L’ « hygiène cyber » c’est comme l’hygiène de vie (tout court) : ce sont des bonnes pratiques apportant un élément positif soit pour la santé humaine… et donc la durée de son espérance de vie ou, pour la santé cyber, de ses actifs IT pour les protéger des attaques et donc allonger leur espérance de vie.
Tout comme l’hygiène de vie, l’hygiène cyber s’apprend et nécessite une certaine volonté d’application. De plus, toutes les deux demandent, face aux évolutions des « menaces » qui nous entourent et qui évoluent de manière permanente, une adaptation des « habitudes/pratiques » pour tenter de garder cette espérance de survie.
Parlons d’un principe de base de la CyberSécurité : l’authentification.
Ce terme est fondamental puisqu’il constitue un prérequis de base à la règle des 3 A (Authentication, Autorisation, Auditing).
Il est important d’avoir la certitude de l’identité de l’utilisateur, de l’application, du device, etc. avant de pouvoir l’autoriser à accéder à des ressources avec les permissions et les privilèges adéquats. En d’autres termes, « dit moi qui tu es, et je dirai ce que tu peux faire et à quoi tu as accès ».
Tous les systèmes d’exploitation modernes sont bâtis autour d’un sous-système de sécurité intégrant la règle des 3A.
Il est donc important de « bien s’authentifier » avec un corolaire qui est de faire en sorte que quelqu’un d’autre ne puisse usurper votre identité de quelque manière que ce soit.
C’est là que commence le réel challenge. En effet, les criminels ont bien compris qu’en se faisant passer pour vous, ils avaient la possibilité de faire la même chose que vous.
Ceci est une banalité dans toutes l’Histoire avec un grand H, mais quand on parle d’identité digitale, la complexité, les subtilités et les mauvaises habitudes/pratiques entraînent les catastrophes qui ont amené la majorité des incidents Cyber les plus médiatisés.
Le MFA (Multi-Factor Authentication) est aussi un synonyme d’Authentification forte … la particularité de cette approche est de s’assurer que l’utilisateur (même si nous ne parlons plus d’applications ou de devices, cela s’applique aussi à ces composantes IT) s’authentifie sur base de 2 composantes distinctes :
Attention qu’il y a souvent confusion… on parle bien des facteurs 1 et 2 !
Cette approche a été développée historiquement (pour le grand public) au lancement des ATM (terminaux permettant de retirer de l’argent dans la rue) par les banques.
Votre carte bancaire et ce « bête » code PIN font en sorte que :
Il est tout naturel que ces « bonnes pratiques » aient été transposées dans le monde digital que nous connaissons dans lequel « TOUTES » les authentifications à risque devraient faire appel à la même approche de type « MFA ».
Cependant, plusieurs éléments viennent ajouter des contraintes à cette fameuse « expérience utilisateur ».
Parmi ceux-ci (liste non exhaustive), nous pouvons trouver :
Ceci amène donc à une complexité sans nom dans laquelle la quantité de mots de passe complexes qui changent régulièrement est incommensurable.
Ceci a eu pour première conséquence l’avènement de 2 éléments :
Ce deuxième point est évidemment critique pour comprendre les derniers développements. Anciennement, dans les environnements dans lesquels la cybersécurité était un élément pris au sérieux, on utilisait soit des « smartcards » (nécessitant des lecteurs ou des modèles particuliers sur port USB) soit des clés de type OTP (one time password = code de 6 chiffres valable entre 30s et 60s). Les acteurs les plus connus étaient RSA et Vasco (devenu OneSpan depuis).
Cela signifiait donc des contraintes « physiques » soit de lecteur soit de devoir ajouter un « token = clé physique » à son trousseau de clés de maison.
Lorsque l’avènement du Smartphone est arrivé, ces « token OTP » se sont vite transformés en « Applications » générant des OTP et puis un tas d’acteurs ont commencé à fournir ces OTP soit avec une App (authenticator) soit par SMS ou soit par Mail… une révolution d’un point de vue « user experience », le moins de contraintes possibles tout en gardant une sécurité de type « MFA ».
Mais à toute nouvelle technologie son lot de peine. Evidemment toutes ces méthodes sont devenues vulnérables aux attaques des criminels à travers, par exemple, (mais pas que) des attaques en phishing visant à capturer à la fois le « premier facteur = mot de passe » et ensuite l’OTP pour le réutiliser instantanément durant sa durée de vie de 30/60 secondes.
A côté de cela, on a vu apparaître un protocole standard sécurisé FIDO (aujourd’hui FIDO2) résistant à ces méthodes d’attaques (ex. phishing) mais revenant aux bonnes vielles pratiques d’une composante physique : une clé !
Certains ne jurent que par ces clés FIDO2 qui apporteraient un miracle et, bien malheureusement, non, elles ne suffisent pas à vous protéger des attaques contre votre authentification. Prenons l’exemple le plus connu : l’accès à M365.
Oui, les solutions FIDO2 vont vous protéger contre les attaques de phishing habituelles, mais si un criminel arrive à lire le « session cookie » de Microsoft se trouvant sur votre device, alors il peut avoir accès très facilement à vos ressources (e-mails dans exchange on-line, fichiers sur sharepoint, teams,…). Ces « session cookies » ont été créés par Microsoft dans le cadre du « user experience » pour éviter aux utilisateurs de devoir à chaque fois se « ré-authentifier ».
Voilà donc que la boucle est bouclée … on veut faciliter la vie aux utilisateurs (user experience) pour aider à l’adoption de ces mesures fondamentales d’hygiène cyber et d’un autre côté, on a des systèmes qui diminuent cette expérience pour essayer de contrecarrer une partie des attaques des criminels.
Pour terminer, on a même inventé une solution pour que l’utilisateur ne doive plus entrer son mot de passe : passwordless authentication. Apparu avec le protocole FIDO, cette approche s’est répandue aux autres systèmes OTP aussi. Donc plus besoin de fournir le premier facteur du MFA : le mot de passe. Cela signifie qu’après une première phase d’ « enrollement », l’utilisateur n’a plus qu’à s’authentifier avec son deuxième facteur qui devient :
En résumé toujours plus de facilité … mais toujours pas de solution miracle pour contrer toutes les attaques.
Et c’est là qu’intervient la solution : la sécurité n’est pas basée sur une solution isolée, quel que soit son niveau de sécurité, mais sur une architecture structurée de systèmes de défense en couches basée sur une analyse de risque pertinente. Le tout associé à une politique de sécurité adaptée aux besoins.
