Non, les mots de passe ne sont pas morts et les clés USB de sécurité peuvent être le meilleur moyen de les protéger

Atlantico : L’infrastructure Internet CloudFlare a été l’une des centaines de cibles d’une campagne de phishing criminel massive. Dans quelle mesure aujourd’hui détenir une clé USB physique est important ? Les salariés sont-ils mieux armés face au piratage avec cet outil ?  

Loïc Guezo : Les attaques de phishing consistent à envoyer des mails frauduleux qui simulent une page de connexion sur un système légitime. L’utilisateur est amené à remplir son identifiant et le mot de passe correspondant et tombe alors sous le contrôle de l’attaquant qui peut lui-même réutiliser ou vendre ce mot de passe et s’en servir à la place de l’utilisateur. Cela est très dangereux car cela donne accès à tous les systèmes d’information, aux données, aux applications à l’attaquant.

Afin de régler ce problème, l’identification double facteurs a été conçue. En plus de donner un log in et un mot de passe, il faut prouver son identité.

Le système d’identification forte le plus simple  est une clé physique qui est donc obligatoirement présente pendant la phase de connexion. Il ne suffit plus de connaître l’identifiant et le mot de passe afin de pouvoir dérouler le schéma de connexion et accéder au système d’information.

Nous nous étions habitués à la disparition de ces clés physiques. Elles semblent retrouver leurs lettres de noblesse actuellement.

Les systèmes d’identification forte sont très utilisés. Ils ont eu des premiers succès avec les clés physiques. Dans des versions anciennes, il s’agissait de clés mono usages. Elles étaient dédiées à un système. Elles ont vite trouvé des limites. Si vous aviez cinq ou dix systèmes, il fallait autant de systèmes d’authentification différents.

Pour les banques, certaines vous donnaient une carte avec des codes qu’il fallait transmettre ou vous proposaient une clé physique. D’autres établissements bancaires utilisaient des SMS.

Les systèmes inventés tendaient à être les plus fluides possibles.

Mais en réalité les clés physiques ont retrouvé un attrait au moment des grandes campagnes de phishing.

Il y a actuellement de plus en plus de pass key. Il s’agit d’un intermédiaire entre les clés physiques multiples qui deviennent par leur multiplicité compliquées à utiliser au quotidien. Le pass key offre une qualité d’authentification forte, tout en intégrant une ergonomie plus simple. Il est possible d’avoir des trousseaux de clé qui sont gérés sur un smartphone.

Le directeur sur les menaces chez Abnormal Security explique que les clés d’identification font partie des méthodes les plus efficaces aujourd’hui pour se protéger contre les prises de contrôle de phishing. Y a-t-il une évolution dans la manière de pirater ?

Les attaquants sont effectivement très habiles dans la façon de tromper les victimes en leur présentant des mails de phishing avec des mires de connexion qui sont très crédibles alors que ce sont des mires, des sites frauduleux qui sont sous le contrôle des attaquants.

Ils obtiennent très facilement des identifiants et des mots de passe avec ce mécanisme.

La barrière pour lutter contre ce phénomène est de passer sur d’autres identifications fortes. Le premier niveau est la clé physique.

Au sein du Clusif, il s’agit d’un sujet que nous suivons tous les ans dans le cadre de notre panorama annuel de la cybercriminalité.  Ce sujet sera abordé le 26 janvier prochain d’ailleurs lors d’un séminaire public.

Un nouveau mode de hacking est apparu, le MFA Fatigue. Les pirates réagissent à la mise en place de ces clés physiques, des pass keys. L’utilisateur va être submergé de requêtes jusqu’à ce qu’il en valide une pour enregistrer un équipement technique qui est sous le contrôle des attaquants. Cela vise les personnes qui sont protégées par les clés physiques.