Les mots de passe sont la racine de tous les problèmes de phishing

Version imprimable, PDF et e-mail

Depuis que les employés ont été assignés à résidence pour lutter contre la pandémie de COVID-19, les entreprises ont vu les attaques de phishing exploser. Selon une enquête menée auprès de 425 spécialistes informatiques et publiée par HYPR, un partenariat entre Comcast, Samsung et Mastercard visant à s'affranchir des mots de passe, et Cybersecurity Insiders, 90 % des personnes interrogées ont affirmé que leur entreprise avait été la cible d'attaques de phishing en 2020.

Près d'un tiers (29 %) ont déclaré que leur entreprise avait fait l'objet d'attaques de credential stuffing, au cours desquelles les cybercriminels avaient manifestement tenté de se servir d'un grand nombre de noms d'utilisateurs et de mots de passe volés en vue de compromettre les applications et les systèmes.

Malgré toutes ces attaques, près de la moitié des personnes interrogées (48 %) ont indiqué ne pas disposer d'une solution sans mot de passe. Parmi celles qui en ont une, pas moins de 91 % ont précisé que la principale raison pour laquelle elles avaient investi dans l'authentification multifacteur (MFA) était de contrecarrer les attaques de phishing, suivie par l'amélioration de l'expérience utilisateur (61 %).

Adopter une solution sans mot de passe

Concernant les méthodes d'authentification multifacteur sans mot de passe utilisées, 36 % des personnes interrogées ont déclaré utiliser des smartphones en guise de jetons FIDO, 17 % des clés de sécurité matérielles telles que Yubico Yubikey ou Google Titan, et 17 % des outils d'authentification intégrés tels que Windows Hello.

Malheureusement, l'authentification sans mot de passe est encore peu répandue, et même lorsqu'elle est utilisée, le concept reste sujet à interprétation. Dans la plupart des cas, la principale méthode d'authentification employée consiste à envoyer un message sur le smartphone de l'utilisateur final (73 %). Toutefois, de nombreuses entreprises ont encore recours à l'authentification à deux facteurs. En effet, 61 % d'entre elles précisent que leur solution dite « sans mot de passe » nécessite toujours un code secret partagé faisant office de mot de passe, un mot de passe à usage unique (OTP) ou un code SMS.

Tout de même, 90 % des personnes interrogées ont jugé essentiel ou assez important d'éliminer les secrets partagés en matière d'authentification. Néanmoins, plus des deux tiers (67 %) ont déclaré que leur entreprise ne disposait pas des compétences et des équipes nécessaires pour en garantir l'adoption à grande échelle.

Dans l'ensemble, près des trois quarts (73 %) ont désigné le smartphone comme le moyen le plus pratique pour utiliser l'authentification multifacteur sans mot de passe. Près des deux tiers (65 %) ont également souligné l'importance de la compatibilité entre les différents fournisseurs de services d'identité.

Dépasser les mots de passe

Compte tenu de la prévalence des attaques de phishing, il faut bien reconnaître que le recours aux mots de passe tel que nous le connaissons aujourd'hui est dépassé. Le phishing a toujours posé problème, mais, alors que de plus en plus d'employés travaillent à domicile, ces attaques compromettent des mots de passe qui appartiennent à des membres internes à l'entreprise. Par conséquent, les menaces internes qui consistent à usurper l'identité des employés représentent aujourd'hui un problème considérable. Si l'on ajoute à cela l'essor du numérique, les pirates informatiques disposent d'un véritable boulevard pour mettre à mal les entreprises.

La seule façon d'éliminer ces menaces est de s'affranchir une bonne fois pour toutes des mots de passe. Tant qu'il y aura des mots de passe, les attaques de phishing perdureront. Et on ne saurait changer le comportement des cybercriminels. La seule chose que les entreprises maîtrisent encore aujourd'hui, c'est la méthode qu'elles emploient pour authentifier les utilisateurs finaux. Si elle repose sur des mots de passe quels qu'ils soient, tôt ou tard, ils finiront aux mains des pirates. Les entreprises devront bien finir par reconnaître qu'à l'heure actuelle, elles alimentent davantage le problème du phishing qu'elles ne le résolvent.

1 commentaire

  1. Ana29 janvier, 2021

    Well, it seems like a good solution to the really dangerous phishing threat. Passwordless ways to access platforms, tools, data, and other stuff could be actuallysafer than other methods.
    But people have to learn first. Some don’t know how to do that, while others don’t have the resources to do that (for not having a smartphone, for example). But it’s better if those who can use it start using these methods.

Les commentaires sont clos.

Remonter en haut de page
Tweeter
Partager
Partager