MFA : pourquoi privilégier la sécurité matérielle à l’authentification mobile

par

Accueil » Le Blog » MFA : pourquoi privilégier la sécurité matérielle à l’authentification mobile

Les mots de passe présentant de nombreuses limites et contraintes, les téléphones mobiles sont maintenant utilisés comme dispositifs d’authentification multiple. Mais le recours aux SMS ou aux applications présente des limites…

Pourquoi l’authentification forte sur smartphone est un choix facile ?

Les mots de passe sont un casse-tête. Malgré leurs limites en matière de sécurité, tout le monde y a recours plusieurs fois par jour. D’où la tentation de se simplifier la vie en utilisant soit des mots de passe simples à mémoriser, soit identiques pour différents comptes personnels et professionnels.

Afin de réduire les risques d’usurpation d’identité professionnelle et de vols de données critiques ou à caractère personnel (RGPD), les entreprises sont de plus en plus nombreuses à imposer la double authentification. Parmi les différentes solutions de MFA (Multifactor Authentication), l’une des plus courantes repose sur le smartphone pour la réception d’un code reçu par SMS ou la génération d’un code aléatoire via une application.

Toujours à portée de main, facile à utiliser, (souvent) rechargé et rarement oublié, le smartphone est le choix facile comme support pour les authentifications des collaborateurs.

SIM-swapping, failles des OS mobiles…

A priori, une bonne idée. Mais cet objet multiconnecté et multifonction présente une surface d’attaque trop élevée pour être considéré comme un support dédié à la cybersécurité.

Le phishing

Comme tout appareil informatique et connecté, il présente des faiblesses. La première se situe entre la chaise et son… petit clavier tactile. Pas assez sensibilisés aux menaces numériques, les salariés manquent de vigilance et tombent dans les pièges des cyberattaquants. Le phishing reste toujours la première étape à une cyberattaque ou à un vol d’identifiants. N’étant pas sécurisés par une solution MFA, de nombreux comptes peuvent être piratés.

Le SIM Swapping ou transfert de SIM

Autre faille humaine, le SIM-SWAPPING. Cette technique s’appuie sur l’ingénierie sociale pour contourner l’authentification par SMS. Grâce à quelques informations personnelles, les cyberattaquants parviennent à déjouer les questions de sécurité que le service clientèle des opérateurs télécom pose lorsqu’un abonné demande à recevoir une nouvelle carte SIM. Une fois en sa possession, la personne malveillante reçoit les codes par SMS et peut ainsi accéder à différents comptes de la victime.

Sur cette méthode d’authentification qu’elle proscrit, l’ANSSI rappelle qu’il faut différencier authentification à plusieurs facteurs (comme la validation par SMS) d’authentification forte.

Des OS parfois vulnérables

Les OS des smartphones présentent aussi de nombreuses vulnérabilités dont certaines très connues. Citons par exemple Samsung et 100 millions de téléphones vendus et distribués avec des clés de chiffrement mal stockées permettant aux hackers d’entrer à leur guise, ou la faille d’Android 12 permettant à une application malveillante de consulter tous les fichiers stockés sur le téléphone.

Devenues une porte d’entrée de plus en plus utilisée pour accéder au SI, les failles dites zero-day font l’objet de primes dépassant les 100 000 euros.

Les applications MFA

Autre faille technique, les applications MFA. Si cette option semble plus pratique que le code reçu par SMS (mais qui n’arrive pas toujours en quelques secondes), elle présente aussi des limites. Pour renforcer le niveau de protection de ce type de logiciel, il est recommandé de taper un code. Mais l’être humain n’aimant pas la contrainte, il n’est pas rare que cette application reste toujours accessible… tout comme le smartphone qui n’est pas protégé par un code de déverrouillage de l’écran.

Les limites du BYOD

Dans ce contexte, le développement du BYOD a fragilisé le niveau de sécurité des entreprises. À mesure que le parc matériel s’enrichit de nouveaux terminaux mobiles, les coûts et les risques de piratage et d’infraction aux réglementations augmentent.

Le problème n’est pas seulement technique mais également humain. Nombreuses sont les entreprises qui se heurtent à un refus des collaborateurs d’utiliser leur smartphone personnel pour un usage professionnel. Elles n’ont alors d’autres choix que de fournir un smartphone à chacun ou de s’orienter vers des solutions de sécurité dédiée. 

Certes, il est préférable d’utiliser une solution MFA par SMS ou via une application que rien du tout. Mais afin de bénéficier d’un haut niveau de sécurité et de mettre en avant une politique pérenne, il est préférable d’opter pour l’authentification matérielle.

Sécurisée par un capteur d’empreinte et un Secure Élément certifié chiffrant les données et les communications, la carte OneWave assure un haut niveau de sécurité tout en étant simple à utiliser.

Découvrez toutes les actualités,

les innovations liées à la cybersécurité,

et les nouveautés de OneWave !

Securité de vos données

Vous avez un projet de gestion de vos accès ?

La Checklist du DSI

Assurez l’adoption de votre outil de cybersécurité et optez pour une conduite du changement sereine grâce à 8 conseils.

Pour aller plus loin

Le futur est à la sécurité matérielle – partie 2/2

Le futur est à la sécurité matérielle – partie 2/2

Dans un monde numérique où les cyberattaques se multiplient, la confiance en nos échanges numériques n’a jamais été aussi nécessaire, voire même stratégique. Pour renforcer cette confiance, rien de tel que d’intégrer la sécurité au cœur même de vos équipements, grâce...

Le Secure Element, coffre-fort d’un accès sécurisé – partie 1/2

Le Secure Element, coffre-fort d’un accès sécurisé – partie 1/2

Dans un monde numérique où les cyberattaques se multiplient, la confiance en nos échanges numériques n’a jamais été aussi nécessaire, voire même stratégique. Pour renforcer cette confiance, rien de tel que d’intégrer la sécurité au cœur même de vos équipements, grâce...

3 actions rapides du DSI pour sécuriser son entreprise

3 actions rapides du DSI pour sécuriser son entreprise

Les DSI ne savent pas toujours par quoi commencer pour sécuriser le système d’information de leur entreprise. Nous vous proposons ici trois actions rapides et efficaces pour un SI mieux sécurisé. « La situation n’est pas bonne. La menace croit. Plus grand monde...

Cybersécurité & OneWave dans votre boîte mail

Inscrivez-vous et recevez actualités, astuces sécurité et nouveautés OneWave 1 fois par mois.

Vous souhaitez essayer la OneWave ?

Contactez notre équipe pour avoir une démonstration personnalisée de notre carte.

Share This