Les mots de passe présentant de nombreuses limites et contraintes, de plus en plus d’entreprises ont recours à l’authentification mobile en utilisant les téléphones comme dispositifs d’authentification multiple. Mais le recours aux SMS ou aux applications d’authentification présente des limites…
Sommaire
Pourquoi l’authentification forte sur smartphone est un choix facile ?
SIM-swapping, failles des OS mobiles…
Les limites du BYOD
Pourquoi l’authentification mobile est un (mauvais) choix facile ?
Les mots de passe sont un casse-tête. Malgré leurs limites en matière de sécurité, tout le monde y a recours plusieurs fois par jour. Il est aisé de vouloir se simplifier la vie en utilisant soit des mots de passe simples à mémoriser, soit identiques pour différents comptes personnels et professionnels.
Afin de réduire les risques d’usurpation d’identité professionnelle et de vols de données critiques ou à caractère personnel (RGPD), les entreprises sont de plus en plus nombreuses à imposer la double authentification. Parmi les différentes solutions pour démocratiser la MFA (Multifactor Authentication), il est courant de faire appel au smartphone pour la réception d’un code reçu par SMS ou la génération d’un code aléatoire via une application d’authentification.
Toujours à portée de main, facile à utiliser, (souvent) rechargé et rarement oublié, l’authentification mobile est le choix facile comme support pour les authentifications des collaborateurs.
SIM-swapping, failles des OS mobiles…
A priori, une bonne idée. Mais le smartphone, multiconnecté et multifonction, présente une surface d’attaque trop élevée pour être considéré comme un support dédié à la cybersécurité.
1. Le phishing
Comme tout appareil informatique et connecté, il présente des faiblesses. La première se situe entre la chaise et son… petit clavier tactile. Pas assez sensibilisés aux menaces numériques, les salariés manquent de vigilance et tombent dans les pièges des cyberattaquants. Le phishing reste toujours la première étape à une cyberattaque1 ou à un vol d’identifiants. N’étant pas sécurisés par une solution MFA, de nombreux comptes peuvent être piratés.
2. Le SIM Swapping ou transfert de SIM
Autre faille humaine, le SIM swapping. Cette technique s’appuie sur l’ingénierie sociale pour contourner l’authentification par SMS. Grâce à quelques informations personnelles, les cyberattaquants parviennent à déjouer les questions de sécurité que le service clientèle des opérateurs télécom pose lorsqu’un abonné demande à recevoir une nouvelle carte SIM. Une fois en sa possession, la personne malveillante reçoit les codes par SMS et peut ainsi accéder à différents comptes de la victime.
Sur cette méthode d’authentification qu’elle proscrit2, l’ANSSI rappelle qu’il faut différencier authentification à plusieurs facteurs (comme la validation par SMS) d’authentification forte.
3. Des OS vulnérables
Les OS des smartphones présentent aussi de nombreuses vulnérabilités dont certaines très connues. Citons par exemple Samsung et 100 millions de téléphones vendus et distribués avec des clés de chiffrement mal stockées permettant aux hackers d’entrer à leur guise, ou la faille d’Android 12 permettant à une application malveillante de consulter tous les fichiers stockés sur le téléphone.
Devenues une porte d’entrée de plus en plus utilisée pour accéder au SI, les failles dites zero-day font l’objet de primes dépassant les 100 000 euros.
4. L’accessibilité des applications MFA
Autre faille technique, les applications MFA. Si cette option semble plus pratique que le code reçu par SMS (mais qui n’arrive pas toujours en quelques secondes), elle présente aussi des limites. Pour renforcer le niveau de protection de ce type de logiciel, il est recommandé de taper un code. Mais l’être humain n’aimant pas la contrainte, il n’est pas rare que cette application reste toujours accessible… tout comme le smartphone qui n’est pas protégé par un code de déverrouillage de l’écran.
Les limites du BYOD
Dans ce contexte, le développement du BYOD a fragilisé le niveau de sécurité des entreprises. À mesure que le parc matériel s’enrichit de nouveaux terminaux mobiles, les coûts et les risques de piratage et d’infraction aux réglementations augmentent.
Le problème n’est pas seulement technique mais également humain. Nombreuses sont les entreprises qui se heurtent à un refus des collaborateurs d’utiliser leur smartphone personnel pour un usage professionnel. Elles n’ont alors d’autres choix que de fournir un smartphone à chacun ou de s’orienter vers des solutions de sécurité dédiée.
Certes, il est préférable d’utiliser une solution MFA par SMS ou via une application que rien du tout. Mais afin de bénéficier d’un haut niveau de sécurité et de mettre en avant une politique pérenne, il est préférable d’opter pour l’authentification matérielle.
Sécurisée par un capteur d’empreinte et un Secure Élément certifié chiffrant les données et les communications, la carte OneWave assure un haut niveau de sécurité tout en étant simple à utiliser.
- 7ème édition du baromètre annuel du Cesin
- Recommandations relatives à l’authentification forte et aux mots de passe de l’ANSSI