Essai gratuit

Podcast

Pourquoi FIDO est l'avenir de l'authentification

Écoutez Will LaSala, directeur technique de OneSpan, s'entretenir avec Expert Insights des raisons pour lesquelles les entreprises devraient passer à FIDO, une méthode d'authentification plus forte et plus intuitive.

Pourquoi FIDO est l'avenir de l'authentification

Fichier audio

Ce podcast a été publié pour la première fois en juillet 2024 sur Expert Insights.

Transcription

Regards d'experts : Je voudrais commencer par parler de la façon dont les organisations font les choses actuellement. Qu'est-ce qui ne va pas avec les méthodes d'authentification actuellement en vogue ?

Will LaSala : Merci beaucoup, Kaitlyn, de m'avoir invité. Il s'agit d'un excellent sujet de conversation, alors que nous abordons la question de la sécurité en général.

Je pense que lorsque vous regardez ce qui se passe dans le monde aujourd'hui en matière d'authentification et ce que font les utilisateurs, nous sommes encore dans le mode de penser que cela ne peut pas nous arriver. Nous voyons tous les jours des brèches et des vols d'informations personnelles. Il y a toutes ces attaques. Nous utilisons encore des méthodes telles que les mots de passe statiques, l'authentification par SMS et les questions et réponses de la base de connaissances (KBA). Ces méthodes ne sont pas très sûres et posent toute une série de problèmes.

Avec les mots de passe statiques, nous pensons au problème suivant : "D'accord, les gens peuvent simplement le voler parce que je ne le change pas tout le temps" Mais lorsque je le change, il est souvent très complexe. J'ai besoin de points d'exclamation et de tous ces caractères spéciaux, lettres et chiffres majuscules. Il faut maintenant 15 caractères, et comment vais-je m'en souvenir ? Cela conduit à une très mauvaise expérience pour l'utilisateur, et souvent à un monde peu sûr autour de cela.

Nous pouvons également parler un peu des SMS. Dans le cas des SMS, vous vous dites : "Bon, maintenant je ne me souviens plus de mon mot de passe", donc ce n'est pas aussi complexe. Ce ne sont que des chiffres. Mais ce SMS passe par un réseau qui n'est pas sécurisé, ce qui permet aux attaquants d'obtenir un accès automatique. Beaucoup de gens se disent donc : "Oh, eh bien, cela signifie simplement que je ne peux pas le lire à quelqu'un au téléphone" Certes, il n'est pas bon de lire le code de sécurité par téléphone. Mais les gens ne se rendent pas compte qu'en coulisses, le réseau lui-même n'est pas sécurisé. Les données qui proviennent du serveur dorsal ne sont pas du tout cryptées. Cela signifie que n'importe qui peut les écouter et les voler sans que vous le sachiez. Il y a aussi le problème de l'échange de cartes SIM et toutes ces autres choses. Ces méthodes d'authentification ne sont vraiment pas sûres et doivent être transformées en quelque chose de plus sûr.

 

Perspectives d'experts : Pourquoi tout cela est-il important ? Pourquoi les entreprises doivent-elles investir dans des méthodes d'authentification plus solides ?

Will LaSala : Le pourquoi est toujours la partie intéressante. Tout d'abord, la raison pour laquelle vous devez le faire est certainement de vous protéger contre ces attaques. Nous savons que le coût de ce type d'attaques, je crois qu'IBM a rapporté l'année dernière qu'il s'élevait à 4,5 millions de dollars en coûts de violation. C'est un montant stupéfiant, et je pense qu'il ne fait qu'augmenter. Vous constatez que les types d'attaques qui se produisent, les domaines dans lesquels elles s'infiltrent sont de plus en plus sensibles.

Je pense qu'au début, les attaques consistaient à dire : "Vous volez mes noms d'utilisateur et mes mots de passe" C'est dommage, mais ils vont se connecter et faire de mauvaises choses avec. Ces attaques visaient les banques, donc vous leur voliez directement de l'argent. Les organisations perdaient de l'argent simplement parce qu'elles étaient attaquées de cette manière. Mais nous constatons également que les attaques visent désormais les systèmes de santé et les systèmes d'infrastructure. Ces types d'attaques sont encore plus sensibles et peuvent entraîner des problèmes plus graves, comme l'impossibilité d'avoir accès à l'électricité ou aux services de base parce qu'un attaquant est entré et a volé ces informations et parce que l'authentification elle-même n'est pas sûre.

