Principaux renseignements
- Les mots de passe sont limités dans leur capacité à protéger les données sensibles.
- Un changement de paradigme par rapport aux systèmes basés sur les mots de passe est nécessaire en raison des attaques de phishing sophistiquées et du vol de cookies de session.
- WebAuthn offre une alternative sécurisée aux méthodes d’authentification traditionnelles, en s’appuyant sur la possession physique et la vérification biométrique.
Les limites des mots de passe
Le 1er mai 2025, lors de la Journée mondiale du mot de passe, l’accent sera mis sur les limites des mots de passe et des méthodes de vérification basées sur la connaissance dans le contexte actuel des menaces.
Selon le rapport 2025 Active Adversary de Sophos, les identifiants compromis sont la principale méthode d’attaque pour la deuxième année consécutive, représentant 41 pour cent des cas. Cela souligne la nécessité urgente de renforcer les mesures de sécurité pour protéger les données sensibles contre le vol de données de connexion.
La nécessité d’un changement de paradigme
Si les solutions d’authentification à deux ou plusieurs facteurs (2FA/MFA) sont largement utilisées, elles reposent souvent sur des codes secrets basés sur la connaissance et partagés par SMS ou via des applications d’authentification. Malheureusement, ces méthodes restent vulnérables aux attaques de phishing sophistiquées et au vol de cookies de session à l’aide d’outils tels que evilginx2. Cette dépendance constante à l’égard de modules complémentaires vulnérables retarde l’abandon inévitable des mots de passe.
Le paysage des cybermenaces exige un changement de paradigme qui s’éloigne des systèmes basés sur des mots de passe et des secrets partagés. Les experts en cybersécurité considèrent WebAuthn, en particulier avec les clés d’accès, comme une alternative sûre. Ce protocole génère une paire de clés publique/privée unique stockée localement : la clé publique sur le serveur du service et la clé privée sur l’appareil de l’utilisateur, ainsi que le nom du service et l’identifiant de l’utilisateur. Les utilisateurs n’ont plus besoin de mots de passe ou de codes secrets pour se connecter. Au lieu de cela, le serveur envoie un défi d’authentification qui ne peut être résolu que si l’utilisateur possède physiquement l’appareil et peut prouver qu’il possède la clé privée grâce à des données biométriques.
Résistant aux techniques classiques d’hameçonnage
Cette authentification à deux facteurs ne repose pas sur les connaissances de l’utilisateur, mais sur la possession physique et la vérification biométrique, ce qui la rend résistante aux techniques classiques d’hameçonnage. Le processus comprend également une authentification mutuelle, qui permet aux utilisateurs de vérifier l’identité du service. Contrairement aux méthodes basées sur la connaissance, les deux parties s’authentifient mutuellement.
Considérations relatives à la mise en œuvre
WebAuthn, basé sur la norme FIDO2, offre une protection éprouvée contre le phishing tout en simplifiant l’authentification des utilisateurs. Cependant, certaines précautions sont essentielles pour une mise en œuvre réussie : stockage sécurisé des clés (appareil ou nuage), adhésion et adoption par l’organisation, et sensibilisation au vol de cookies de session en tant que vulnérabilité potentielle. Les cybercriminels évoluent constamment dans leurs tactiques, ce qui fait de l’adoption de ces technologies une priorité stratégique en matière de cybersécurité pour les organisations.
Chester Wisniewski, directeur de Sophos, Global Field CISO, souligne la nécessité d’aller au-delà des mots de passe et des secrets partagés. Les clés d’accès ou passkeys représentent la solution la plus puissante pour construire un avenir sans mots de passe, sans phishing et sans compromissions à grande échelle.
Si vous souhaitez accéder à tous les articles, abonnez-vous ici!