Depuis que les employés ont commencé à travailler à domicile pour lutter contre la pandémie de COVID-19, tout le monde sait que le nombre d'attaques d’hameçonnage lancées contre les organisations est monté en flèche. Une enquête menée auprès de 425 professionnels de l'informatique et publiée par HYPR, une coentreprise créée par Comcast, Samsung et Mastercard pour éliminer le besoin de mots de passe, et Cybersecurity Insiders révèlent que 90 % des répondants ont subi des attaques contre leur organisation en 2020.
Près d'un tiers (29 %) ont déclaré avoir subi une attaque par bourrage d'identifiants, au cours de laquelle il était clair que les cybercriminels tentaient d'utiliser un grand nombre de noms d'utilisateurs et de mots de passe volés pour compromettre applications et systèmes.
Cependant, malgré toutes ces attaques, près de la moitié des personnes interrogées (48 %) ont déclaré ne pas avoir de solution sans mot de passe. Parmi ceux qui en ont une, 91 % ont déclaré que la principale raison pour laquelle ils ont investi dans l'authentification multifactorielle (AMF) était de contrecarrer les attaques d’hameçonnage, suivie par l'amélioration de l'expérience utilisateur (61 %).
Adoption de solutions sans mot de passe
En termes d'approches de l'authentification multifactorielle sans mot de passe, 36 % des personnes interrogées ont déclaré utiliser des téléphones intelligents comme clés FIDO, 17 % des clés de sécurité matérielle telles que Yubico Yubikey ou Google Titan, et 17 % des outils d'authentification intégrés tels que Windows Hello.
Malheureusement, l'authentification sans mot de passe n'est pas encore très répandue, et même lorsqu'elle est utilisée, ce qui constitue précisément l'absence de mot de passe peut donner lieu à des interprétations. Parmi les organisations qui ont adopté l'AMF, la principale méthode d'authentification des utilisateurs finaux est un message envoyé sur leur téléphone intelligent (73 %). Toutefois, de nombreuses organisations s'appuient encore sur une authentification multifactorielle en deux étapes pour vérifier les utilisateurs, 61 % d'entre elles déclarant que leur approche d'une solution "sans mot de passe" nécessite encore un secret partagé comme mot de passe sous-jacent, un mot de passe à usage unique (OTP) ou un code SMS.
Du côté positif, 90 % des personnes interrogées ont déclaré qu'elles considéraient qu'il était essentiel ou assez important d'éliminer les secrets partagés pour l'authentification. Cependant, plus des deux tiers (67 %) ont déclaré que leur entreprise ne disposait pas des compétences et des équipes nécessaires pour garantir une adoption à grande échelle.
Dans l'ensemble, près des trois quarts (73 %) ont déclaré que le moyen le plus pratique d'utiliser l'authentification multifactorielle sans mot de passe serait d'utiliser un téléphone intelligent. Près des deux tiers des répondants (65 %) ont également indiqué que l'interopérabilité entre plusieurs fournisseurs de services d'identité est importante.
Dépasser les mots de passe
Compte tenu de la prévalence des attaques par hameçonnage, il devrait être évident que la dépendance actuelle à l'égard des mots de passe est dépassée. L’hameçonnage a toujours été un problème, mais avec l'augmentation du nombre d'employés travaillant à domicile, un plus grand nombre de ces attaques compromettent les mots de passe appartenant à des initiés de l'entreprise. Par conséquent, les menaces internes, sous la forme d'acteurs malveillants se faisant passer pour quelqu'un d'autre, sont devenues un problème majeur. Si l'on ajoute à ce problème une dépendance accrue à l'égard des processus d'entreprise numérique, les dommages potentiels que ces acteurs malveillants peuvent infliger atteignent des proportions stupéfiantes.
La seule façon d'éliminer ces menaces est d'éliminer une fois pour toutes le mot de passe. Tant qu'il y aura des mots de passe, il y aura des attaques d’hameçonnage. Il n'est pas possible de changer le comportement des cybercriminels. La seule chose que les organisations peuvent contrôler, ce sont les méthodes utilisées pour authentifier les utilisateurs finaux. Si cette méthode dépend d'une forme de mot de passe, ce n'est qu'une question de temps avant que ce mot de passe ne soit compromis. À un moment ou à un autre, les entreprises devront admettre qu'à l'heure actuelle, elles font davantage partie du problème d’hameçonnage que de la solution.
Par Mike wizard
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.