Nous devons nous en préoccuper. En outre, lorsque nous examinons les violations elles-mêmes, nous constatons que la plupart d'entre elles sont dues à un élément humain. Ce que je veux dire par là, c'est que nous avons choisi un mot de passe faible, ou nous l'avons écrit quelque part, ou nous avons pensé qu'il suffisait de le mettre dans un gestionnaire de mots de passe, et que le gestionnaire de mots de passe serait sûr pour toujours, et que nous n'aurions pas de problème avec cela. L'année dernière, nous avons constaté que les gestionnaires de mots de passe n'étaient pas si sûrs.

Et cet élément humain conduit à d'autres types d'attaques où les utilisateurs attaquants peuvent appeler et tromper l'utilisateur et prétendre être la banque ou prétendre être d'autres personnes et tromper l'utilisateur parce que nous acceptons. Nous voulons converser avec les gens. Nous sommes des êtres sociaux et nous voulons parler avec les gens. Nous finissons par donner trop d'informations, ce qui finit par provoquer des brèches et des problèmes. Ce sont donc autant de problèmes que les organisations veulent résoudre et améliorer, et souvent pour encourager les utilisateurs à se servir plus souvent de leur système. Si vous n'utilisez pas le système comme ils le souhaitent, cela entraîne toutes sortes de coûts internes pour les organisations qui cherchent à savoir ce qu'elles peuvent faire, comment elles peuvent améliorer les systèmes pour que les clients aient envie de faire des affaires avec elles.

 

Expert Insights : Vous avez soulevé des points très importants, en particulier le fait que chaque organisation est à risque, mais aussi que chaque utilisateur au sein de cette organisation est à risque. Je pense qu'auparavant, on espérait que certains secteurs étaient à l'abri des cyberattaques, comme les soins de santé ou l'éducation, mais ce n'est certainement plus le cas aujourd'hui. Malgré ces risques, de nombreuses organisations ont encore du mal à mettre en place une authentification forte des utilisateurs. Quelles en sont les raisons et quels sont les défis auxquels elles sont généralement confrontées ?

Will LaSala : Oui, il y en a beaucoup. Et ce que vous voyez, c'est qu'à l'origine, si nous nous tournons vers le marché de la consommation, donc si nous traitons avec la banque de détail et que vous vous dirigez vers le marché de la consommation, certains des grands défis étaient la convivialité.

Les organisations pensent, lorsqu'elles mettent en place ces méthodes d'authentification, que les utilisateurs doivent être en mesure de comprendre ce qu'ils font et de présenter ces solutions de manière à ce qu'il soit très facile pour les gens d'interagir avec elles.

On pense que les mots de passe statiques sont faciles, alors que ce n'est pas le cas. Nous savons que ce n'est pas une solution facile.

C'est pourquoi vous envisagez des choses comme les SMS. D'accord, envoyer un message texte rapide de moi à vous, oui, c'est facile. Et de vous à moi, je peux le lire. C'est très facile aussi. Mais lorsque vous transformez cela en une solution d'authentification, où vous envoyez des choses à partir d'un serveur et vous attendez à ce qu'elles soient sécurisées, cela devient un peu plus difficile. Et ces défis ouvrent la porte aux attaquants.

La facilité d'utilisation et la sécurité de ces solutions sont à l'origine des problèmes auxquels les organisations sont confrontées lorsqu'elles choisissent et mettent en œuvre des solutions.

Ce que nous devons également examiner, et qui est souvent négligé, c'est le coût. Et le coût de ces solutions ne se résume pas à dire : "Bon, combien cette solution d'authentification me coûte-t-elle à l'achat ?" Il s'agit aussi du coût de l'éducation. Il s'agit également du coût de l'éducation. Il faut apprendre à l'utilisateur final comment l'utiliser, mettre en place un service d'assistance, s'assurer que les groupes savent à qui s'adresser en cas de problème. Si je ne peux plus accéder à mon téléphone, comment puis-je récupérer cet utilisateur et lui permettre de s'authentifier et d'entrer dans le système ? Ce sont là différents défis auxquels les organisations doivent faire face. La bonne nouvelle, c'est qu'il existe des solutions à ces défis, et qu'elles sont en train d'arriver.

 

Expert Insights : Pourriez-vous nous donner un aperçu de la solution DIGIPASS FX1 BIO de OneSpan et de la manière dont elle répond à certains des défis dans le domaine de l'authentification ?

Will LaSala : Absolument. Chez OneSpan, nous travaillons dans le domaine de l'authentification depuis de nombreuses années. Et ce que nous avons constaté, c'est que l'évolution de ces technologies a toujours été un jeu du chat et de la souris. Nous essayons donc toujours de rester à l'affût de la dernière attaque ou d'apporter la bonne solution au bon problème. C'est ce que commence à faire le FX1 BIO.

Le FX1 BIO est axé sur l'authentification FIDO, c'est-à-dire Fast Identity Online Authentication (authentification rapide en ligne de l'identité). FIDO est une méthode d'authentification forte et anti-phishing. Essentiellement, le FX1 BIO vous permet d'échanger des secrets entre votre appareil, votre ordinateur, votre navigateur web et votre serveur. Tout cela se fait de manière transparente.

