Vous protéger ou protéger votre entreprise contre les attaques de phishing et autres cybermenaces est devenu de plus en plus difficile. Alors que certains se sont tournés vers l'authentification à deux facteurs (2FA) comme moyen de protection, d'autres ont plutôt choisi d'utiliser des clés de sécurité physiques pour ce faire et avec beaucoup plus de succès.
Pour en savoir plus sur les clés de sécurité et sur la manière dont elles peuvent aider les organisations et les particuliers à sécuriser leurs comptes, TechRadar Pro s'est entretenu avec le directeur des produits de Yubico, Guido Appenzeller.
Sommaire
Pouvez-vous nous parler un peu des origines de votre entreprise et de ce qui a conduit à la création de la première YubiKey?
En 2007, Stina et Jakob Ehrensvärd ont cofondé Yubico avec pour mission de faire d'Internet un endroit plus sûr pour tous. En 2008, la première YubiKey a été lancée – un appareil unique, inspiré du mot «ubiquité», qui rendrait la connexion sécurisée facile et accessible à tous. En 2011, Stina, Jakob et leurs trois enfants ont déménagé dans la Silicon Valley, pour s'associer aux leaders d'opinion d'Internet, développer davantage la YubiKey et étendre de nouvelles normes d'authentification ouvertes à l'échelle mondiale.
Désormais, la technologie de Yubico est déployée et appréciée par 9 des 10 plus grandes marques Internet et par des millions d'utilisateurs dans 160 pays. La société est également l'un des principaux contributeurs aux normes ouvertes FIDO Universal 2nd Factor (U2F), FIDO2 et WebAuthn.
Où l'authentification à deux facteurs est-elle insuffisante lorsqu'il s'agit d'arrêter le phishing et les attaques man-in-the-middle?
Toute forme d'authentification à deux facteurs (2FA) est plus sûre que nulle, mais il est important de noter que tous les 2FA ne sont pas créés égaux.
Deux des méthodes 2FA les plus populaires sont les codes SMS (messages texte) ou les applications d'authentification mobile, qui reposent toutes deux sur la recomposition ou le collage d'un code à usage unique d'un appareil ou d'une application à un autre. Non seulement cela peut être lourd pour les utilisateurs, mais il est également sujet à des erreurs. Ces méthodes dépendent également de l'accès mobile, ce qui pose problème dans les environnements où les appareils mobiles ne fonctionnent pas ou sont interdits. Ce qui est peut-être le plus préoccupant, c'est que les méthodes 2FA à mot de passe unique sont toujours vulnérables aux attaques de phishing et de man-in-the-middle (MITM). Et plus récemment, nous avons vu des attaques de logiciels malveillants qui volent à la fois le mot de passe du gestionnaire de mots de passe d'un téléphone intelligent et le code à usage unique. Contre une telle attaque, un téléphone est essentiellement un dispositif d'authentification à facteur unique.
Les clés de sécurité basées sur FIDO offrent un niveau de sécurité plus élevé tout en offrant une expérience utilisateur transparente. Les normes FIDO U2F et FIDO2 et les clés de sécurité compatibles exploitent la cryptographie à clé publique pour se protéger contre le phishing et les attaques de l'homme du milieu. Même si un utilisateur est amené à céder ses informations personnelles, comme dans le cas d'une attaque de phishing, une clé de sécurité FIDO ne peut pas être dupe. Les informations d'identification de l'utilisateur sont liées à l'origine, ce qui signifie que seul le site réel peut s'authentifier avec une clé. Les clés de sécurité sont également conçues pour fonctionner avec une seule touche, ce qui rend la connexion jusqu'à quatre fois plus rapide que les codes d'accès uniques.
Google a réussi à introduire des clés de sécurité dans ses propres bureaux pour arrêter le phishing en 2017. Connaissez-vous d'autres entreprises qui ont connu des succès similaires après avoir obligé leurs employés à utiliser des clés de sécurité?
Les statistiques convaincantes de Google concernant leur utilisation interne des YubiKeys ont été un catalyseur continu pour de nombreuses autres grandes entreprises qui cherchent à éliminer les prises de contrôle de compte et à réduire les coûts d'assistance. En fait, Google a également publié des recherche qui montre que les clés de sécurité matérielles sont la seule solution d'authentification viable qui peut empêcher les attaques de phishing 100% du temps.
Bien qu'aucune autre entreprise n'ait publié de statistiques comparables sur Google, Yubico a connu un grand succès avec les déploiements de YubiKey dans plus de 4000 entreprises couvrant une gamme de secteurs technologiques, financiers, de santé, de fabrication, d'éducation et gouvernementaux. Les principaux clients incluent Facebook, Virginia Tech, Dropbox, Salesforce, GitHub, Gov.UK et plus encore.
Votre entreprise a introduit la première clé de sécurité multi-OS avec la YubiKey 5Ci. Comment les clients ont-ils réagi à la possibilité d'utiliser une seule clé de sécurité pour sécuriser tous leurs appareils?
