supports (SMS ou e-mail) sont relativement faciles à pirater en échangeant des cartes SIM ou en interceptant les messages non cryptés, et les retards dans la livraison nuisent à l'expérience de l'utilisateur. Pour les SMS, le coût de l'envoi constant de SMS est totalement imprévisible.
  •  
  • OTP vocaux et rappels téléphoniques : il s'agit de rappels téléphoniques automatisés. L'utilisateur reçoit un appel téléphonique automatisé lorsqu'il tente de se connecter. Cet appel lui demande d'approuver ou de refuser la tentative de connexion ou lui donne un code d'accès à usage unique à saisir. Les problèmes liés à cette méthode sont similaires à ceux du SMS OTP, et avec l'augmentation de l'ingénierie sociale, ces méthodes ouvrent de nouvelles possibilités aux pirates.
  •  
  • Applications d'authentification/jetons logiciels : les utilisateurs peuvent télécharger et utiliser des applications d'authentification dédiées pour les demandes d'approbation de connexion. L'utilisateur doit ensuite relier l'application d'authentification à l'application (généralement en scannant un code QR), ce qui entraîne la création d'un secret unique partagé entre l'utilisateur et le serveur. Ce système présente tous les avantages du SMS OTP, mais le OTP est généré du côté du client, ce qui le rend plus fiable que le SMS. L'application elle-même peut être protégée par un code PIN ou par les données biométriques de l'appareil, ce qui rend la réception de OTP plus pratique. Cette méthode devient de plus en plus populaire en raison du faible coût pour les fournisseurs d'applications (par rapport à OTP SMS), mais il est parfois difficile pour les utilisateurs de trouver le bon service dans l'application d'authentification, en particulier si plusieurs comptes sont protégés. Le transfert et la récupération peuvent également s'avérer fastidieux, car il est préférable de ne pas stocker les secrets sur une autre plateforme. Les pirates utilisent cette faille et les applications d'authentification malveillantes se multiplient, essayant d'attirer et de voler les informations d'identification des utilisateurs et les codes secrets nécessaires pour générer les OTP. Grâce au cryptage symétrique, ces derniers peuvent être facilement copiés et utilisés, sans que l'utilisateur s'en rende compte.
  •  
  • Jetons matériels : il s'agit d'objets tels que des porte-clés ou des dispositifs USB qui génèrent des OTP. Il s'agit d'un moyen plus sûr de générer des OTP, puisque le secret du côté du client se trouve dans un élément de sécurité renforcé. Malheureusement, les jetons peuvent évidemment être perdus, oubliés, cassés, tomber en panne de piles, etc. Ils peuvent être frustrants pour l'utilisateur et coûteux à produire et à remplacer pour l'entreprise.

Mise en place de 2FA pour plus de sécurité

L'authentification à deux facteurs peut être utilisée dans des combinaisons adaptées à la situation, à l'entreprise, à l'utilisateur, etc. Ce qui peut être la meilleure option pour un système peut ne pas fonctionner pour un autre, c'est pourquoi la mise en œuvre de l'authentification à deux facteurs doit être abordée au cas par cas. Certaines entreprises préfèrent fournir leurs propres applications d'authentification, tandis que d'autres seront mieux servies par une solution tierce.

L'expérience de l'utilisateur doit être prise en compte : des options trop longues ou trop compliquées provoqueront de la frustration et aliéneront les utilisateurs. Personne ne souhaite que des employés surchargés ou des clients potentiels abandonnent leurs tentatives de connexion au profit de concurrents dont les processus sont plus conviviaux.

D'un autre côté, un système de sécurité robuste et relativement simple à utiliser rassurera les utilisateurs sur le fait que leurs données sont entre de bonnes mains et contribuera à renforcer la fidélité à la marque ou à l'entreprise.