Pour l'utilisateur final, il suffit de regarder l'écran. Il lui suffit peut-être de cliquer sur un bouton d'une page web ou d'une application mobile pour utiliser son mot de passe ou son identifiant. Vous dites oui, sur l'appareil lui-même, vous fournissez une empreinte digitale, et cela vous permet de vous connecter. C'est une méthode très simple et transparente.

Il n'y a rien à taper, vous ne pouvez donc pas donner d'informations par téléphone. Ainsi, si un ingénieur social ou un pirate informatique vous appelle pour vous demander de lui lire le mot de passe, il n'y a pas de mot de passe à donner.

De plus, l'appareil lui-même prend en charge de nombreuses modalités. Ainsi, vous savez, si nous pensons à la façon dont vous utilisez vos différentes méthodes d'authentification. Parfois, vous êtes sur un ordinateur portable, comme moi aujourd'hui, et vous avez accès à des ports USB, vous pouvez donc le brancher sur USB-C. C'est très bien, mais que se passe-t-il si vous avez besoin d'une clé USB ? C'est très bien, mais que se passe-t-il si je suis sur mon téléphone et que j'ai besoin d'y accéder par le biais de mon téléphone, et que je dois utiliser quelque chose comme NFC ou Bluetooth ? Le FX1 BIO facilite donc la tâche de nos clients en combinant tous ces différents canaux de communication et en vous permettant d'utiliser cette technologie, cet anti-hameçonnage, cette technologie d'authentification forte dans de nombreuses applications différentes, de manière très transparente et facile pour vos utilisateurs.

 

Expert Insights : Absolument, et comme vous l'avez mentionné, la solution prend en charge l'authentification FIDO, et OneSpan est membre du conseil d'administration de l'Alliance FIDO, qui vise à normaliser et à renforcer l'industrie de l'authentification. Quels sont les avantages de l'utilisation des technologies FIDO par rapport aux outils d'authentification traditionnels ?

Will LaSala : FIDO est vraiment la prochaine génération de solutions d'authentification. Vous savez, du côté de OneSpan, nous avons adopté FIDO très tôt, et la technologie elle-même permet une authentification très forte pour faire passer nos applications au niveau supérieur. Pour ce faire, elle permet à l'utilisateur de gérer sa propre authentification. Ce que je veux dire par là, c'est que c'est l'appareil lui-même qui crée les informations d'identification utilisées pour vos différentes applications.

Il ne s'agit donc pas des mêmes informations d'identification pour chaque site. Si je me connecte à mon site bancaire, à mon site de santé, à mon site d'assurance ou à mon site gouvernemental, les identifiants sont en fait uniques pour chacun d'entre eux, mais ils se trouvent tous sur le même appareil. Vous n'avez donc pas besoin de transporter plusieurs appareils. Vous n'avez pas besoin d'utiliser différents types d'authentification pour tous ces sites.

En fait, lorsque vous entrez sur le site, qu'il s'agisse d'un site de soins de santé ou d'un site gouvernemental, on vous demande de vous enregistrer. Pour vous enregistrer, il vous suffit d'apposer votre empreinte digitale sur le dispositif DIGIPASS lui-même. Cela entraîne des interactions entre le serveur dorsal et l'appareil, qui échangent une clé entre eux.

Vous devez donc vous souvenir des anciens jours de l'ICP, c'est-à-dire de l'authentification basée sur un certificat. Cette méthode est très similaire, sauf qu'elle est beaucoup plus rapide à mettre en œuvre. 
Vous utilisez l'empreinte digitale comme deuxième facteur d'authentification, en déverrouillant l'appareil pour qu'il puisse générer le jeton d'accès utilisé pour communiquer entre les deux parties. Mais il s'agit avant tout de lutter contre l'hameçonnage et de protéger l'utilisateur contre l'attaquant, de sorte que l'utilisateur ne puisse pas donner d'informations, qu'il ne tape pas de mots de passe, qu'il n'attende pas de SMS sur un réseau non sécurisé. Le réseau lui-même est déjà sécurisé grâce à la technologie FIDO.

 

L'avis de l'expert : Tout à fait. En plus de rationaliser l'expérience de l'utilisateur, cette technologie élimine également l'élément de risque humain que vous avez mentionné plus tôt. Si l'utilisateur ne connaît pas son identifiant, il ne peut pas le partager.

Will LaSala : Exactement.

 

Regards d'experts : Comment voyez-vous l'avenir de FIDO ?

