Archives de catégorie : double authentification

Android, Chiffrement, Cyber-attaque, Cybersécurité, double authentification, ios, Piratage, Sécurité, Smartphone, Téléphonie, Windows phone

Télécoms contre cybercriminalité

Télécoms contre cybercriminalité : perte de 300 milliards de dollars US à l’échelle mondiale en 2016

Telecoms IQ a récemment interrogé André Spantell, gestionnaire des fraudes chez Telia Company, l’une des plus grandes entreprises de télécommunications de Scandinavie, au sujet de la menace que la cybercriminalité pourrait poser à un secteur qui n’est pas prêt à faire face à ces attaques.

André souligne que les méthodes traditionnelles de lutte contre la cybercriminalité ne suffisent plus pour faire face aux nouvelles menaces dans le domaine des télécommunications. Le nouveau paysage de la cybercriminalité n’inclut plus seulement les criminels qui ciblent les revenus ; les opérateurs de télécommunications pourraient faire face à des menaces d’autres acteurs tels que des militants et des États-nations cherchant à obtenir plus d’informations.

André explique ensuite comment le contrecoup d’une attaque n’affecte pas seulement les revenus, mais peut être délétère pour votre image de marque et votre crédibilité sur le marché. « Une mauvaise réputation se traduit par une perte potentielle de millions de dollars et dun grand nombre de clients. »

André souligne que la facilité d’utilisation pour contrecarrer les cyberattaques n’est pas en tête des priorités et que cela peut empêcher certains clients d’adopter certains comportements. Il pense qu’une formation de base devrait être offerte, non seulement aux employés, mais également aux clients afin de les informer eux aussi et de les tenir continuellement au fait des comportements à adopter en ligne afin de protéger leurs données personnelles et sensibles telles que leurs mots de passe, etc.

« Je crois que si tout le monde sinvestissait davantage dans la protection des données sensibles, cela réduirait une partie de la « rentabilité«  pour les fraudeurs tout en amorçant la riposte. Par exemple, si nous commencions à utiliser des systèmes dauthentification à deux facteurs, il serait beaucoup plus difficile pour les criminels daccéder à nos outils, à nos services et à nos téléphones, quels quils soient. »

Android, Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, double authentification, Paiement en ligne, Particuliers, Piratage, ransomware, Sécurité, Smartphone

Un cheval de Troie a leurré les clients de 18 banques françaises

Les Français sont de plus en plus mobiles et veulent pouvoir effectuer certaines activités quotidiennes où qu’ils se trouvent. Par exemple, selon un récent sondage du Conseil Supérieur de l’Audiovisuel (CSA), 92 % des personnes possédant un téléphone portable l’utilisent pour consulter leurs comptes bancaires. Bien que ces applications soient utiles à de nombreux égards, elles représentent aussi des portes dérobées pour les hackers à l’affût de données sensibles.

D’ailleurs, une déclinaison du cheval de Troie GM Bot, appelé aussi Acecard, Slembunk et Bankosy, vise actuellement les clients de plus de 50 banques dans le monde, dont 18 en France, y compris BNP Paribas, la Société Générale ou encore Le Crédit Agricole. Rien que le trimestre dernier, GM Bot a pris pour cible des centaines de milliers d’utilisateurs de portables. Nikolaos Chrysaidos, Responsable des menaces et de la sécurité mobile chez Avast, revient sur les procédés de ce malware nuisible et sur les façons de s’en protéger : « GM Bot est un cheval de Troie qui ressemble, à première vue, à une application inoffensive. Il est surtout téléchargeable sur des plateformes tierces de téléchargement d’applications qui disposent de contrôles de sécurité bien moins pointus que sur ceux des stores d’Apple et de Google. GM Bot se déguise souvent en une application dont le contenu est réservé aux adultes ou à un plug in, comme Flash ».

Une fois téléchargée, l’icône de l’application disparait de la page d’accueil de l’appareil, mais cela ne signifie pas pour autant que le programme malveillant a quitté le terminal. L’application demande alors constamment des identifiants de connexion divers et variés. S’il parvient à se les procurer, le malware peut rapidement causer de sérieux dégâts.

Doté des identifiants de connexion, GM Bot peut contrôler tout ce qui se passe sur l’appareil infecté. Le malware s’active quand une application préalablement listée s’ouvre, liste comprenant principalement des services bancaires. Lorsque l’utilisateur ouvre l’une de ces applications, GM Bot affiche un cache ressemblant à la page d’accueil au lieu d’ouvrir la page de l’appli légitime. Berné, la victime rentre ses identifiants sur ce cache, et ses informations sont directement envoyées aux cybercriminels. Cette technique d’ingénierie sociale est très souvent utilisée pour tromper l’utilisateur et l’inciter à révéler ses données personnelles.

