Arnaud Gallut, directeur commercial France de Ping Identity (fournisseur de solutions de sécurité basées sur les identités), revient sur les méthodes de piratage des cybercriminels envers les particuliers et les professionnels
Le mois de décembre est déjà amorcé et nous savons tous que fin d’année rime généralement avec dépenses. Notre bonne conscience peut se réjouir avec le Black Friday (et le Cyber Monday), cette tradition américaine nous permettant de faire de bonnes affaires. Mais nous ne sommes pas les seuls : les cybercriminels profitent également des fêtes de fins d’années pour se remplir les bourses.
Les cybercriminels n’ont pas besoin de croire au père noël pour être gâtés
Rappelez-vous le méga-piratage subi par la chaîne de magasins américains Target en décembre 2013. Selon les estimations, ces derniers avaient perdu plus de 236 millions de dollars, avec une chute considérable de leurs bénéfices au cours des trois trimestres ayant suivi l’attaque[1]. Le plus inquiétant dans cette histoire est la facilité avec laquelle les cybercriminels ont mené cette attaque, grâce à une vulnérabilité dans un système extérieur. Les auteurs ont en effet volé des identifiants à un sous-traitant chargé de la maintenance de la climatisation, puis s’en sont servis comme porte dérobée virtuelle pour s’introduire dans les systèmes centraux de Target.
Il s’agit là d’un mode opératoire classique pour des cybercriminels chevronnés. Selon une étude de Verizon[2], pas moins de 97 % des piratages commis cette année ont été commis grâce au vol d’identifiants à des partenaires disposant d’un accès légitime.
Si le simple volume des transactions commerciales à l’approche des fêtes aiguise l’attention des cybercriminels, les cyberattaques sont une source d’inquiétude pour les commerçants tout au long de l’année. Cette année serait également la première où tous les commerçants interrogés citent les cybermenaces parmi les principaux risques pour leur entreprise.
Plusieurs rapports du Ponemon Institute font état de grosses pertes d’argent et de données pour les entreprises lors de cyberattaques :
– les commerçants subissent en moyenne au moins huit cyberattaques par an, dont 74 % sont considérées comme des menaces avancées[3] ;
– le coût total moyen d’un piratage de données se monte à 4 millions de dollars ;
– il existe une probabilité de 26 % pour qu’une attaque de grande ampleur soit menée au cours des 24 prochains mois, entraînant la perte ou le vol de 10 000 enregistrements[4].
L’étude de Verizon désigne notamment les intrusions sur des TPV (les attaques à distance contre les terminaux de paiement par carte) comme l’un des vecteurs les plus courants de cyberattaques. Ce type de piratage se révèle du reste efficace, puisque 98 % des incidents signalés ont abouti à la fuite de données5.
En matière de piratage d’identifiants, Verizon pointe sans ambiguïté la responsabilité de l’authentification statique. Un avis que partagent nombre d’autres experts tels Gartner et KuppingerCole. Qualifiant l’authentification à un seul facteur de « principale faiblesse exploitée par les auteurs d’attaques », Verizon conseille vivement de compléter les mots de passe par un second facteur d’authentification.
Comment renforcer les mots de passe
L’authentification forte à deux facteurs est certes un progrès mais ses inconvénients sont bien connus. Le coût en est souvent prohibitif et surtout, l’adoption par les utilisateurs notoirement difficile. Une meilleure solution réside dans l’authentification multi-facteur (MFA) contextuelle.
L’authentification à un seul facteur exige généralement de l’utilisateur de ne fournir qu’un seul élément qu’il connaît (mot de passe, par exemple). L’authentification MFA, pour sa part, permet d’y ajouter un ou plusieurs facteurs supplémentaires, correspondant à des éléments physiques en sa possession (carte ou clé) ou caractérisant sa personne (empreintes digitales ou rétiniennes).
L’authentification MFA contextuelle va encore plus loin en dépassant les identifiants traditionnels. Elle s’appuie sur le contexte afin de déterminer le niveau de risque associé et applique des facteurs d’authentification en fonction de ce risque (géolocalisation de l’utilisateur, connaissance du terminal utilisé précédemment…). En faisant appel à une authentification complémentaire uniquement lorsque cela est nécessaire, elle offre une solution à la fois souple, pragmatique et sécurisée qui optimise l’expérience utilisateur… et réduit les coûts pour votre entreprise.
La Fevad (Fédération du E-commerce et de la Vente à Distance) plébiscite également ce mode d’authentification dans l’e-commerce, considérant que l’utilisation trop systématique de l’authentification forte aurait un impact négatif sur le développement de la vente en ligne.
[1] https://www.bdo.com/insights/industries/retail-consumer-products/2016-bdo-retail-riskfactor-report
2 Etude DBIR (Data Breach Investigations Report) 2016
3 https://securityintelligence.com/media/2016-cost-data-breach-study/
4 Verizon 2016 Data Breach Investigations Report
5 Ibid