Accueil > Le Blog > Authentification forte > MFA : pourquoi privilégier la sécurité matérielle à l’authentification mobile

MFA : pourquoi privilégier la sécurité matérielle à l’authentification mobile

Les mots de passe présentant de nombreuses limites et contraintes, de plus en plus d’entreprises ont recours à l’authentification mobile en utilisant les téléphones comme dispositifs d’authentification multiple. Mais le recours aux SMS ou aux applications d’authentification présente des limites…

application authentification forte sur mobile

h

Sommaire

$

Pourquoi l’authentification forte sur smartphone est un choix facile ?

$

Les limites du BYOD

Pourquoi l’authentification mobile est un (mauvais) choix facile ?

Les mots de passe sont un casse-tête. Malgré leurs limites en matière de sécurité, tout le monde y a recours plusieurs fois par jour. Il est aisé de vouloir se simplifier la vie en utilisant soit des mots de passe simples à mémoriser, soit identiques pour différents comptes personnels et professionnels.

Afin de réduire les risques d’usurpation d’identité professionnelle et de vols de données critiques ou à caractère personnel (RGPD), les entreprises sont de plus en plus nombreuses à imposer la double authentification. Parmi les différentes solutions pour démocratiser la MFA (Multifactor Authentication), il est courant de faire appel au smartphone pour la réception d’un code reçu par SMS ou la génération d’un code aléatoire via une application d’authentification.

Toujours à portée de main, facile à utiliser, (souvent) rechargé et rarement oublié, l’authentification mobile est le choix facile comme support pour les authentifications des collaborateurs.

SIM-swapping, failles des OS mobiles…

A priori, une bonne idée. Mais le smartphone, multiconnecté et multifonction, présente une surface d’attaque trop élevée pour être considéré comme un support dédié à la cybersécurité.

1. Le phishing

Comme tout appareil informatique et connecté, il présente des faiblesses. La première se situe entre la chaise et son… petit clavier tactile. Pas assez sensibilisés aux menaces numériques, les salariés manquent de vigilance et tombent dans les pièges des cyberattaquants. Le phishing reste toujours la première étape à une cyberattaque1 ou à un vol d’identifiants. N’étant pas sécurisés par une solution MFA, de nombreux comptes peuvent être piratés.

2. Le SIM Swapping ou transfert de SIM

Autre faille humaine, le SIM swapping. Cette technique s’appuie sur l’ingénierie sociale pour contourner l’authentification par SMS. Grâce à quelques informations personnelles, les cyberattaquants parviennent à déjouer les questions de sécurité que le service clientèle des opérateurs télécom pose lorsqu’un abonné demande à recevoir une nouvelle carte SIM. Une fois en sa possession, la personne malveillante reçoit les codes par SMS et peut ainsi accéder à différents comptes de la victime.

Sur cette méthode d’authentification qu’elle proscrit2, l’ANSSI rappelle qu’il faut différencier authentification à plusieurs facteurs (comme la validation par SMS) d’authentification forte.

3. Des OS vulnérables

Les OS des smartphones présentent aussi de nombreuses vulnérabilités dont certaines très connues. Citons par exemple Samsung et 100 millions de téléphones vendus et distribués avec des clés de chiffrement mal stockées permettant aux hackers d’entrer à leur guise, ou la faille d’Android 12 permettant à une application malveillante de consulter tous les fichiers stockés sur le téléphone.

Devenues une porte d’entrée de plus en plus utilisée pour accéder au SI, les failles dites zero-day font l’objet de primes dépassant les 100 000 euros.

4. L’accessibilité des applications MFA

Autre faille technique, les applications MFA. Si cette option semble plus pratique que le code reçu par SMS (mais qui n’arrive pas toujours en quelques secondes), elle présente aussi des limites. Pour renforcer le niveau de protection de ce type de logiciel, il est recommandé de taper un code. Mais l’être humain n’aimant pas la contrainte, il n’est pas rare que cette application reste toujours accessible… tout comme le smartphone qui n’est pas protégé par un code de déverrouillage de l’écran.

Lien vers la page pour télécharger un benchmark des différentes solutions de contrôle d'accès et gestion des identités.

Les limites du BYOD

Dans ce contexte, le développement du BYOD a fragilisé le niveau de sécurité des entreprises. À mesure que le parc matériel s’enrichit de nouveaux terminaux mobiles, les coûts et les risques de piratage et d’infraction aux réglementations augmentent.

Le problème n’est pas seulement technique mais également humain. Nombreuses sont les entreprises qui se heurtent à un refus des collaborateurs d’utiliser leur smartphone personnel pour un usage professionnel. Elles n’ont alors d’autres choix que de fournir un smartphone à chacun ou de s’orienter vers des solutions de sécurité dédiée. 

Certes, il est préférable d’utiliser une solution MFA par SMS ou via une application que rien du tout. Mais afin de bénéficier d’un haut niveau de sécurité et de mettre en avant une politique pérenne, il est préférable d’opter pour l’authentification matérielle.

Sécurisée par un capteur d’empreinte et un Secure Élément certifié chiffrant les données et les communications, la carte OneWave assure un haut niveau de sécurité tout en étant simple à utiliser.

Lien vers la page présentant la OneWave, et proposant une demande de démonstration.
  1. 7ème édition du baromètre annuel du Cesin
  2. Recommandations relatives à l’authentification forte et aux mots de passe de l’ANSSI

Panorama du marché de la cyber, roadmap, comparatif de 19 solutions d'IAM, téléchargez le livre blanc

Bon à recevoir

L’actualité de l’authentification et de la gestion des accès dans votre boîte mail 1 fois par mois ! Inscrivez-vous pour recevoir les décryptages de notre newsletter :

A propos d’authentification et de cybersécurité

NIS2 : quelles nouvelles obligations pour les entreprises ?

NIS2 : quelles nouvelles obligations pour les entreprises ?

L’Union-Européenne a validé en novembre dernier la directive NIS2, qui renforce ses règles en matière de cybersécurité pour les entreprises de ses États membres. OneWave fait le point pour vous sur ces nouvelles obligations, les acteurs concernés, et les conséquences...

SSO : avantages et cas d’usage

SSO : avantages et cas d’usage

Le SSO est un système d’authentification unique, qui permet une délégation de l’authentification des services quotidiens vers un service spécialisé et paramétrable. Il permet à un utilisateur d’accéder à plusieurs outils et applications par un seul moyen...

Antiphishing : comment se prémunir contre le hameçonnage ?

Antiphishing : comment se prémunir contre le hameçonnage ?

Particulièrement efficace, le phishing vise à obtenir du destinataire d’un courriel ou sms d’apparence légitime qu’il transmette ses identifiants de connexion à différents services, afin de prendre possession de ses comptes. Entre 2FA, MFA et bonnes pratiques à...

Cybersécurité & OneWave dans votre boîte mail

Inscrivez-vous et recevez actualités, conseils sur l’authentification et nouveautés OneWave 1 fois par mois.

Essayez la OneWave

Contactez notre équipe pour programmer une démonstration personnalisée de notre carte.

Share This