De nombreuses organisations utilisent toujours un système d'authentification à un seul facteur (ex : les mots de passe) pour contrôler l'accès à leurs services sur le Cloud, à leurs réseaux virtuels privés et à tout autre ressource interne. Mais, tandis que les exemples de brèches de sécurité s'accumulent, il est évident que les mots de passe ne sont plus suffisants lorsqu'ils sont utilisés seuls.
Regardons ensemble les risques majeurs encourus lorsque l'on utilise un système de mot de passe ordinaire.
1) La réutilisation du mot de passe
Il est déjà assez difficile de devoir se rappeler d'un mot de passe sans signification composé d'un mélange de symboles, de chiffres et de lettres, alors en utiliser un différent pour chaque plate-forme web à laquelle on se connecte peut vite devenir un vrai casse-tête chinois. C'est pour cette raison que la majorité des individus (61 % selon une étude) utilisent le même mot de passe pour accéder à plusieurs plates-formes différentes. Cela devient un grave problème lorsque l'une de ces plates-formes (Adobe, LinkedIn, Groupon, Gmail, etc.) a été compromise. Si ce même mot de passe est ensuite utilisé pour accéder aux ressources de votre entreprise, telles que les e-mails ou les réseaux virtuels, celle-ci devient alors vulnérable.
2) L'ingénierie sociale
Le volume d'informations personnelles disponibles sur Internet est une vraie caverne d’Ali-baba pour les hackers spécialisés qui utilisent la technique d'ingénierie sociale, afin d'obtenir des mots de passe ou gagner accès aux comptes qu'ils sont censés protéger. Les hackers font des recherches détaillées sur leur cible et utilisent les informations obtenues pour mettre en œuvre une attaque personnalisée. Qu'elles soient sous forme d'un e-mail de phishing conçu de manière à donner l'impression que le message est légitime (voir la brèche du compte Twitter d'Associated Press l'année dernière) ou bien qu'elles permettent d'obtenir suffisamment d'informations pour permettre aux hackers de se faire passer pour la cible lorsqu'ils répondent aux questions de sécurité des services d'assistance technique, les attaques d'ingénierie sociale ont très fortement augmenté et représentent une vraie menace pour les utilisateurs dépendant des mots de passe.
3) La récupération de formulaire
Comme nous venons de voir, les hackers ont des techniques de plus en plus sophistiquées pour assurer leurs attaques. Il y a quelques temps, un aéroport américain est devenu la victime d'une attaque de l’homme du milieu utilisant le Cheval de Troie Citadel pour pirater le réseau privé virtuel de l'aéroport. La technique de récupération de formulaire avait alors été utilisée pour voler le nom d'utilisateur et le mot de passe d'un employé et ainsi obtenir l'accès au réseau virtuel. Comme vous pouvez le constater, dépendre des mots de passe uniquement pour la sécurité de vos systèmes peut vous rendre vulnérable. Ajouter une autre méthode de sécurité à celle déjà utilisée, ce que l'on appelle l'authentification à deux facteurs, peut vous aider à bloquer la plupart des attaques utilisant l'une des techniques mentionnées ci-dessus. Comme son nom l'indique, l'authentification à deux facteurs est une méthode de sécurité de niveau supérieur qui requiert un élément d'identification supplémentaire pour obtenir l'accès à un système.
Vous pourrez en savoir plus sur les formes d'authentification à deux facteurs les plus courantes, telles que le mot de passe unique, la biométrie ou les certificats numériques, dans notre prochain article "L'authentification à deux facteurs : les options".