Pire encore ! GM Bot peut intercepter les SMS et est donc en mesure de voler les codes d’authentification à deux facteurs lors d’une transaction sans que le propriétaire ne s’en rendre compte. Ainsi, le malware récupère et partage des informations tels que le cryptogramme de sécurité au verso de la carte bancaire, les codes reçus par SMS, ou encore les numéros de téléphones.

Le code source du cheval de Troie GM Bot a fuité en décembre 2015, il est donc désormais à la portée de n’importe qui possédant quelques notions d’informatique.  Les cybercriminels peuvent même aller plus loin et ajuster le code du malware afin d’obtenir plus d’informations. Cela signifie que de nouvelles versions aux capacités changeantes sont constamment créées. Dans certains cas, par exemple, les hackers infiltrés demandent aux victimes d’envoyer les scans recto-verso de leur carte d’identité.

Heureusement, il existe des solutions efficaces qui détectent et bloquent le cheval de Troie et tout type de logiciel malveillant avant que celui-ci ne compromette l’appareil de l’utilisateur. Toutefois, il est également crucial de télécharger toutes ses applications depuis des plateformes sûres et sécurisées, telles que l’App Store d’Apple et le Play Store de Google. Les autres sources proposent certes des applications qu’on ne trouve pas toujours sur les plateformes de confiance ou offrent des applis habituellement payantes, mais cela est bien souvent trop beau pour être vrai. Enfin, les utilisateurs doivent être vigilants et ne pas donner les droits administrateurs de leurs applis à n’importe qui. Cette mesure est capitale car la personne qui détient ces droits est alors en mesure de contrôler l’appareil via l’appli en question.

Chiffrement, Cybersécurité, double authentification, Entreprise, Fuite de données, Linkedin

Double authentification pour votre LinkedIn

Un commentaire
Vos identifiants de connexion LinkedIn piratés par phishing, malveillance locale, piratage de l’entreprise ? Pas de panique, le pirate ne pourra rien faire si vous avez installé la double authentification. Mode d’emploi.

Comme vous avez pu le lire plus d’une fois, une base de données volée par un pirate comprend, très souvent, login et mots de passe. Même si le password est chiffré, cela ne veut pas dire que ce dernier ne sera pas « crackable » aujourd’hui, via des outils libres et rapides d’accès. Ou demain, via des techniques non encore connues/découvertes. Si vous utilisez le service professionnel LinkedIn, il est possible d’utiliser la double authentification. Je vous conseille fortement de le faire. Pour cela, il vous est demandé de fournir votre numéro de téléphone. Ce dernier servira à recevoir un SMS avec un code de validation. Bilan, quand vous rentrez votre login et mot de passe sur LinkedIn, votre téléphone portable vous servira de seconde clé via ce texto.

Pour activer la vérification en deux étapes : Placez votre souris sur votre photo de profil en haut à droite de votre page d’accueil et sélectionnez « Préférences et confidentialité« . Cliquez sur l’onglet « Confidentialité« , icône du milieu, en haut de la page. Faites défiler jusqu’à la section Sécurité. Cliquez sur Vérification en deux étapes. Cliquez sur Activer pour modifier le statut de la vérification en deux étapes. Vous allez recevoir un code par SMS qui permettra de valider votre numéro de téléphone.

Même possibilité pour Yahoo! Dailymotion ou encore Microsoft.

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Piratage, Social engineering, Twitter, Vie privée

Comment renforcer la sécurité de vos mots de passe en 5 étapes

Le piratage des comptes Twitter et Pinterest de Mark Zuckerberg a été lié à la fameuse fuite de données subie par LinkedIn, et facilité par le fait que le milliardaire utilisait les mêmes mots de passe sur plusieurs comptes. Cette histoire constitue une bonne raison pour vous inciter à renforcer la sécurité de vos mots de passe. S’assurer de sa sécurité en ligne ne doit pas nécessairement être tâche compliquée : avec les bons outils, vous pouvez vous protéger tout en économisant votre temps et votre énergie.

