Passer au contenu principal
Sécurisez votre identité en ligne avec la MFA et DMARC

Sécurisez votre identité en ligne avec la MFA et DMARC

4 janvier 2023
Nouvelles de l'écosystèmeTechnologie du courrier électroniquePerspectives sur la sécurité

Le FBI rapporte qu'en 2021, les pertes dues aux cyberattaques se sont élevées à 6,9 milliards de dollars. Cela représente une augmentation de 64 % des pertes par rapport à 2020. Près de 330 000 des plaintes reçues par le FBI concernaient le phishing, de loin le principal cybercrime l'année dernière.

Nous recevons tous des recommandations de nos banques, compagnies d'assurance, magasins en ligne, prêteurs hypothécaires et autres organisations pour activer l'authentification multifacteur (AMF), également appelée authentification à deux facteurs (A2F) ou vérification en 2 étapes (V2E). Nous recevons des conseils similaires dans des articles sur les cybermenaces et les moyens d'améliorer la posture de cybersécurité d'une organisation. Et à juste titre.

Nous pensions autrefois que les mots de passe étaient tout ce dont nous avions besoin pour sécuriser nos comptes en ligne, mais la puissance de traitement est devenue considérablement moins chère au fil des ans, de sorte que les ressources pour pirater des comptes sont nettement plus abordables et largement disponibles.

Une méthode courante utilisée par les cybercriminels pour accéder à l'un de vos comptes consiste à envoyer des e-mails de phishing qui vous dirigent vers une fausse page de connexion ; lorsque vous saisissez votre nom d'utilisateur et votre mot de passe, ils ont capturé vos identifiants. Étant donné que les gens utilisent souvent le même mot de passe ou de légères variations pour plusieurs comptes, les acteurs malveillants qui disposent désormais de vos identifiants peuvent tenter d'accéder à vos autres comptes en ligne.

Normes de mot de passe

Les normes de mot de passe ont évolué au fil des ans pour les rendre plus difficiles à pirater, que ce soit par l'ingénierie sociale ou la devinette de mots de passe. Vous souvenez-vous quand nos comptes en ligne ont commencé à nous obliger à utiliser une majuscule, un chiffre, un caractère spécial et un nombre minimum de caractères ?

Plus récemment, nous constatons un changement de terminologie, car il est souvent demandé une phrase de passe (passphrase) au lieu d'un mot de passe. L'idée est que les phrases sont plus complexes, plus difficiles à pirater et plus faciles à mémoriser. Cependant, que ce soit par le biais d'e-mails de phishing, de la force brute, de logiciels malveillants, de identifiants achetés sur le dark web ou de bonnes suppositions, les criminels parviennent toujours à leurs fins.

La prochaine itération pour prouver l'identité en ligne et éliminer le risque d'identifiants compromis s'oriente vers la suppression du besoin de mots de passe. En raison des problèmes de sécurité liés aux mots de passe, Apple, Google et Microsoft ont annoncé lors de la Journée nationale du mot de passe qu'ils allaient « étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par la FIDO Alliance et le World Wide Web Consortium. Cette nouvelle fonctionnalité permettra aux sites web et aux applications d'offrir des connexions sans mot de passe cohérentes, sécurisées et faciles aux consommateurs sur tous les appareils et plateformes. » Cette nouvelle fonctionnalité de connexion devrait être déployée au cours de l'année 2023.

Authentification multifacteur

Pour fournir un second contrôle au-delà de votre mot de passe afin de prouver et de sécuriser votre identité en ligne, l'AMF intervient comme une double vérification dans le processus d'authentification. En attendant d'atteindre un avenir entièrement sans mot de passe, il est essentiel pour les organisations de configurer l'AMF pour tous les appareils et applications et d'en rendre l'utilisation obligatoire. Cela peut empêcher les criminels d'accéder à vos comptes ainsi qu'aux données et privilèges d'accès qu'ils contiennent.

Le NIST identifie les trois facteurs suivants comme les piliers de l'authentification :

  • Quelque chose que vous savez (par exemple, un mot de passe)
  • Quelque chose que vous possédez (par exemple, un badge d'identification ou une clé cryptographique)
  • Quelque chose que vous êtes (par exemple, une empreinte digitale ou d'autres données biométriques)

D'autres secteurs d'activité reconnaissent la valeur de l'AMF pour sécuriser les comptes. Face à l'augmentation des attaques, des réclamations, des coûts et des indemnisations, les compagnies d'assurance abordent le sujet des contrôles de sécurité pour évaluer la posture de cybersécurité d'une organisation. Les assureurs posent souvent des questions sur les contrôles de cybersécurité fondamentaux comme l'AMF et DMARC dans les demandes d'assurance cyber.

Cependant, depuis l'introduction de l'AMF, nous apprenons que toutes les solutions d'AMF ne sont pas égales ; les criminels trouvent des moyens de contourner certaines méthodes d'AMF, généralement par des exploits de phishing. Il est utile de consulter cette liste d'AMF résistantes au phishing de notre ami Roger Grimes.

La Cybersecurity & Infrastructure Security Agency (CISA) approfondit le sujet ici et a plus récemment publié deux guides sur l'AMF : Mise en œuvre de l'AMF résistante au phishing et Mise en œuvre de la correspondance numérique dans les applications AMF.

Conseils DMARC

Ces recommandations complètent les conseils de 2019 du NIST pour déployer DMARC et ses standards d'authentification sous-jacents SPF et DKIM afin d'améliorer la confiance dans les e-mails. Puis en 2022, la CISA, en coordination avec le NIST, a publié des objectifs de performance de cybersécurité de référence — des pratiques recommandées pour les propriétaires de technologies de l'information et de technologies opérationnelles, incluant un ensemble de pratiques de sécurité.

Dans la section 8.3 — Sécurité des e-mails, DMARC, SPF et DKIM sont recommandés pour « réduire les risques liés aux menaces courantes basées sur les e-mails, telles que l'usurpation d'identité, le phishing et l'interception. » En combinant la MFA et DMARC, les attaques sont maîtrisées et votre domaine est protégé pour créer un service sécurisé et fiable sur Internet.

Les États-Unis ne sont pas les seuls à recommander DMARC ; l'UE a développé des normes de sécurité pour la communication par e-mail qui incluent également SPF, DKIM et DMARC. « Les communications sur Internet sont régies par un ensemble de normes adoptées au niveau international, » déclare la Commission européenne. « Celles-ci permettent aux serveurs et appareils connectés de savoir exactement comment envoyer et recevoir des messages. À mesure que la technologie progresse et que les menaces évoluent, de nouvelles normes sont créées pour améliorer la sécurité d'Internet. »

La robustesse des systèmes d'authentification est largement déterminée par le nombre de facteurs intégrés par le système — plus le nombre de facteurs utilisés est élevé, plus le système d'authentification est robuste.

NIST

En plus du déploiement de DMARC et de l'utilisation de phrases de passe à la place des mots de passe, nous encourageons l'exploitation de l'AMF pour sécuriser les comptes.

Nous avons intégré une solution MFA à notre plateforme de gestion DMARC. Notre fonctionnalité de sécurité MFA permet l'authentification par jeton avec une application, telle que Authy ou Google Authenticator, ou le second facteur universel FIDO, qui prend en charge les clés de sécurité physiques comme Yubikey ou Nitrokey.

Protégez les personnes qui dépendent de votre messagerie

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

cybersécuritéavantages DMARCMFA

Articles connexes