En août, le La société d’infrastructure Internet Cloudflare était l’une des centaines de cibles d’une vague massive de phishing criminel qui a réussi à percer de nombreuses entreprises technologiques. Alors que certains employés de Cloudflare ont été trompés par les messages de phishing, les attaquants n’ont pas pu creuser plus profondément dans les systèmes de l’entreprise. En effet, dans le cadre des contrôles de sécurité de Cloudflare, chaque employé doit utiliser une clé de sécurité physique pour prouver son identité lors de la connexion à toutes les applications. Quelques semaines plus tard, la société a annoncé une collaboration avec le fabricant de jetons d’authentification matérielle Yubikey pour offrir des clés à prix réduit aux clients Cloudflare.
Cependant, Cloudflare n’était pas la seule entreprise à être à la hauteur de la protection de la sécurité des jetons matériels. Plus tôt ce mois-ci, Apple a annoncé la prise en charge des clés matérielles pour les identifiants Apple, sept ans après le premier déploiement de l’authentification à deux facteurs sur les comptes d’utilisateurs. Et il y a deux semaines, le navigateur Vivaldi a annoncé la prise en charge des clés matérielles pour Android.
La protection n’est pas nouvelle, et de nombreuses grandes plates-formes et entreprises soutiennent depuis des années l’adoption de clés matérielles et exigent que les employés les utilisent comme l’a fait Cloudflare. Mais ce dernier regain d’intérêt et de mise en œuvre vient en réponse à un éventail de menaces numériques croissantes.
“Les clés d’authentification physiques sont aujourd’hui parmi les méthodes les plus efficaces pour se protéger contre les prises de contrôle de compte et le phishing”, déclare Crane Hassold, directeur du renseignement sur les menaces chez Abnormal Security et ancien analyste du comportement numérique pour le FBI. “Si vous y réfléchissez comme une hiérarchie, les jetons physiques sont plus efficaces que les applications d’authentification, qui sont meilleures que la vérification par SMS, qui est plus efficace que la vérification par e-mail.”
L’authentification matérielle est très sécurisée, car vous devez posséder physiquement la clé et la produire. Cela signifie qu’un hameçonneur en ligne ne peut pas simplement inciter quelqu’un à donner son mot de passe, ou même un mot de passe plus un code de second facteur, pour pénétrer dans un compte numérique. Vous le savez déjà intuitivement, car c’est tout le principe des clés de porte. Quelqu’un aurait besoin de votre clé pour déverrouiller votre porte d’entrée – et si vous perdez votre clé, ce n’est généralement pas la fin du monde, car quelqu’un qui la trouve ne saura pas quelle porte elle déverrouille. Pour les comptes numériques, il existe différents types de clés matérielles basées sur les normes d’une association de l’industrie technologique connue sous le nom de FIDO Alliance, y compris les cartes à puce dotées d’une petite puce de circuit, les cartes tactiles ou les porte-clés qui utilisent la communication en champ proche, ou des choses comme les Yubikeys qui se branchent sur un port de votre appareil.
Vous avez probablement des dizaines, voire des centaines de comptes numériques, et même s’ils prenaient tous en charge les jetons matériels, il serait difficile de gérer les clés physiques pour chacun d’eux. Mais pour vos comptes les plus précieux et ceux qui sont une solution de repli pour d’autres connexions, à savoir votre messagerie électronique, la sécurité et la résistance au phishing des clés matérielles peuvent signifier une grande tranquillité d’esprit.
Pendant ce temps, après des années de travail, l’industrie technologique a finalement franchi des étapes importantes en 2022 vers un avenir sans mot de passe promis depuis longtemps. Cette décision s’appuie sur une technologie appelée “passkeys” qui est également basée sur les normes FIDO. Les systèmes d’exploitation d’Apple, Google et Microsoft prennent désormais en charge la technologie, et de nombreuses autres plates-formes, navigateurs et services l’ont adopté ou sont en train de le faire. L’objectif est de permettre aux utilisateurs de gérer plus facilement l’authentification de leur compte numérique afin qu’ils n’utilisent pas de solutions de contournement non sécurisées telles que des mots de passe faibles. Même si vous le souhaitez, les mots de passe ne vont pas disparaître de sitôt, grâce à leur omniprésence. Et au milieu de tout le buzz autour des clés de sécurité, les jetons matériels sont toujours une option de protection importante.
« FIDO a positionné les clés d’accès quelque part entre les mots de passe et les authentificateurs FIDO basés sur le matériel, et je pense que c’est une caractérisation juste », déclare Jim Fenton, consultant indépendant en confidentialité et sécurité des identités. “Alors que les clés de sécurité seront probablement la bonne réponse pour de nombreuses applications grand public, je pense que les authentificateurs matériels continueront à jouer un rôle pour les applications à plus haute sécurité, comme pour le personnel des institutions financières. Et les consommateurs plus soucieux de la sécurité devraient également avoir la possibilité d’utiliser des authentificateurs matériels, en particulier si leurs données ont déjà été piratées, s’ils ont une valeur nette élevée ou s’ils sont simplement préoccupés par la sécurité.
Bien qu’il puisse sembler intimidant au début d’ajouter une autre bonne pratique à votre liste de tâches de sécurité numérique, les jetons matériels sont en fait faciles à configurer. Et vous obtiendrez beaucoup de kilométrage simplement en les utilisant sur quelques, euh, comptes clés.
