Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’authentification par les réseaux sociaux et les failles de sécurité

novembre 2018 par Nicolas Petroussenko, Country Manager France, Okta

Plus un jour sans l’annonce d’une nouvelle faille de sécurité ! Et franchement, cela n’aide vraiment pas à créer de la confiance aussi bien auprès des utilisateurs que des entreprises ! Récemment, une faille au sein du réseau social Facebook a particulièrement fait parler d’elle. Ce qui rend cette brèche de sécurité si particulière, c’est que de nombreuses personnes, entreprises et applications utilisent justement l’authentification via un réseau social tel Facebook pour accéder à leurs propres systèmes et services.

Les services en ligne délèguent de plus en plus la partie authentification à ces réseaux sociaux, car d’une part cela a de nombreuses vertus du point de l’expérience utilisateur et d’autre part cela permet à ces organisations de s’affranchir de la gestion d’un sujet majeur et bien plus compliqué qu’il n’y paraît : l’accès sécurisé à leurs services. Ainsi, une faille de sécurité sur un réseau social a un impact qui va bien au-delà de la plateforme sociale en elle-même et touche des milliers d’applications et des millions d’utilisateurs en cascade. Mais si l’authentification ou la fédération des identités semble être le coupable désigné, au final, elles n’ont fait que permettre au problème de se diffuser plus largement ! Il s’avère que ce type de failles permet en réalité de se rendre compte des pratiques de sécurité souvent trop insuffisantes pour identifier les utilisateurs et leur donner accès en toute sécurité aux ressources et services auxquels ils doivent pouvoir accéder. Le problème sous-jacent de la brèche Facebook est l’usurpation d’identité : à chaque fois que vous permettez à un utilisateur ou à un système d’agir au nom d’un autre, c’est-à-dire en délégation, vous créez toujours un risque important. Il existe pourtant des pratiques relativement simples que les entreprises peuvent mettre en place pour réduire ces risques.

Le système auquel l’utilisateur s’identifie, et tous ceux qui en dépendent en cascade, doit comprendre comment différencier le véritable utilisateur d’un usurpateur. Toute hypothèse erronée, faute ou vulnérabilité dans le système d’authentification peut mettre en danger l’ensemble de la chaîne et générer des failles critiques. Cela n’est pas le fait d’un seul fournisseur, réseau social ou organisation, c’est le défi global de la gestion de l’identité numérique aujourd’hui. C’est donc un sujet qui doit être traité avec les plus grandes précautions et la plus grande diligence pour éviter d’être victime de nouvelles cyber-attaques.

1. Imposer l’authentification multi-facteurs au niveau du fournisseur d’identité
En premier lieu, permettre un second niveau d’authentification doit être une pratique par défaut de votre fournisseur d’identité (IdP), que ce soit un IdP d’entreprise tel Okta, ou un IdP social tel Facebook. Utiliser un IdP rend le processus d’authentification bien plus simple et sécurisé aussi bien pour l’utilisateur final que pour l’organisation : avec l’authentification dite sociale, quand un consommateur visite un nouveau site web, au lieu de créer un nouveau compte, il peut à la place choisir l’option « S’authentifier avec X », et utiliser Facebook, Google ou LinkedIn comme service d’authentification. Une fois authentifié sur l’un de ces services d’authentification, l’utilisateur est alors redirigé vers le site web initial et son profil y est automatiquement créé ! Certains sites web vont un peu plus loin, et utilisent les informations de profils utilisateurs déjà en leur possession, telles l’email par exemple, pour rechercher si cet utilisateur n’existe pas déjà et dans ce cas, appareiller ce nouveau compte avec l’utilisateur existant. Les programmes de fidélité font souvent cela à des fins marketing, alors que les banques, par exemple, le font à des fins d’amélioration de l’expérience d’utilisateurs de plus en plus connectés. Nous avons tous fait ces expériences d’authentification dite sociale dans notre vie et il est évident que cela nous simplifie la vie en tant qu’utilisateur.

