Skip to main content
Sécurisez votre identité en ligne avec MFA et DMARC

Sécurisez votre identité en ligne avec MFA et DMARC

- 4 janvier 2023
Nouvelles de l'écosystèmeSécurité du courrier électroniqueTechnologie de l'email

Le FBI rapporte qu 'en 2021, les attaques de cybersécurité ont entraîné des pertes de 6,9 milliards de dollars. Il s'agit d'une augmentation de 64 % des pertes par rapport à 2020. Près de 330 000 des plaintes reçues par le FBI concernaient le phishing, de loin le premier crime sur Internet l'année dernière.

Nous recevons tous des recommandations de nos banques, compagnies d'assurance, magasins en ligne, fournisseurs de prêts hypothécaires et autres organisations pour activer l'authentification multifactorielle (MFA), alias authentification à deux facteurs (2FA) ou vérification en deux étapes (2SV). Nous recevons des conseils similaires dans les articles sur les cybermenaces et les moyens d'améliorer la posture de cybersécurité d'une organisation. Et ce, à juste titre.

Nous avions l'habitude de penser que les mots de passe étaient tout ce dont nous avions besoin pour sécuriser nos comptes en ligne, mais la puissance de traitement est devenue nettement moins chère au fil des ans, de sorte que les ressources permettant de pirater les comptes sont beaucoup plus abordables et largement disponibles.

Une méthode populaire utilisée par les cybercriminels pour accéder à l'un de vos comptes consiste à envoyer des courriels de phishing qui vous conduisent à une fausse page de connexion ; lorsque vous saisissez votre nom d'utilisateur et votre mot de passe, ils ont capturé vos informations d'identification. Comme les gens utilisent souvent le même mot de passe ou de légères variations pour plusieurs comptes, les acteurs malveillants qui disposent maintenant de vos informations d'identification peuvent tenter d'accéder à vos autres comptes en ligne.

Normes relatives aux mots de passe

Les normes relatives aux mots de passe ont évolué au fil des ans pour les rendre plus difficiles à pirater, que ce soit par l'ingénierie sociale ou par la devinette du mot de passe. Vous vous souvenez quand nos comptes en ligne ont commencé à nous obliger à utiliser une majuscule, un chiffre, un caractère spécial et un nombre minimum de caractères ?

Plus récemment, nous avons assisté à un changement de termes, puisque l'on demande souvent une phrase de passe au lieu d'un mot de passe. L'idée est que les phrases sont plus complexes, plus difficiles à pirater et plus faciles à retenir. Pourtant, que ce soit par le biais d'un courriel d'hameçonnage, de la force brute, d'un logiciel malveillant, d'informations d'identification achetées sur le dark web ou d'une simple supposition, les criminels parviennent à leurs fins.

La prochaine itération pour prouver l'identité en ligne et éliminer le risque de compromettre les informations d'identification va dans le sens de l'élimination des mots de passe. En raison des problèmes de sécurité liés aux mots de passe, Apple, Google et Microsoft ont annoncé, lors de la Journée nationale du mot de passe, qu'ils allaient "étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. Cette nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des ouvertures de session sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et toutes les plateformes." La nouvelle fonctionnalité de connexion est censée être déployée au cours de l'année 2023.

Authentification multifactorielle

Pour fournir un deuxième contrôle au-delà de votre mot de passe afin de prouver et de sécuriser votre identité en ligne, l'AMF intervient comme une double vérification dans le processus d'authentification. Tant que nous n'aurons pas atteint un avenir sans mot de passe, il est vital pour les organisations de configurer l'AMF pour tous les appareils et applications et de rendre son utilisation obligatoire. Cette mesure peut empêcher les criminels d'accéder à vos comptes, aux données et aux privilèges d'accès qu'ils contiennent.

Le NIST identifie les trois facteurs suivants comme étant les pierres angulaires de l'authentification :

  • Quelque chose que vous connaissez (par exemple, un mot de passe)
  • Quelque chose que vous avez (par exemple, un badge d'identification ou une clé cryptographique)
  • Quelque chose que vous êtes (par exemple, une empreinte digitale ou d'autres données biométriques)

D'autres secteurs d'activité voient la valeur de l'AMF dans la sécurisation des comptes. Face à l'augmentation des attaques, des réclamations, des coûts et des indemnités, les compagnies d'assurance abordent le sujet des contrôles de sécurité pour évaluer la position d'une organisation en matière de cybersécurité. Les souscripteurs posent souvent des questions sur les contrôles de cybersécurité fondamentaux tels que MFA et DMARC dans les propositions de cyberassurance.

Depuis l'introduction de l'AMF, nous apprenons cependant que toutes les solutions d'AMF ne sont pas égales ; les criminels trouvent des moyens de contourner certaines méthodes d'AMF, généralement par des exploits de phishing. Cela vaut la peine de consulter cette liste de MFA résistant au phishing par notre ami Roger Grimes.

L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) s'y attarde ici et a récemment publié deux documents d'orientation sur la MFA : Implementing Phishing-Resistant MFA et Implementing Number Matching in MFA Applications.

Conseils sur le DMARC

Ces recommandations complètent le conseil donné en 2019 par le NIST de déployer DMARC et ses normes d'authentification sous-jacentes SPF et DKIM pour renforcer la confiance dans le courrier électronique. Puis en 2022, la CISA, en coordination avec le NIST, a publié des objectifs de performance de base en matière de cybersécurité - despratiques recommandéespour les propriétaires de technologies de l'information et de technologies opérationnelles, y compris un ensemble de pratiques de sécurité.

Dans la section 8.3 - Sécurité du courrier électronique, DMARC, SPF et DKIM sont recommandés pour "réduire les risques liés aux menaces courantes basées sur le courrier électronique, telles que l'usurpation, le phishing et l'interception". En combinant MFA et DMARC, les attaques sont contrôlées et votre domaine est protégé pour créer un service protégé et de confiance sur Internet.

Les États-Unis ne sont pas les seuls à recommander DMARC ; l'Union européenne a élaboré des normes de sécurité pour la communication par courrier électronique qui comprennent également SPF, DKIM et DMARC. "Les communications sur l'internet sont régies par un ensemble de normes adoptées au niveau international", explique la Commission européenne. "Celles-ci permettent aux serveurs et aux appareils connectés de savoir exactement comment envoyer et recevoir des messages. À mesure que la technologie progresse et que les menaces évoluent, de nouvelles normes sont créées pour améliorer la sécurité de l'internet."

La force des systèmes d'authentification est largement déterminée par le nombre de facteurs incorporés par le système - plus il y a de facteurs employés, plus le système d'authentification est robuste.

NIST

Outre le déploiement de DMARC et l'utilisation de phrases de passe à la place des mots de passe, nous encourageons l'utilisation du MFA pour assurer la sécurité des comptes.

Nous avons intégré une solution MFA à notre plateforme de gestion DMARC. Notre fonction de sécurité MFA permet une authentification basée sur un jeton avec une application, comme Authy ou Google Authenticator, ou un second facteur universel FIDO, qui permet d'utiliser des clés de sécurité physiques comme Yubikey ou Nitrokey.

Protégez les personnes qui dépendent de votre courrier électronique

Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.

cybersécuritéAvantages de DMARCMFA

Postes connexes