Avec l'augmentation de la cybercriminalité, la protection de type MFA est apparue comme une solution miracle afin de protéger les utilisateurs contre le vol d'informations d'identification, les tentatives de phishing et les prises de contrôle de compte.
Mais les pirates ont développé de nouvelles attaques afin de contourner cette protection ! Dernièrement la technique du MFA fatigue a fait la une : cette attaque repose sur le spam des victimes avec des invites d'authentification multiples jusqu'à ce qu'elles accordent l'accès à l'attaquant par accident ou par pure frustration. Cette technique a été récemment utilisée lors de l'attaque de uber en octobre 2022.
La MFA Fatigue n'est la seule limite de la protection MFA. Nous vous détaillons dans cet article deux autres restrictions majeures.
Bien que toute forme de MFA offre une meilleure sécurité que l’authentification basée sur un nom d’utilisateur et un mot de passe, toutes les formes de MFA ne sont pas égales.
En effet, les MFA mobiles telles que les SMS, les OTP et les notifications push sont très sensibles aux différentes attaques. Dans la MFA mobile, il n’y a aucune garantie que la clé privée se retrouve sur un élément sécurisé sur l’appareil mobile.
Une recherche menée par Google, sur la base de 350 000 tentatives de piratage ont prouvé que les authentificateurs SMS et mobiles ne sont pas efficaces pour empêcher les prises de contrôle de compte et les attaques ciblées.
Cette recherche a révélé qu’un mot de passe à usage unique (OTP) basé sur SMS n’a bloqué que 76 % des attaques ciblées et une application push n’en a bloqué que 90 %. C’est un taux de pénétration de 10 % au minimum.
L’authentification mobile n'est pas applicable partout
Alors que les entreprises peuvent donner la priorité ou même imposer une MFA basée sur le mobile, il existe presque toujours des cas d’employés qui ne peuvent pas, n’utilisent pas ou ne veulent pas utiliser l’authentification mobile.
Si les noms d’utilisateur et mots de passe sont utilisés comme option de secours, cela rend l’entreprise encore plus vulnérable au hameçonnage et aux prises de contrôle de compte. Alors que les entreprises adoptent une nouvelle façon de travailler, où le travail à distance et hybride est la norme, s’appuyer sur la sécurité du périmètre n’est plus efficace.
Les entreprises qui utilisent aujourd’hui des authentificateurs mobiles doivent réévaluer leur stratégie MFA à long terme et envisager de passer à des solutions MFA modernes et résistantes au hameçonnage.
Dans ces scénarios, une clé de sécurité matérielle offre aux entreprises une large couverture des scénarios d’entreprise et des groupes d’utilisateurs tout en garantissant la meilleure sécurité et la meilleure expérience utilisateur.
Sans mot de passe : touche/empreinte digitale de l’utilisateur authentificateur
Remplace les mots de passe faibles par un authentificateur matériel pour une authentification forte à facteur unique.
Authentification à deux facteurs: mot de passe + contact / empreinte digitale de l’utilisateur authentificateur
Deuxième facteur dans une solution d’authentification à deux facteurs avec une combinaison de nom d’utilisateur et de mot de passe, ainsi qu’une touche utilisateur de l’authentificateur matériel.
Authentification multifacteur: sans mot de passe + code PIN ou biométrique
Multi-facteurs avec combinaison d’un authentificateur matériel avec contact utilisateur et code PIN, pour résoudre des exigences d’assurance élevées telles que les transactions financières ou la soumission d’une ordonnance.
Demandez une démo !
Si vous souhaitez en savoir plus sur les solutions Yubico, remplissez ce formulaire ci-dessous pour prendre un rendez-vous avec un de nos experts.