Vous voulez empêcher les pirates d’utiliser l’hameçonnage comme levier pour pénétrer dans votre environnement informatique ? Commencez à utiliser des authentificateurs multifacteurs à l’épreuve de l’hameçonnage, tels que des clés matérielles et des cartes de vérification d’identité.
C’est l’avis du National Institute for Standards in Technology (NIST) des États-Unis.
« Toutes les transactions ne nécessitent pas d’authentificateur à l’épreuve de l’hameçonnage », a déclaré l’agence dans un article de blog la semaine dernière. « Cependant, pour les applications qui protègent les informations sensibles (telles que les informations de santé ou les données confidentielles des clients), ou pour les utilisateurs disposant de privilèges élevés (tels que les administrateurs ou le personnel de sécurité), les organisations doivent appliquer, ou du moins proposer, des authentificateurs à l’épreuve de l’hameçonnage. »
Ces outils sont souvent plus faciles, plus rapides et plus pratiques que les procédures d’authentification multifactorielle – telles que les codes SMS basés sur du texte – que les employés peuvent actuellement utiliser, a ajouté l’agence.
Qu’est-ce qu’un authentificateur à l’épreuve de l’hameçonnage ? Tout ce qui ne permet pas à un attaquant d’utiliser l’hameçonnage pour obtenir un authentificateur – tel qu’un code d’AMF – qui accompagne les informations d’identification des utilisateurs pour accéder aux systèmes ou installations informatiques.
En effet, les cybercriminels trouvent de plus en plus de moyens d’inciter les employés à dévoiler accidentellement leurs codes. Une astuce consiste à amener les victimes à installer involontairement des logiciels malveillants permettant à une attaque par interception de voler le code d’authentification. L’attaquant prétend dans un courriel être un membre du personnel informatique avec une application de vérification de mot de passe que l’employé doit télécharger. Une partie importante du plan consiste à créer une page Web qui semble avoir été créée par l’employeur où l’application doit être téléchargée. L’application intercepte le nom d’utilisateur, le mot de passe et le code d’authentification de l’employé.
L’un des exemples les plus courants d’authentificateur à l’épreuve de l’hameçonnage est la carte de vérification de l’identité personnelle (VIP) utilisée par les employés et les sous-traitants du gouvernement. La carte contient la photo d’un utilisateur et des informations biométriques comme une empreinte digitale qui sont protégées par une cryptographie à clé publique. Insérez la carte dans un lecteur et l’accès est accordé.
Des exemples commerciaux d’authentificateurs à l’épreuve de l’hameçonnage sont les clés matérielles USB, Bluetooth ou NFC telles que la clé YubiKey, Google Titan et d’autres pour l’authentification multifacteur. Ceux-ci utilisent la norme d’authentification FIDO Alliance U2F Open. En tant que clé physique, il n’y a rien qu’un attaquant puisse intercepter. L’utilisateur insère la clé dans un port USB sur l’appareil enregistré (ou l’appareil est reconnu sans fil), puis appuie sur un bouton de la clé – ou utilise le lecteur d’empreintes digitales inclus – pour compléter l’authentification.
Tout authentificateur à l’épreuve de l’hameçonnage doit traiter ces vecteurs d’attaque associés au phishing, déclare le NIST :
Sites Web usurpés – Les authentificateurs à l’épreuve de l’hameçonnage empêchent l’utilisation d’authentificateurs sur des sites Web illégitimes (appelés vérificateurs) grâce à de multiples mesures cryptographiques. Ceci est réalisé grâce à l’établissement de canaux protégés authentifiés pour les communications et de méthodes pour restreindre le contexte d’utilisation d’un authentifiant. Par exemple, cela peut être réalisé grâce à la liaison de nom – où un authentificateur n’est valide que pour un domaine spécifique ( je ne peux l’utiliser que pour un site Web ). Cela peut également être réalisé en se liant à un canal de communication, comme dans TLS authentifié par le client ( je ne peux l’utiliser que sur une connexion spécifique ).
Attaque par interception – Les authentificateurs à l’épreuve de l’hameçonnage empêchent un attaquant par interception de capturer les données d’authentification de l’utilisateur et de les relayer vers le site Web de confiance. Ceci est réalisé grâce à des mesures cryptographiques, telles que l’exploitation d’un canal protégé authentifié pour l’échange d’informations et la signature numérique des données et des messages d’authentification.
Saisie par l’utilisateur – Les authentificateurs à l’épreuve de l’hameçonnage éliminent le besoin pour un utilisateur de saisir manuellement des données d’authentification sur Internet. Ceci est réalisé grâce à l’utilisation de clés cryptographiques pour l’authentification qui sont déverrouillées localement via un code biométrique ou un code NIP. Aucune information saisie par l’utilisateur n’est échangée entre le site Web de confiance et l’authentificateur lui-même.
Réutilisation – Les authentificateurs à l’épreuve de l’hameçonnage empêchent les attaquants d’utiliser ultérieurement les données d’authentification capturées. La prise en charge des contrôles cryptographiques pour restreindre le contexte et empêcher les scénarios d’attaque intermédiaire empêche également les attaques par réutilisation, en particulier les données d’authentification et de message signées numériquement et horodatées.
Selon le NIST, les authentificateurs à l’épreuve de l’hameçonnage sont un outil essentiel de la sécurité personnelle et d’entreprise qui devrait être adopté. « Ils ne sont pas », ajoute le blog, « une solution miracle. Les authentificateurs à l’épreuve de l’hameçonnage ne traitent qu’un seul objectif des attaques d’hameçonnage : la compromission et la réutilisation des authentificateurs tels que les mots de passe et les codes d’accès à usage unique. Ils n’atténuent pas les tentatives d’hameçonnage qui peuvent avoir d’autres objectifs tels que l’installation de logiciels malveillants ou la compromission d’informations personnelles à utiliser ailleurs. »
« Les authentificateurs à l’épreuve de l’hameçonnage doivent être associés à un programme complet de prévention de l’hameçonnage qui comprend une sensibilisation et une formation des utilisateurs, des contrôles de protection des courriels, des outils de prévention des pertes de données et des capacités de sécurité réseau. »
Adaptation et traduction française par Renaud Larue-Langlois.