L'authentification à deux facteurs permet aux utilisateurs de mieux contrôler la sécurité de leur compte

Les pirates informatiques s'attaquent généralement aux fruits les plus faciles à cueillir. L'ajout d'un deuxième facteur, qui change dynamiquement, nécessite des techniques de piratage plus coûteuses. Les comptes qui disposent de ce facteur sont moins susceptibles d'être attaqués. Toutefois, si la valeur de la cible augmente (par exemple, si l'utilisateur travaille pour une entreprise intéressante, si le service a une valeur monétaire ou si la victime est suffisamment riche pour que l'extorsion par ransomware ou le chantage soit avantageux), les pirates déploieront des efforts supplémentaires dans leurs tentatives en s'appuyant sur l'hameçonnage ou l'ingénierie sociale. Dans ce cas, ils essaieront d'inciter la cible à leur fournir le site OTP généré par le deuxième facteur. Généralement, ils les laissent saisir ce mot de passe à usage unique sur un faux site web, ou le communiquent à un faux agent du service d'assistance, afin que le pirate puisse l'utiliser sur le vrai site web.

Pour éviter cela, des techniques avancées ont été développées, aboutissant à l'authentification multifactorielle (MFA).

2FA, c'est bien, mais MFA , c'est mieux

Si le 2FA est déjà un bon pas en avant pour sécuriser les utilisateurs qui souhaitent accéder aux applications ou aux données, il ne s'agit pas encore d'une solution infaillible. Chez TrustBuilder, nous recommandons l'utilisation de l'authentification multifactorielle (MFA) (également appelée SCA Secure Customer Authentication dans les scénarios de consommation) pour les raisons suivantes :

  • Sécurité renforcée : MFA ajoute des couches de sécurité supplémentaires par rapport à 2FA. Alors que le 2FA repose sur deux facteurs (généralement un mot de passe et un code de vérification), MFA peut intégrer des facteurs supplémentaires tels que
     
    • le comportement (d'où vous vous connectez habituellement, comment vous tapez, comment vous tenez votre appareil...)
    • la liaison entre appareils avec des clés asymétriques (garantissant que le secret est lié à un appareil donné et qu'il ne peut être utilisé que sur cet appareil spécifique).
    • Communication cryptée hors bande
    • Challenge/Response avec des codes QR qui ajoutent un élément supplémentaire au secret utilisé pour générer le site OTP , de sorte que dans le site OTP , le serveur sait que la demande originale provient de ce serveur.
    • Continuous Adaptive Trust (CAT) évalue en permanence le risque de piratage d'une session et évalue de manière adaptative la connexion...

    Cette approche multicouche rend l'accès à un compte ou à un système beaucoup plus difficile pour les personnes non autorisées, puisqu'elles doivent contourner plusieurs mesures de sécurité.

  • Notifications push : une tentative de connexion entraîne l'envoi d'un message automatisé, par exemple pour alerter le titulaire du compte. Ce message peut être envoyé à chaque tentative de connexion ou uniquement lorsqu'une activité inhabituelle est détectée. Il peut exiger ou non que l'utilisateur fasse quelque chose. Il peut contenir des informations supplémentaires sur la transaction afin que l'utilisateur soit informé de ce qu'il fait et à partir de quel appareil. Cette méthode (What You See Is What You Sign ou WYSIWYS) permet à l'utilisateur de prendre conscience du processus et constitue une bonne contre-mesure contre les attaques Man-In-the-Middle (MITM) ou Man-In-the-Browser (MITB), où les pirates utilisent l'ingénierie sociale, l'hameçonnage et les attaques par relais DNS pour tenter de convaincre l'utilisateur qu'il entre sur le vrai site web au lieu d'un faux.
  • Une plus grande résistance aux attaques : MFA atténue les risques associés à divers types d'attaques, notamment le phishing, le keylogging et le credential stuffing. Même si un pirate parvient à obtenir le mot de passe d'un utilisateur par l'une de ces méthodes, il ne pourra toujours pas accéder au système sans le facteur supplémentaire requis par MFA. Il est donc beaucoup plus difficile pour les attaquants de compromettre des comptes ou des systèmes.
  • Confort de l'utilisateur : Une fois la configuration initiale terminée, les facteurs supplémentaires utilisés dans MFA sont automatisés ou intégrés de manière transparente dans le processus d'authentification. Une bonne solution MFA évalue automatiquement les risques d'une connexion et limite le nombre d'interactions que l'utilisateur doit effectuer. Cela réduit le fardeau que représente la saisie constante de codes de vérification, ce qui rend l'expérience globale de l'utilisateur plus fluide et plus efficace.
  • Conformité réglementaire : MFA est souvent une exigence de conformité à diverses réglementations sectorielles et normes de protection des données. Les organisations qui traitent des données sensibles, telles que les institutions financières ou les prestataires de soins de santé, sont généralement tenues de mettre en œuvre des mesures de sécurité strictes. MFA offre un mécanisme solide pour répondre à ces exigences de conformité et contribue à protéger les informations sensibles contre les accès non autorisés.
  • Une sécurité à l'épreuve du temps : Au fur et à mesure que la technologie progresse, de nouvelles vulnérabilités et de nouveaux vecteurs d'attaque apparaissent. MFA offre de meilleures capacités de protection contre l'avenir que 2FA. La possibilité d'intégrer plusieurs facteurs d'authentification permet aux organisations de s'adapter à l'évolution des menaces et d'utiliser des méthodes d'authentification plus sûres au fur et à mesure qu'elles sont disponibles. Cela garantit que les mesures de sécurité restent efficaces et à jour, même si le paysage des menaces continue d'évoluer.

