Pendant des années, nous avons vu des professionnels de la sécurité exhorter les développeurs à sécuriser leurs applications en mettant en œuvre l’authentification multifacteur (MFA) comme couche supplémentaire de cybersécurité au-delà des mots de passe. Mais, malheureusement, cela s’est avéré insuffisant. Selon une étude menée par Sift, la fraude par prise de contrôle de compte a augmenté de 250 % en 2020, malgré l’ajout de l’AMF.
A propos de l’auteur
André Ferraz est le fondateur et PDG d’Incognia.
Les fraudeurs ont rapidement appris à contourner les méthodes MFA les plus populaires telles que les mots de passe à usage unique (OTP), la reconnaissance faciale et autres. Dans cet article, nous discuterons des problèmes liés aux OTP et à la reconnaissance faciale en tant que formes d’AMF les plus populaires et les plus efficaces.
Sommaire
Le problème avec les OTP
Le principal problème de sécurité est que les attaques de phishing et d’ingénierie sociale, qui sont la principale cause d’usurpation d’identité, peuvent amener les utilisateurs à donner leurs mots de passe à usage unique à des fraudeurs. Les fraudeurs peuvent gagner la confiance des clients par e-mail, téléphone ou réseaux sociaux, les convainquant de fournir leurs informations d’identification.
Un autre problème de sécurité est que les OTP peuvent être facilement interceptés. Les fraudeurs ont appris rapidement comment contourner les méthodes OTP les plus populaires. Par exemple, les SMS peuvent être interceptés à grande échelle et le numéro de téléphone peut également être compromis par une attaque d’échange de carte SIM. Les e-mails des consommateurs sont également facilement compromis, ce qui en fait pas le canal le plus sécurisé. Par exemple, en 2018, il a été révélé que seulement 10 % des utilisateurs avaient adopté l’option d’authentification à deux facteurs (2FA) sur Gmail.
Un autre problème majeur avec les OTP est qu’ils créent trop de frictions pour l’utilisateur, ce qui a un impact sur l’expérience utilisateur. Sans doute, cela ajoute plus de friction que les mots de passe normaux. Cette friction supplémentaire finit par entraîner une chute des clients et des taux de rétention plus faibles. Une étude récente a montré que moins de 2,5% des utilisateurs de Twitter activent les OTP, démontrant clairement que les utilisateurs ont choisi la commodité plutôt que la sécurité.
Le problème de la reconnaissance faciale
Avec l’introduction en 2017 de la fonction Face ID, Apple a mis la technologie de reconnaissance faciale au premier plan pour de nombreuses personnes. La reconnaissance faciale est aujourd’hui couramment utilisée pour déverrouiller les téléphones et authentifier les utilisateurs auprès des services en ligne. Cependant, il est également devenu une cible pour les fraudeurs. Le visage d’une personne est une donnée statique, ce qui signifie qu’il ne peut jamais être modifié. Une fois que ces données sont en possession de mauvais acteurs, le propriétaire de ces données ne serait plus jamais en sécurité en les utilisant comme preuve d’identité.
Les fraudeurs utilisent des données provenant de nombreuses sources, y compris les médias sociaux, pour tromper les systèmes de reconnaissance faciale. Des attaques plus sophistiquées sont également en cours de développement. Un article récent publié par des chercheurs israéliens discute du développement d’un réseau de neurones capable de générer des visages « maîtres », des images faciales capables chacune d’usurper l’identité de plusieurs identifiants. Les travaux suggèrent qu’il est possible de générer de telles « clés principales » pour plus de 40 % de la population en utilisant seulement neuf visages synthétisés par le StyleGAN Generative Adversarial Network (GAN), via trois principaux systèmes de reconnaissance faciale.
Comment renforcer la sécurité de votre flux d’authentification ?
Équilibrer la sécurité et l’expérience utilisateur n’est pas une tâche facile, mais la bonne nouvelle est qu’il y a beaucoup d’innovations dans le secteur de la sécurité. Ces dernières années, de nouvelles technologies ont été développées pour répondre au dilemme UX vs sécurité. Ils le font en fournissant des techniques d’authentification passive qui fonctionnent silencieusement en arrière-plan.
Un exemple est la technologie d’empreinte digitale des appareils qui peut reconnaître silencieusement les appareils en fonction de leurs attributs uniques et déterminer s’ils doivent être dignes de confiance. La plupart des applications et des sites Web utilisent déjà cette technologie. De plus, un autre type de méthode d’authentification passive a été introduit, appelé biométrie comportementale. La biométrie comportementale identifie les utilisateurs autorisés en fonction de leurs gestes avec la souris ou l’écran tactile, de la façon dont ils tapent et de la façon dont ils tiennent leur téléphone. Malheureusement, la plupart des solutions de biométrie comportementale nécessitent du temps pour s’entraîner et atteindre des performances élevées, et le processus d’intégration peut être complexe.
Plus récemment, avec la pertinence croissante du mobile en tant que principal canal en ligne, les données de comportement de localisation des capteurs sur l’appareil sont désormais exploitées pour identifier quand un utilisateur accède ou effectue une transaction à partir d’un emplacement de confiance. Dans une étude récente menée par Incognia, il a été constaté que 90 % des connexions légitimes et 95 % des transactions légitimes à haut risque se produisent à partir d’un emplacement de confiance, qui fait partie de la routine habituelle de l’utilisateur, comme son domicile. , bureau ou restaurant préféré. Le plus grand avantage de tirer parti du comportement de localisation est qu’il est très efficace pour évaluer les risques, avec un taux d’échec de 1 sur 100 000 000 de transactions, et qu’il ne nécessite aucune action de l’utilisateur, offrant la meilleure expérience utilisateur possible.
Il n’y a pas de solution miracle dans le domaine de la sécurité, les développeurs doivent donc opter pour une approche en couches. Idéalement, les applications tireraient parti de l’authentification passive pour la grande majorité des scénarios à faible risque et n’introduiraient la friction de l’AMF que lorsqu’un risque élevé est identifié. De cette façon, les applications peuvent fournir une expérience d’authentification sans friction aux clients légitimes, tout en éloignant les fraudeurs.
