En bref : parce qu’il n’y a pas de meilleure méthode. Et pourtant, les entreprises sont au service de leurs utilisateurs. Or, si la plupart des utilisateurs affirment que pour eux la sécurité l’emporte sur l’aspect pratique, leurs actions viennent totalement démentir cette affirmation. À titre d’exemple, une étude menée par Google suggère que même lorsque des utilisateurs ont été victimes d’un piratage de leur compte, moins de 10 % d’entre eux adoptent l’authentification multifactorielle (MFA) en raison de la complexité et des frictions associées.*

Toute méthode d’authentification recherche le juste équilibre entre simplicité d’utilisation, sécurité et facilité de déploiement. Pour remplacer les mots de passe, une nouvelle solution doit donc égaler les mots de passe sur ces trois aspects et les surpasser sur au moins l’un d’entre eux. En effet, le simple échange d’un ensemble d’avantages contre un autre ne suffira pas à inciter entreprises et utilisateurs à changer de système.*

Une meilleure authentification multifacteur

Une solution hypothétique à ce problème de maximisation est l’authentification multifactorielle invisible (iMFA). Contrairement aux solutions de MFA actuelles, qui reposent généralement sur un mot de passe combiné à un SMS, un mot de passe à usage unique envoyé par courrier électronique ou un jeton physique, l’authentification iMFA s’appuierait sur des facteurs invisibles pour l’utilisateur. Plus précisément, elle collecterait et traiterait le nombre maximal de signaux sans effort :
– Le nombre maximal de signaux : l’authentification sur le Web converge vers un modèle d’authentification non binaire où toutes les informations disponibles sont prises en compte pour chaque transaction avec une obligation de moyens. L’ensemble du contexte des interactions d’un utilisateur avec un site Web peut être utilisé pour offrir la meilleure visibilité possible sur le profil de risque d’un utilisateur.
– La collecte et le traitement sans effort des signaux : la sécurité doit être assurée en arrière-plan, afin de ne pas gêner les utilisateurs. En assurant la sécurité sans générer d’impact sur le client, les entreprises peuvent atténuer les menaces à un coût minimal sans introduire de frictions et sans déranger les utilisateurs. Par exemple, la plupart des fournisseurs de courrier électronique se sont contentés d’approches de classement du courrier en fonction de modèles connus de comportement des attaquants. Ces moyens de défense ne sont ni gratuits ni faciles à mettre en œuvre, les grands opérateurs du Web consacrant souvent des ressources importantes au suivi de l’évolution des utilisations frauduleuses. Pourtant, ce coût est généralement bien inférieur à celui de toute approche exigeant que les utilisateurs modifient leur comportement.*

L’authentification iMFA pourrait être mise en œuvre en combinant des outils comme WebAuthn et des signaux comportementaux.* Le stockage des informations d’identification et la vérification des utilisateurs peuvent être assurés de manière sécurisée par WebAuthn, et l’autorisation continue peut-être complétée par des signaux comportementaux. Les facteurs classiques de l’authentification MFA (« quelque chose que vous savez », « quelque chose que vous avez » et « quelque chose que vous êtes ») sont issus de WebAuthn. Et le facteur le plus récent, « quelque chose que vous faites », provient de signaux comportementaux, y compris de nouveaux types de biométrie. De plus, la génération de ces différents signaux ne nécessite qu’un seul geste de la part de l’utilisateur, ce qui représente un effort bien moindre que la saisie d’un mot de passe. En combinant ces méthodes et en recalculant constamment leur fiabilité grâce à l’apprentissage automatique, il est possible de parvenir au résultat recherché : sécurité accrue et diminution des frictions avec les utilisateurs, le tout simultanément, ce qui est assez rare pour être souligné.

Une solution provisoire

Néanmoins, l’authentification iMFA ne peut pas remplacer les mots de passe du jour au lendemain. Les utilisateurs réfractaires au changement auront en effet besoin d’une transition progressive. Les sites Web devront donc toujours intégrer une solution comme WebAuthn dans leurs protocoles d’authentification. Sans l’urgence que peut faire peser une menace spécifique sur la sécurité, de nombreux sites prendront probablement leur temps pour adopter cette norme. En outre, le processus d’intégration d’un mastodonte comme Amazon pourrait être extrêmement compliqué, ce qui explique probablement pourquoi les sociétés de navigation de sites Web ont apporté leur soutien initial, mais n’ont pas été suivies par les sociétés de commerce électronique et les sites de réseaux sociaux.

