Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Prédictions cybersécurité 2023 et au-delà : l’authentification biométrique

janvier 2023 par Thomas Manierre, Directeur EMEA Sud de BeyondTrust

Vendredi dernier, Thomas Manierre, Directeur EMEA Sud
de BeyondTrust, prédisait les risques et opportunités que
représenteront les technologies obsolètes. Aujourd’hui, il parle
de nouveaux process d’authentification avec l’essor de la
technologie biométrique.

Selon Thomas Manierre, « si les comptes personnels sont généralement
encore adossés à des mots de passe, avec les technologies de
reconnaissance, on aura moins besoin de mémoriser, récupérer et taper
de mots de passe.
Des technologies sans mot de passe avancées seront de plus en plus
utilisées par les applications, soit pour authentifier elles-mêmes,
soit pour solliciter une technologie biométrique, comme Microsoft Hello
ou Apple FaceID ou TouchID, avant d’autoriser un accès. Pour le moment,
quand la reconnaissance faciale échoue, l’utilisateur doit toujours
entrer un mot de passe sous forme de code mais à l’avenir, la
combinaison d’au moins deux méthodes de reconnaissance (ex. empreintes
digitales, style de frappe, rythmes des mouvements du corps) permettra
de collecter suffisamment d’information pour identifier assurément la
personne. Alors certes, cela fait des années que l’on annonce la fin
prochaine du mot de passe, et il en a peut-être encore pour des
années, mais le tournant est pris et ce de façon définitive. L’essor
de l’authentification principale sans mot de passe va porter un coup
fatal au mot de passe personnel.

De plus, en 2022, des cybercriminels comme Lapsus$ ont révélé les
limites de l’authentification multifactorielle (MFA). Le jargon de la
cybersécurité s’est enrichi d’expressions désignant de nouvelles
tactiques, comme MFA bombing, MFA bypass ou encore MFA fatigue. En 2023,
il y a fort à parier que de nouveaux vecteurs d’attaque émergeront,
visant à contourner les stratégies d’authentification
multifactorielle. Les risques du recours au SMS pour l’authentification
bifactorielle sont bien connus. Il y a quelques années, NIST a publié
des recommandations officielles [1] incitant à cesser d’utiliser le SMS
pour la double validation d’identité 2FA.

Malheureusement, comme de nombreuses entreprises continuent d’utiliser
le SMS pour leurs besoins d’authentification, les vecteurs d’attaque par
SMS des cybercriminels ont gagné en sophistication, et incluent
désormais des attaques de point d’eau, d’incitation à contourner
l’authentification MFA ou encore Advisory in the Middle (AitM) pour
compromettre les solutions d’authentification qui utilisent toujours le
SMS pour les besoins de vérification d’identité. Ces attaques
deviennent plus fiables et sophistiquées que celles basiques de
piratage de carte SIM puisque l’appareil mobile n’est pas la cible.
L’an prochain, tout comme le SMS, des notifications push et d’autres
techniques de MFA seront exploitées. Les entreprises subiront une forme
d’érosion de leurs fondations MFA par des techniques abusives visant à
compromettre l’intégrité MFA et elles seront incitées à adopter des
solutions MFA ayant recours à des technologies biométriques ou
conformes à FIDO2.
Dans dix ans, il est probable que ces solutions sans mot de passe seront
à leur tour jugées vulnérables et obsolètes. »


Voir les articles précédents

    

Voir les articles suivants