Ces raisons mettent en évidence les avantages de MFA par rapport à 2FA, en soulignant sa plus grande sécurité, sa résistance aux attaques, son confort d'utilisation, sa conformité aux réglementations et sa capacité à s'adapter aux besoins futurs en matière de sécurité.

Pourquoi utiliser la solution MFA de TrustBuilder ?

Si l'on compare 2FA à MFA, il est clair que MFA l'emporte sur 2FA. Mais dans le domaine des solutions d'authentification multifactorielle, il existe de nombreuses différences entre les solutions disponibles. Parmi les nombreux fournisseurs présents sur le marché, la solution MFA de TrustBuilder apparaît comme un choix remarquable pour les organisations qui souhaitent renforcer leur posture de sécurité. Voici quelques-unes des raisons pour lesquelles la solution MFA de TrustBuilder est la meilleure option pour les organisations qui souhaitent se protéger contre les pirates et les cyberattaques.

  • Une sécurité inégalée : La solution MFA de TrustBuilder offre un mécanisme d'authentification hautement sécurisé qui va au-delà des combinaisons traditionnelles de nom d'utilisateur et de mot de passe. En incorporant de multiples facteurs, tels que les mots de passe à usage unique, la biométrie, les cartes à puce et autres, elle assure une couche de protection supplémentaire. Cette approche multidimensionnelle réduit considérablement le risque d'accès non autorisé et renforce la position de sécurité globale des organisations.
  • Une expérience utilisateur transparente : Si la sécurité est primordiale, une expérience utilisateur transparente est également essentielle pour l'adoption réussie de toute solution de sécurité. TrustBuilder comprend ce besoin et fournit une solution MFA qui offre la commodité sans compromettre la sécurité. Avec une interface conviviale et la prise en charge de diverses méthodes d'authentification, y compris les applications mobiles, l'authentification par navigateur, l'application de bureau, ainsi que la prise en charge de méthodes d'authentification tierces, permettant d'apporter son propre authentificateur (BYOA), TrustBuilder assure une expérience d'authentification sans friction pour les utilisateurs finaux.
  • Évolutivité et flexibilité : La solution MFA de TrustBuilder est conçue pour répondre aux besoins évolutifs des organisations de toutes tailles. Qu'il s'agisse d'une petite startup ou d'une multinationale, TrustBuilder peut s'adapter à des bases d'utilisateurs croissantes et à des infrastructures en expansion. La solution s'intègre de manière transparente aux systèmes existants, y compris les services en nuage et les applications patrimoniales, ce qui la rend hautement adaptable et compatible.
  • Analyse avancée et authentification basée sur le risque : La solution MFA de TrustBuilder intègre des analyses avancées et une authentification basée sur le risque, permettant aux organisations d'ajuster dynamiquement les exigences d'authentification en fonction des niveaux de risque. En analysant des facteurs contextuels tels que la localisation de l'utilisateur, les informations sur l'appareil et les modèles de comportement, la solution de TrustBuilder permet aux organisations de détecter et de prévenir les menaces potentielles de manière proactive, atténuant ainsi efficacement les risques associés aux cyberattaques.

Maintenir votre organisation du bon côté de la sécurité est la tâche de toute personne impliquée dans la prévention des cyberattaques. La solution MFA de TrustBuilder est un bon moyen de mettre en place des clôtures qui empêchent les cybercriminels d'entrer.

Contactez-nous pour une démonstration ou essayez gratuitement MFA .