Si l’adoption d’une nouvelle méthode prend des années, que doivent faire les entreprises en attendant ? Mettre les attaquants en déroute en les privant de leur ressource la plus précieuse : le temps. Les attaques de credential stuffing (utilisation automatisée d’identifiants de connexion dérobés pour accéder de manière frauduleuse à des comptes d’utilisateurs) reposent généralement sur des motivations financières, et les acteurs à l’origine de ces attaques ne disposent pas d’un capital illimité. Si une entreprise parvient à augmenter considérablement le temps requis aux pirates pour monétiser leurs attaques, la plupart des cybercriminels abandonneront leur cible au profit de cibles plus faciles.

Introduire davantage de temps dans la chaîne d’élimination du credential stuffing

Un bon point de départ consiste à compliquer le déchiffrement des credential spills (attaques de bourrage d’identifiants). Cela peut sembler évident, mais chaque entreprise doit améliorer ses méthodes de sécurisation de mots de passe. Si les mots de passe sont hachés via MD5, les entreprises doivent opter pour une solution plus sûre comme bcrypt. Ainsi, lorsqu’un attaquant parvient à pénétrer dans leur base de données, il est confronté à un délai d’attente pour décrypter les informations d’identification compromises avant même de pouvoir lancer une attaque.

Les entreprises devraient également rechercher des moyens de contraindre les pirates informatiques à développer des attaques uniques pour chaque cible. Supposons qu’un attaquant aux méthodes perfectionnées ait fait main basse sur 100 000 identifiants décryptés auxquels il est certain que personne d’autre n’a accès, du moins pour le moment. Cet attaquant sait que 100 000 nouveaux identifiants devraient se traduire, en moyenne, par environ 1 000 piratages de comptes sur un site Web d’envergure. Selon le raisonnement de cet attaquant aux méthodes sophistiquées, le jeu n’en vaut peut-être pas la chandelle : pour parvenir à s’emparer de 1 000 comptes de particuliers, il faudrait en effet qu’il consacre plusieurs semaines à développer, tester, lancer et monétiser son attaque. En revanche, ce qui lui semblerait intéressant serait d’attaquer plusieurs cibles simultanément, en s’introduisant dans des dizaines de milliers de comptes à la fois. La solution serait de rechercher des entreprises qui pourraient être attaquées à l’aide du même logiciel : en d’autres termes, des cibles ayant une infrastructure similaire.
Par conséquent, l’attaquant ne ciblerait pas une seule entreprise, mais plusieurs simultanément, en l’occurrence un détaillant, une banque, une entreprise de réseaux sociaux et une application mobile de covoiturage. Il a pu développer une attaque qui cible la version Android des applications mobiles construites sur le même Framework. Son attaque est extrêmement sophistiquée : elle ne réutilise aucune ressource plus de deux fois, échappant ainsi à toute mesure de limitation du débit mise en place par l’entreprise ciblée. Pourtant, si l’attaquant croit avoir paré à toute éventualité, notamment en ne réutilisant pas la même adresse IP alors qu’il vise une seule et même cible, il n’a pas pensé qu’il serait surpris en train de recycler des ressources sur différentes cibles.

Ce schéma de pensée des attaquants est reconnu, car cette situation exacte s’est produite en 2018 pour quatre clients de Shape. Comme tous opèrent sur une plate-forme de défense commune, une attaque contre l’un d’entre eux est, en réalité, une attaque dirigée contre tous. Dans la mesure où l’attaquant a recyclé les ressources et les modèles de comportement des quatre entreprises dans un laps de temps très court, Shape a pu rassembler très rapidement suffisamment de données pour identifier l’attaque. Ainsi, le regroupement des attaques a en fait joué en défaveur de l’attaquant, mais uniquement parce que les renseignements étaient partagés entre les différentes cibles.

Ne pas renoncer !

Il est impossible de détecter instantanément 100 % des attaques, 100 % du temps. Ce qui est possible en revanche, c’est de rendre les attaques si coûteuses que les pirates informatiques y renoncent rapidement ou ne retentent même pas une nouvelle attaque. La cybercriminalité est un marché juteux. Les attaques sont organisées en fonction d’un taux de rendement prévisible. S’il y a une phrase qui se vérifie aussi bien dans le monde des cybercriminels que dans celui des affaires, c’est que le temps, c’est de l’argent.

* When will we get rid of Password – Étude F5

** What is credentials Stuffing – Etude F5