Will LaSala : FIDO lui-même est encore dans sa phase d'adoption, mais il a déjà progressé. Nous en sommes déjà à FIDO 2 pour ce qui est du protocole et de la spécification. FIDO 1 a adopté deux protocoles distincts, l'un pour le mobile, l'autre pour le matériel. FIDO 2 combine ces solutions et nous donne un moyen simple de les exploiter.

Et lorsque nous regardons ce que les applications font avec les passkeys, qui est une technologie FIDO, cela permet à plus d'applications d'en tirer parti. Et nous voyons les passkeys se déployer partout. C'est ce qui se passe actuellement.

À l'avenir, nous pensons que FIDO commencera à s'étendre aux transactions. Ce que je veux dire par là, c'est qu'aujourd'hui, la plupart du temps, il s'agit d'authentifier l'utilisateur, n'est-ce pas ? Je me connecte donc avec FIDO ou je me connecte à un portail ou quelque chose de ce genre. À l'avenir, lorsque nous créerons ces transactions (c'est-à-dire lorsque nous créerons une transaction de paiement ou une demande d'assurance ou, dans le domaine des soins de santé, lorsque nous remplirons un formulaire pour un médecin), ces transactions devront être protégées elles-mêmes. Ce que je veux dire par là, c'est que les données contenues dans ces transactions doivent être protégées.

Dans le passé, les solutions d'authentification ont déjà fait cela. OneSpan propose des solutions d'authentification qui protègent déjà la transaction. Avec FIDO, nous passons au niveau supérieur. Et nous avons déjà vu les spécifications de FIDO commencer à introduire des solutions d'authentification des transactions. Il s'agit vraiment de renforcer l'authentification des transactions elles-mêmes.

 

Perspectives d'experts : Avez-vous des conseils à donner aux organisations qui cherchent à améliorer l'authentification de leurs utilisateurs, que ce soit du point de vue de la sécurité ou de la convivialité ?

Will LaSala : Je pense que la principale chose que les organisations doivent prendre en compte lorsqu'elles choisissent une solution d'authentification est, lorsque vous vous inquiétez de la facilité d'utilisation et du degré d'acceptation de vos utilisateurs, de comprendre qu'il ne s'agit pas seulement de l'acceptation de l'utilisateur, mais aussi de la sécurité de la solution. Si vous déployez une solution d'authentification par SMS ou par mot de passe, vous vous exposez immédiatement à des attaques. Les pirates recherchent ces applications. Il est très facile pour eux de s'attaquer à ces applications. Vous devez donc toujours être au moins un cran au-dessus de tout cela. Avec FIDO, vous passez à un autre niveau. Vous êtes donc bien au-dessus de la concurrence. Vous devriez certainement chercher à savoir comment vous pouvez ajouter FIDO. FIDO a été adopté par pratiquement tous les grands fournisseurs de logiciels de sécurité, de Microsoft à Google en passant par Apple et tous les autres, de sorte que l'utilisation de FIDO n'est qu'une partie de la solution que vous ajoutez.

Une autre partie de la solution consiste à éduquer vos utilisateurs finaux sur ce qu'ils doivent faire lorsqu'ils utilisent l'application. J'ai vu des solutions déployées chez des clients qui n'ont tout simplement pas fonctionné parce qu'ils les ont simplement déployées et leur ont dit "Voilà, c'est parti !" Vous devez apprendre à vos utilisateurs ce que vous faites, ce que cela signifie pour eux, à quel point c'est sûr, et vraiment ce que la sécurité signifie en général pour eux. Beaucoup d'organisations considèrent cela comme acquis. Elles pensent que les clients savent ce que signifie la sécurité, mais ce n'est pas le cas de la plupart d'entre eux. Ils ne comprennent pas ce qu'est ce nouveau dispositif ni comment l'utiliser. Prenez donc le temps de vous pencher sur la question.

Du point de vue de la convivialité, ces dispositifs sont très simples. Les Passkeys, la technologie FIDO, rendront la prochaine génération d'authentification et de sécurité des transactions beaucoup plus facile pour les clients. Nous sommes donc impatients de voir comment ils adoptent cette technologie et les différentes applications qu'elle vous ouvrira. Ce qui se passe, c'est que les organisations ont tendance à se retenir, elles ont tendance à regarder quel est le risque de déployer une application avec de nouvelles caractéristiques et fonctions et souvent elles n'autorisent pas ces nouvelles fonctions risquées parce qu'elles s'inquiètent des attaques. FIDO et l'authentification forte permettent plus de fonctionnalités où les entreprises peuvent déployer ces transactions plus risquées afin qu'elles puissent faire plus d'affaires avec leurs clients. Il s'agit donc d'éléments très importants à prendre en compte lorsque vous envisagez de nouvelles options de sécurité et la manière dont vous les mettez en œuvre.