Vendredi 29 Janvier 2021
Laurent Leloup

Interview Yubico : Défi de l'authentification dans le secteur financier

Entretien avec Laurent Nezot, Directeur des ventes chez Yubico.


Le secteur des services financiers est l'une des principales cibles des cybercriminels, en raison de sa gestion significative d'informations personnelles identifiables et financières, ainsi que du potentiel de gains rapides grâce à des transferts d'argent frauduleux. Laurent Nézot, directeur des ventes chez Yubico, nous met en évidence les risques auxquels le secteur est actuellement confronté et comment les contenir.

Pouvez-vous dans un premier temps présenter rapidement Yubico et ce que vous faites ?

Laurent Nézot : Fondée en 2007, Yubico est une société suédoise dont l'objectif est de définir de nouvelles normes mondiales pour un accès simple et sécurisé aux ordinateurs, appareils mobiles, serveurs et comptes en ligne. L'invention principale de la société, la YubiKey, offre une protection matérielle solide, d'un simple toucher, sur un nombre illimité de systèmes informatiques et de services en ligne. De plus, Yubico est l'un des principaux contributeurs aux normes d'authentification ouvertes FIDO 2-WebAuth et FIDO Universal 2nd Factor ; et la technologie de l'entreprise est déployée et utilisée quotidiennement par 9 des 10 plus grandes marques d’Internet et par des millions d'utilisateurs dans plus de 160 pays.

Pourquoi le secteur des services financiers est-il particulièrement visé par les cybercriminels ?
De nombreux services financiers ont mis du temps à adopter des options d'authentification modernes pour leur équipe interne et leurs clients - au lieu de cela, ils continuent de s'appuyer sur des mots de passe ou des méthodes d'authentification à deux facteurs traditionnelles, comme les SMS, laissant des vulnérabilités exploitables par les cybercriminels.

Malheureusement, les mots de passe sont la forme d'authentification la plus couramment utilisée aujourd'hui, et les utilisateurs se lassent de créer de nouveaux mots de passe pour différents services et de devoir les changer régulièrement.

Par conséquent, les mots de passe utilisés sont simples et faciles à deviner. Beaucoup finissent également par réutiliser les mêmes mots de passe sur des comptes personnels et professionnels, où une violation d'un compte entraîne une violation de tous les autres qui possèdent les identifiants similaires. Ainsi, notre rapport sur les comportements en termes d’authentification révèle que les utilisateurs réutilisent en moyenne leurs mots de passe sur 16 comptes professionnels, et que les professionnels de la sécurité informatique sur une moyenne de 12 comptes professionnels.

Ainsi, les noms d'utilisateur et les mots de passe créent des risques de sécurité ?

Oui. Ils restent le maillon le plus faible de la sécurité des entreprises car ils sont sensibles à un éventail de vecteurs d'attaque : phishing, ingénierie sociale, force brute, ou encore « man-in-the-middle » (MitM). La plupart des menaces de sécurité, comme les attaques de phishing, impliquent généralement le vol d’identifiants afin de les utiliser pour accéder à des comptes sensibles, comme la banque de la victime ou d'autres services financiers.

Une attaque courante est très simple : des cybercriminels envoient de faux messages électroniques exhortant les utilisateurs à saisir à nouveau leurs identifiants, qui sont ensuite récoltés pour prendre le contrôle de comptes en ligne. De nombreuses attaques de phishing conduisent également à l'installation de logiciels malveillants, pour aider à perpétrer la compromission. Donc même si les utilisateurs configurent des mots de passe complexes, les pirates peuvent facilement y accéder via des attaques de phishing et MitM.

Mais comment les entreprises de services financiers peuvent-elles se débarrasser des mots de passe ?

De nombreux outils et techniques d'authentification forte existent pour augmenter ou remplacer les mots de passe. Alors que l'authentification moderne devrait être l'objectif final pour toutes les organisations, les services financiers doivent dans un premier temps déployer l'authentification à deux facteurs (2FA) en interne, en intégrant les options 2FA aussi dans leurs paramètres de sécurité de compte pour que leurs clients puissent en tirer parti, mais gardez à l'esprit que toutes les 2FA ne se valent pas.

En effet, l'authentification multifacteur sous forme de questions de sécurité, les codes SMS et OTP (codes d'accès à usage unique) sont courants et préférables à un simple mot de passe ; mais ces méthodes offrent peu de protection contre les prises de contrôle de compte, le phishing et les attaques man-in-the-middle. A l’inverse, les clés de sécurité matérielles, telles que la YubiKey, offrent une alternative moderne, sécurisée et rentable pour protéger les comptes en ligne contre le phishing et les usurpations de comptes. Les clés de sécurité matérielles offrent les plus hauts niveaux de sécurité contre les prises de contrôle de compte et empêchent les attaques ciblées.

Concrètement, comment fonctionnent les Yubikeys ?

Par ses capacités multi-protocolaires, multi-devices, multi-applicatifs, une YubiKey est en mesure de couvrir une variété importante de cas d’utilisation. Les YubiKeys peuvent être utilisés pour l'authentification à facteur unique, 2FA ou MFA, en fonction des exigences de l'organisation. En tant que solution à facteur unique, YubiKeys fournit une expérience d'authentification sécurisée et sans mot de passe, ne nécessitant que la possession de la clé et un simple toucher pour se connecter.

Pour l'authentification à deux facteurs (2FA), les YubiKeys sont utilisés comme deuxième facteur en plus d'une combinaison de nom d'utilisateur et de mot de passe, et pour MFA, les organisations peuvent exiger l'utilisation d'une YubiKey, en plus d'un PIN ou d’une identification biométrique avec la clé YubiKey Bio, bientôt disponible.

Qu'en est-il des réglementations et des audits ?

Le secteur des services financiers est en effet hautement réglementé et plusieurs législations imposent une authentification forte, notamment le RGPD (Règlement Générale pour la Protection des Données) et le PCI (Payment Card Industry). Les organisations de services financiers respectent les réglementations de conformité et les audits de sécurité en déployant une MFA forte avec la YubiKey ; car cette dernière permet une vérification sécurisée des utilisateurs avant de fournir un accès aux données sensibles et identifiables. En outre, Yubico et FIDO ont joué un rôle actif dans la directive PSD2 qui, à partir de mars 2021, imposera des procédures d'authentification des clients strictes pour les services de paiement en ligne, ainsi que le lancement et le traitement des paiements électroniques en ligne avec une technologie éprouvée.

Articles similaires