Jusqu'à présent, la réponse a été positive. La convivialité est une considération clé pour Yubico, et il est important que nos clients aient la meilleure expérience possible avec nos produits. Les individus passant de plus en plus de temps sur une multitude d'appareils mobiles, la YubiKey 5Ci était la prochaine étape naturelle de notre feuille de route produit.
Au moment du lancement, Apple ne prenait pas encore en charge la technologie NFC ouverte sur les iPhones, ce qui rend difficile pour les utilisateurs iOS de se déplacer de manière transparente entre les appareils avec une YubiKey. Le YubiKey 5Ci a été le premier produit à résoudre ce problème, et il a remporté de nombreux éloges de la part de la presse et des clients.
Avec le NFC ouvert d'Apple et la prise en charge récente de WebAuthn dans iOS et iPadOS Safari, nous sommes ravis de la prochaine version du YubiKey 5C NFC. En complément du YubiKey 5 NFC – qui prend en charge USB-A et NFC – le YubiKey 5C NFC sera le prochain facteur de forme YubiKey à fonctionner de manière transparente sur tous les appareils avec des connexions de communication en champ proche (NFC) et USB-C.
Google autorise désormais les smartphones à servir de clés de sécurité. Quels sont les avantages d'utiliser une clé de sécurité physique au lieu de compter sur un smartphone pour l'authentification?
Il y a des avantages majeurs à utiliser une clé de sécurité physique plutôt que de compter sur un smartphone pour 2FA. À mesure que les utilisateurs se déplacent entre différentes plates-formes et différents appareils informatiques, il est essentiel d'avoir ce que nous appelons une «racine de confiance portable». Par exemple, une clé de sécurité externe qui n'est pas liée à un appareil informatique polyvalent réduit le vecteur d'attaque, se déplace facilement entre les appareils ou peut être utilisée pour se connecter à des comptes sur un nouvel appareil, fonctionne dans des environnements à accès mobile comme les centres d'appels ou des hôpitaux, et offre un niveau élevé et fiable d'assurance de la sécurité pour les opérations sensibles comme le transfert de grosses sommes d'argent sur une application bancaire.
Pour les entreprises, un deuxième avantage est qu'avec une YubiKey, il existe une solution d'authentification commune qui fonctionne de manière identique et qui a les mêmes propriétés de sécurité pour tous les employés. Si les employés utilisent leurs propres téléphones, il existe une variété de fournisseurs, de systèmes d'exploitation et de versions de système d'exploitation qui peuvent ou non être corrigés avec tous les correctifs de sécurité. L'année dernière, nous avons constaté plus de 100 vulnérabilités pour iOS et Android. Il est très difficile d'atteindre un haut niveau de sécurité dans un tel environnement.
C'est l'avenir que Yubico envisageait lorsque nous avons aidé à créer les nouveaux standards ouverts FIDO2 et WebAuthn. Nous voulions qu'il y ait une liste croissante de choix d'authentification forte pour les utilisateurs, et que certaines de ces options d'authentification soient intégrées directement dans les appareils. L'amélioration du choix et de l'accessibilité est importante pour favoriser une prise en charge généralisée de FIDO2 et WebAuthn. Cependant, les clés de sécurité joueront toujours un rôle important dans ce paysage d'authentification en pleine croissance.
Y a-t-il quelque chose que vous pouvez nous dire sur vos projets de sortie de YubiKeys avec reconnaissance d'empreintes digitales?
Pour le moment, nous n'avons pas beaucoup de détails à partager sur la Bio YubiKey, et nous n'avons pas encore de date de lancement. Ce que nous pouvons partager, c'est qu'il tirera parti de l'ensemble des capacités d'authentification multifacteur (MFA) décrites dans le FIDO2 et WebAuthn spécifications standard avec prise en charge de la connexion biométrique et basée sur PIN.
Quel avenir pour Yubico et pouvez-vous partager des détails sur les produits ou mises à jour à venir?
En plus des lancements à venir de nos produits Yubikey Bio et YubiKey 5C NFC, Yubico investira massivement dans l'expansion de notre nouvelle offre basée sur les services: Services YubiEnterprise. Les services YubiEnterprise sont actuellement composés de l'abonnement YubiEnterprise, et bientôt de la livraison YubiEnterprise, pour améliorer le processus d'approvisionnement, de livraison et de gestion des YubiKeys. L'objectif des services YubiEnterprise est que Yubico devienne un partenaire d'entreprise plus précieux. L'idée est que nous éliminerons une grande partie des complexités logistiques ou des obstacles routiers liés aux ressources, permettant à nos clients de se concentrer sur la croissance de leur cœur de métier.
Nous prévoyons également des avancées intéressantes avec FIDO2 et WebAuthn. Non seulement nous verrons une croissance et une adoption continues de la part des principaux services et applications, mais nous commencerons également à voir ces normes utilisées pour des choses comme les paiements électroniques, l'identification et les transactions électroniques, les appareils connectés, etc.