Corsha, une startup de cybersécurité basée à Washington DC, a obtenu un investissement de série A de 12 millions de dollars pour apporter l’authentification multifacteur (MFA) au trafic API de machine à machine.
Les API, qui permettent à deux applications sur Internet de communiquer entre elles, sont devenues au cœur des efforts de transformation numérique des organisations pendant la pandémie. Cela a fait des API une cible de choix pour les pirates malveillants, Gartner prédisant que les API constitueront le plus grand vecteur d’attaque de la cybercriminalité d’ici cette année. Les vulnérabilités de l’API ont récemment été à l’origine d’un certain nombre de failles de sécurité très médiatisées : Peloton a divulgué les informations de compte privé des utilisateurs ; Experian a exposé les antécédents financiers de millions d’Américains ; et Facebook, LinkedIn et Clubhouse ont tous eu des données d’utilisateurs supprimées en raison d’API mal sécurisées.
Afin d’éviter que d’autres organisations ne subissent le même sort, Corsha a développé une solution MFA automatisée pour le trafic d’API de machine à machine.
En règle générale, si une application ou un service souhaite effectuer un appel d’API, il exploite un facteur d’authentification principal tel qu’un certificat PKI ou un jeton Web JSON. Corsha renforce ces demandes avec un identifiant MFA à usage unique construit à partir de l’identité dynamique de la machine et vérifié par rapport à un réseau de grand livre distribué cryptographiquement vérifiable. La demande d’API n’est acceptée que s’il existe une correspondance entre les informations d’identification MFA et l’identité de cette machine, et chaque appel d’API nécessite une nouvelle information d’identification à usage unique, permettant un accès zéro confiance aux services API d’une organisation.
« Avec l’authentification MFA humaine, dès que vous téléchargez et configurez votre authentificateur, vous épinglez l’accès à votre machine de confiance. C’est ce que nous faisons dans le monde des API », a déclaré à TechCrunch la cofondatrice et directrice technique de Corsha, Anusha Iyer.
Alors que la MFA n’est en aucun cas à l’abri des pirates – les acteurs de la menace ont pu dans le passé contourner la MFA en utilisant l’échange de carte SIM et les attaques de type “man-in-the-middle” (MITM) – Corsha décrit sa technologie brevetée comme “MFA ++”.
“Nous sommes capables de le faire de manière unique, en ce sens qu’il n’y a pas de référentiel central où nous détenons ce dispositif maître secret où quelqu’un pourrait nous compromettre. Nous l’avons inversé, de sorte que l’origine de la MFA se produit sur la machine elle-même. Le garder hors de vue de l’attaquant était essentiel pour nous », a déclaré le co-fondateur et PDG de Corsha, Chris Simkins.
Avant de fonder la startup en 2018, Simpkin a travaillé pour le ministère de la Justice (DoJ) dans le cadre de sa division de la sécurité nationale.
Le lien de la startup avec le gouvernement américain ne s’arrête pas là, car Corsha en 2020 a sécurisé l’US Air Force comme son premier client en 2020, qui utilise la technologie pour sécuriser les données critiques en mouvement sur les plates-formes de l’Air Force. “Notre premier client hors du bloc était le gouvernement américain, et cela a été un très bon validateur pour nous”, a ajouté Simkins.
L’investissement de série A de la startup, co-dirigé par Eleven Ventures et Razor’s Edge Ventures avec la participation de 1843 Capital, verra Corsha étendre ses efforts de commercialisation dans l’entreprise. Il s’agit également d’une frénésie d’embauche rapide, a déclaré Simkins à TechCrunch, alors qu’il cherche à renforcer son équipe actuelle de 10 employés.
