Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Dashlane révèle la faiblesse des sites populaires US

novembre 2018 par Dashlane

L’étude 2FA de Dashlane révèle la faiblesse des offres d’authentification à deux facteurs des sites populaires US

Les équipes de Dashlane ont testées et notées chaque site en s’appuyant sur 3 critères essentiels du système d’authentification à deux facteurs. Dashlane a donc attribué 1 point aux sites proposant une authentification via SMS ou email, 1 point à ceux acceptant les solutions logicielles (type Google Authenticator) et 3 points lorsqu’il est possible d’utiliser un dispositif matériel (comme une clé YubiKey ou U2F). Ce système de notation permet d’atteindre la note maximale de 5/5. Les sites qui n’ont pas obtenus cette note ont donc échoués à ce test puisqu’ils n’offrent pas à leurs utilisateurs la palette complète des options de l’authentification 2FA.

Les équipes de Dashlane ont testées et notées chaque site en s’appuyant sur 3 critères essentiels du système d’authentification à deux facteurs. Dashlane a donc attribué 1 point aux sites proposant une authentification via SMS ou email, 1 point à ceux acceptant les solutions logicielles (type Google Authenticator) et 3 points lorsqu’il est possible d’utiliser un dispositif matériel (comme une clé YubiKey ou U2F). Ce système de notation permet d’atteindre la note maximale de 5/5. Les sites qui n’ont pas obtenus cette note ont donc échoués à ce test puisqu’ils n’offrent pas à leurs utilisateurs la palette complète des options de l’authentification 2FA.

Manque d’options 2FA sur la plupart des sites web

Seuls 8 sites (24%) sur les 34 examinés par Dashlane ont passé le test avec succès : Bank of America, Dropbox, E*TRADE, Facebook, Google, Stripe, Twitter et Wells Fargo. A l’opposé, 4 sites testés n’offraient aucune des options 2FA : Best Buy, NextDoor, TaskRabbit et ZocDoc.

Couche de sécurité supplémentaire

Le système 2FA est l’un des meilleurs moyens pour mettre en place un niveau de sécurité supplémentaires à n’importe quel compte puisqu’il requiert de toute personne tentant d’y accéder un second moyen d’authentification tel qu’un code envoyé sur le téléphone. Même si aucune méthode d’authentification forte n’est infaillible, celles basées sur l’utilisation d’un dispositif matériel sont de loin les plus efficaces, puisqu’il faudrait que le pirate potentiel ait accès non seulement au mot de passe mais aussi à la clé matérielle, et ce au même moment. C’est précisément ce pour quoi Dashlane a été le premier gestionnaire de mot de passe à travailler avec les clés Universal 2nd Factor (U2F) soutenu par Yubico et l’Alliance FIDO.

Méthodologie

L’étude a été menée par les chercheurs Dashlane du 10 au 23 octobre 2018. Les chercheurs ont ainsi évalué trois critères 2FA sur 34 sites Web populaires auprès des consommateurs américains :

1. Solution 2FA par SMS et/ou email : le site a été crédité d’un point s’il offrait une forme d’authentification à deux facteur par SMS et/ou email.

2. Solution 2FA par solution logicielle : le site a été crédité d’un point s’il offrait une forme d’authentification à deux facteur acceptant un dispositif logiciel, comme Authy ou Google Authenticator. Dashlane a aussi favorisé les sites offrant leurs propres solutions logicielles.

3. Système d’authentification par dispositif matériel : le site a été crédité de 3 points s’il proposait une forme d’authentification à deux facteurs basé sur un dispositif matériel comme YubiKey, Google Titan et les clés d’authentification physique U2F. Les sites ont aussi été crédités s’ils proposaient leur propre dispositif matériel.

La note maximum est donc de 5/5. Toute site ayant eu une note inférieure à 5 est considérée comme avoir échoué car cela signifie que le site n’offre pas à ses utilisateurs la gamme complète des options d’authentification à deux facteurs.

Dashlane a évalué les options 2FA que les sites offrent pour les connexions sur les navigateurs. Leurs équipes ont évalué les informations publiques sur les options d’authentification forte sur les pages de sécurité et de confidentialité des sites web évalués en ouvrant une session sur les navigateurs Chrome et Safari. Dashlane n’a pas évalué les options 2FA pour les applications mobiles, les navigateurs mobiles ou les applications de bureau des sites. Dashlane n’a pas testé les options 2FA fournies pour les actions effectuées après qu’un utilisateur se soit connecté avec succès, telles que les achats en ligne, l’ajout d’un identifiant, etc.

Le classement complet est disponible ici : blog.dashlane.com/2fa-rankings/




Voir les articles précédents

    

Voir les articles suivants