Parce qu’un IdP est la source de confiance de tous les autres systèmes, il est précisément l’endroit le plus important à protéger. Le problème c’est qu’une organisation n’a pas d’autre choix que d’être certaine à 100 %, et à chaque instant, de l’identité des utilisateurs de ses services, alors qu’il suffit d’une seule fois à un criminel pour atteindre sa cible. N’oublions pas que 80 % des failles de sécurité aujourd’hui sont le fait d’identifiants usurpés (techniques de phishing) encore d’identifiants bien trop faibles et donc faciles à percer (attaque par force brute ou encore le « password spraying »). Une fois que l’on a bien identifié le problème, on comprend pourquoi l’authentification multi-facteurs doit devenir une pratique essentielle de toute politique de sécurité moderne.

2. Imposer l’authentification multi-facteurs avant de lier des comptes
En second lieu, imposer un deuxième facteur d’authentification avant de connecter un compte utilisateur à celui d’un réseau social. Prenons un exemple de ce qui pourrait se produire en utilisant une authentification par réseau social sur votre service de banque en ligne. Si j’arrive à obtenir vos identifiants Facebook/Google/etc (voir techniques ci-dessus) et que je vais sur votre service bancaire en ligne puis choisis l’option « S’authentifier avec X », votre banque me donnera accès à votre service en ligne en pensant que je suis vous ! Ainsi, si votre compte social et votre compte bancaire sont déjà liés, pour la banque, je suis VOUS. Avant de lier de lier vos comptes avec un compte de réseau social, il faut certainement prendre quelques mesures de précautions supplémentaires.

Que vous soyez une banque, une chaine hôtelière ou toute autre entreprise en contact avec le grand public, il faut d’abord utiliser le peu d’informations dont vous avez déjà connaissance sur l’utilisateur pour introduire d’autres facteurs d’authentification avant de lier les deux comptes. Ainsi, utiliser l’email ou le numéro de mobile afin de demander à l’utilisateur de confirmer que la connexion a été volontairement initiée par lui, ou au pire des cas, le notifier de cette demande afin de lui donner la possibilité de contrecarrer une tentative d’accès frauduleuse en son nom, devrait être une procédure obligatoire. Et, si votre fournisseur d’identité supporte la mise en place de politiques d’authentification multi-facteurs, vous pouvez alors désigner certaines applications comme étant à risques et demander, pour elles seulement, une authentification complémentaire, et ce quelle que soit la manière dont l’utilisateur s’authentifie. De nombreux clients Okta utilisent ce processus en interne pour les systèmes de paie ou en externe pour changer les réservations liées à des déplacements.

3. « Zéro Trust » pour l’authentification par les réseaux sociaux
Enfin il faudrait considérer par défaut toute authentification par un réseau social comme une connexion à faible voire très faible niveau de sécurité. C’est l’approche « Zéro Trust ». Ainsi, toute transaction, comme la réservation d’une chambre, un transfert d’argent ou la remise à zéro d’un mot de passe doit imposer une seconde authentification ou un consentement explicite de l’utilisateur. Même si cette mesure de sécurité peut sembler peu pratique voire un peu lourde, c’est la façon la plus efficace de limiter la fraude, préserver l’image de votre marque, tout en permettant à vos utilisateurs d’utiliser les services modernes auxquels ils souhaitent accéder.

Tout cela ne signifie pas que la gestion fédérée des identités doit être abandonnée : les principes de base de l’authentification par réseau social restent valables, en particulier parce que c’est souvent plus simple tant pour l’utilisateur que pour le fournisseur de services, et en définitive cela peut même contribuer à réduire la surface d’attaque des comptes utilisateurs en limitant le nombre de comptes pour lesquels ils doivent gérer de nouveaux identifiants.

Les avantages de l’authentification par réseau social sont clairs : une authentification simple pour l’utilisateur et une gestion d’accès fédérée pour de nombreux services. Mais sans y adjoindre des politiques d’authentification multi-facteurs, le risque sécuritaire reste élevé !




Voir les articles précédents

    

Voir les articles suivants