Prédictions 2023 de l’Alliance FIDO
décembre 2022 par Andrew Shikiar, Executive Director de l’Alliance FIDO
Andrew Shikiar, Executive Director et CMO de l’Alliance FIDO livre ses prédictions en matière d’authentification et de cybersécurité pour l’année 2023.
• Plusieurs fournisseurs de services Cloud de renom, victimes d’attaques de contournement MFA
Les fournisseurs de services Cloud se développent en termes de taille, de données et d’influence, ce qui en fait des cibles de choix pour les cyberattaques. En 2023, nous verrons beaucoup plus d’attaques sophistiquées et très médiatisées qui contournent le MFA traditionnel. Cloudflare et Twilio ont déjà relaté cette année leurs propres attaques du hack 0ktapus, où les employés ont été ciblés par SMS, et où les hackers ont contourné les codes OTP.
• Les passkeys continueront de susciter un vif intérêt
Le concept de passkey a été introduit en 2022 par l’Alliance FIDO en collaboration avec les principaux acteurs mondiaux des plateformes. Il a largement été salué comme un substitut plus sûr aux mots de passe – et est déjà adopté par PayPal aux Etats-Unis et d’autres fournisseurs de services. Les passkeys sont actuellement disponibles sur les plateformes Apple. La disponibilité intégrale sur Android, Chrome et Windows est prévue pour le début de l’année 2023.
Par conséquent, nous verrons davantage de grandes marques adopter les passkeys en 2023, ce qui entraînera une sensibilisation et une demande plus larges de la part des consommateurs. Nous sommes d’ores et déjà optimistes, puisque notre récente étude a révélé que près de 40 % des 18-34 ans avaient déjà cette technologie dans leur ligne de mire, un chiffre qui devrait augmenter dans cette tranche d’âge et plus largement.
• Tous les MFA ne sont pas égaux, et les SMS OTP ne suffisent pas
Tous les MFA ne se valent pas. Au cours des douze derniers mois, nous avons observé une recrudescence des kits de hackers disponibles sur le dark web, permettant de contourner facilement et à moindre coût les MFA par SMS. L’année 2023 sera l’année où les SMS OTP seront enfin reconnus comme une méthode d’authentification inadaptée.
En définitive, tout se résume à une distinction essentielle : les informations d’identification pouvant être piratées et celles qui ne le peuvent pas. Un code à usage unique est un identifiant lisible par l’homme et transmissible, ce qui signifie qu’il peut être hameçonné et utilisé pour s’emparer de comptes de la même manière que les mots de passe. Le MFA par SMS constitue une option de conformité facile pour les banques et les distributeurs dans le cadre d’une réglementation stricte comme la DSP2, mais cette approche peut et doit changer. Les évolutions réglementaires sont plus longues que la prise de conscience du secteur, mais il est probable que les mentalités évoluent au cours de l’année prochaine.
• Le métavers n’est pas réservé qu’aux plus jeunes, et doit être sécurisé en conséquence
Le terme "métavers" peut être considéré comme un mot à la mode, ou un monde virtuel réservé aux plus jeunes, amateurs d’univers tels que Roblox, mais les avis des analystes divergent. Le marché B2B du métavers est évalué à près de 39 milliards de dollars. Il est certain que nous allons commencer à voir cet espace devenir une cible croissante pour les hackers, avec une remise en question de la manière de créer et de vérifier les comptes, et avec une obligation renforcée pour le MFA à mesure que les attaques gagnent en ampleur et en sophistication.
• La vérification de l’identité se généralise
La conversation autour de Twitter Blue a rapidement amené la vérification de l’identité dans le langage courant. En effet, combien d’utilisateurs ordinaires se souciaient réellement de leur identité sur les réseaux sociaux ou autres applications ? Bien que ce sujet soit au cœur des préoccupations des acteurs de la protection de l’identité depuis un certain temps, en 2023, un plus grand nombre de parties prenantes dans davantage d’entreprises commenceront à saisir cet impératif. Les utilisateurs seront également touchés, pas uniquement par les réseaux sociaux comme Twitter, mais aussi par le système d’identité de Mastercard ou encore l’initiative européenne du portefeuille électronique.
L’arrivée de ces services d’identité (Mastercard et EU Digital Wallet) soulèvera également des questions de facilité d’utilisation, de sécurité et d’interopérabilité. Les utilisateurs doivent bénéficier d’une expérience cohérente et être rassurés quant au traitement diligent de leurs données par les services d’identité. De nombreuses administrations publiques se tournent déjà vers des normes existantes, et les modèles d’authentification déléguée vont se développer. Ainsi, les opérateurs peuvent vérifier les informations nécessaires sur les utilisateurs – comme la date de naissance ou le pays de résidence – sans que ceux-ci aient besoin de transmettre leurs de données sensibles à des tiers.
• Un smishing plus intelligent
Le smishing, ou hameçonnage par SMS, a connu une croissance massive au second semestre de 2022, et il devrait continuer à envahir nos notifications l’année prochaine. En outre, ces attaques pourraient devenir encore plus difficiles à repérer à mesure que les malfaiteurs affinent leurs techniques. La multiplication des données personnelles disponibles en ligne, ainsi que l’amélioration de l’IA et des outils d’extraction de ces données, vont rendre ces attaques plus convaincantes et tromper même ceux qui pensent être bien informés. Le point positif : à mesure que le smishing se propagera, les consommateurs feront moins confiance aux SMS comme canal de communication. Cédant ainsi le passage pour les fournisseurs de services à l’adoption d’autres méthodes d’authentification non falsifiables.