Comment protéger au mieux les mots de passe grâce aux notifications push
Les mots de passe sont-ils toujours la meilleure solution pour protéger les comptes dans les entreprises ? Pulse a publié une enquête sur la sécurité des mots de passe qui révèle que 38 % des personnes interrogées utilisent quotidiennement entre 4 et 6 comptes protégés par un mot de passe. Par ailleurs, 49 % admettent que leurs équipes informatiques résolvent chaque jour en moyenne 9 problèmes liés au mot de passe. La plupart des sondés reconnaissent que le télétravail généralisé en conséquence de la pandémie au cours de ces derniers mois n’a fait qu’aggraver les choses. Ce qui est surprenant dans ces cas, c’est que bien qu’ils soient conscients des difficultés, ils ne sont que 38 % à dispenser une formation annuelle sur la protection des mots de passe à leurs collaborateurs.
De surcroît, 91 % considèrent que les couches de sécurité supplémentaires sont une source de frustration pour les utilisateurs finaux. Bien qu’ayant parfaitement conscience des avantages que pourraient leur apporter des outils tels que les gestionnaires de mots de passe (32 % déclarent y avoir recours), ils regrettent que ces outils ne soient pas suffisamment intuitifs ou faciles à utiliser aux yeux des utilisateurs, en ce qu’ils les obligent à s’authentifier manuellement pour accéder à leur compte.
Ce qui est inquiétant, c’est que les entreprises ont conscience de l’importance de protéger leurs mots de passe, mais que pour des raisons différentes, à commencer par la complexité des outils pour les collaborateurs et les utilisateurs, elles ne mettent pas en place tous les dispositifs de sécurité qu’elles devraient. Même les mots de passe les plus complexes peuvent être piratés par les cybercriminels en utilisant des enregistreurs de touches de type cheval de Troie ou des outils comme Mimikatz. Les utilisateurs se limitent généralement à utiliser 2 à 5 mots de passe, et ces mots de passe peu complexes sont également parfois connus de leurs proches pour faciliter le partage des abonnements à des plateformes de streaming ou d’autres plateformes. Le risque existe donc qu’ils soient piratés au moyen de techniques d’ingénierie sociale telles que l’hameçonnage.
Bon nombre d’identifiants finissent également sur le Dark Web à la suite d’une fuite de données et ces mots de passe restent exposés. Tant que l’entreprise ignore avoir été victime d’une brèche de sécurité, les mots de passe pourront être exploités à des fins malveillantes.
Face à ce constat, les entreprises n’ont d’autre choix que de mettre en place des solutions d’authentification multifacteur (MFA). Les solutions d’authentification multifacteur sans mot de passe ne manquent pas, mais elles ne sont pas très flexibles et se limitent très souvent à certaines fonctions (se connecter à l’ordinateur, par exemple). La plupart des sites et des services Web ne les prennent donc pas encore en charge. De plus, ceux qui les prennent en charge ont presque toujours besoin d’un mot de passe de validation, comme c’est le cas pour les applications des banques qui prennent en charge la biométrie avec la reconnaissance faciale sur le téléphone portable, mais qui exigent toujours aussi un mot de passe supplémentaire.
C’est pourquoi la meilleure solution pour les entreprises consiste, dans la plupart des cas, à mettre en place des solutions MFA avec des notifications push. Si un pirate informatique met la main sur des identifiants valides et tente de se connecter au compte, l’utilisateur légitime recevra une notification push (qui comprend généralement des données de référence comme la position géographique de la personne qui a tenté de se connecter) exigeant une confirmation. Si l’utilisateur l’ignore ou la rejette, l’auteur de la cybermenace se retrouve bloqué. De plus, cette solution présente un autre avantage non négligeable : les utilisateurs légitimes sont alertés lorsque leur mot de passe a été obtenu sans leur autorisation ou a été publié sur le Dark Web, ce qui leur permet de le modifier rapidement. Il est également important d’insister sur la nécessité de former les utilisateurs avant de mettre en place l’authentification multifacteur. Ceux-ci doivent avoir conscience de l’importance de toujours consulter le message d’alerte avant de l’approuver ou de le rejeter, ce qui leur évite de cliquer par négligence.
Pour ceux qui utilisent des mots de passe temporaires à usage unique, il existe toujours le risque que le pirate informatique parvienne également à cloner le téléphone portable, avec une application RAT, et en créant un clone de l’appareil mobile avec son seed. Pour ces cas de figure, il existe une fonctionnalité de protection MFA supplémentaire, qui non seulement vérifie le numéro de téléphone, mais s’assure aussi que l’appareil récepteur est le vrai, via un algorithme de chiffrement/hachage spécialement lié au matériel de l’appareil préenregistré, comme s’il s’agissait d’un ADN mobile. Pour les entreprises, cela permet de réduire considérablement le principal risque en matière de vulnérabilité aux accès non autorisés : les identifiants de leurs salariés.