Voici 5 conseils pour vous assurer que vos comptes personnels soient aussi sûrs que possible :

1. Créer des mots de passe n’a jamais été notre fort. Utilisez un gestionnaire dédié.
Chaque jour apporte son lot d’histoires de piratage, certaines ayant pour origine les fuites de données vers le dark Web d’il y a 4 ans. Malgré cela, nous continuons à réutiliser les mêmes mots de passe pour différents comptes en dépit de risques évidents. Bien souvent, au moment de l’annonce d’un piratage, il est déjà trop tard, mais il est possible de prendre des précautions afin de sécuriser nos données.

En évitant d’utiliser plusieurs fois le même mot de passe, les pirates ne peuvent pas prendre possession de plusieurs comptes en cas de fuite. Les gestionnaires tels que LastPass offrent une solution sécurisée pour générer des codes longs, complexes et uniques sans avoir recours à sa mémoire ou à des bouts de papier. Mieux : ces outils simplifient l’importation des identifiants de l’ensemble des comptes associés à une adresse e-mail donnée, sans oublier que ces données sont également chiffrées.

2. N’enregistrez pas vos mots de passe sur votre navigateur.
Bien que pratique, stocker des mots de passe en local sur un navigateur est dangereux et vous rend, vous et vos identifiants, vulnérables en cas de piratage. Ce confort est en effet la raison-même pour laquelle ces applications sont moins sécurisées et robustes. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Le chiffrement et le déchiffrement s’effectuent en local. Leurs protocoles de vérification vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

3. Activez l’authentification à deux facteurs sur l’ensemble de vos comptes, y compris vos messageries.
En activant l’authentification à deux facteurs (2FA) sur vos comptes importants, même si un pirate possède votre mot de passe, il lui faudra une information supplémentaire (un code à usage unique généré à partir d’une application sur votre téléphone, ou une empreinte digitale). Cette méthode est incroyablement précieuse pour votre adresse e-mail, qui sert essentiellement de passerelle pour l’ensemble de votre activité en ligne, y compris vers votre compte bancaire, vos cartes de crédit, ou encore vos investissements.

4. Renforcez votre code PIN.
Les codes PIN à 4 chiffres sont la norme sur nos téléphones portables. Cela dit, nous vous recommandons vivement de vous rendre dans les paramètres de votre appareil et de créer un code plus long. Et évitez de reproduire celui de votre carte bancaire, ou d’utiliser le code d’accès à votre compte en banque en ligne.

5. N’oubliez pas les questions de sécurité.
Beaucoup de comptes en ligne vous invitent à choisir des questions de sécurité afin d’ajouter une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si vous utilisez un gestionnaire de mots de passe, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : premier animal de compagnie : ackpioughtso. N’oubliez pas d’utiliser également la fonction de création de codes lisibles (proposée en autres par LastPass). Dans le cas contraire, vous risquez de vous retrouver au téléphone à devoir expliquer à un agent de service client pourquoi les caractères $$%%@@ figurent dans le nom de votre animal de compagnie, ce qui vous compliquera la vie pour pas grand-chose. (Par Joe Siegrist, vice-président et directeur général de LastPass)

Biométrie, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, IOT

Biométrie : pourquoi les états freinent leur usage alors que les consommateurs l’acceptent ?

Les fabricants d’appareils numériques intègrent de plus en plus de de systèmes de contrôle biométrique, que ce soit des capteurs d’empreintes digitales ou même un scanner d’iris. L’usage de la biométrie représente-t-elle une révolution ? Pas si sûr. Ces lancements et son acceptation par les consommateurs sont révélateurs d’une nouvelle façon de percevoir et d’adopter des technologies qui suscitaient traditionnellement des réticences voire des craintes.

La biométrie, déjà dans toutes les poches Si les Français considéraient la reconnaissance d’empreintes digitales comme une technologie réservée à la police, les initiatives de sécurité biométrique des géants de l’informatique, telle que la généralisation des capteurs d’empreintes et l’annonce de l’arrivée d’un scanner d’iris sur les prochains téléphones de Samsung, illustrent la démocratisation et la banalisation de la biométrie dans les produits grand public. Idriss Aberkane, professeur à Centrale Supélec et chercheur à Polytechnique, a bien résumé le parcours que traverse une innovation avant d’être acceptée par l’opinion commune : elle est tout d’abord considérée comme ridicule, puis dangereuse, avant d’aller de soi. Il semblerait donc que la biométrie appliquée aux usages quotidiens ait atteint cette dernière phase.

Apple Pay utilise la reconnaissance d’empreintes digitales qui équipe les nouvelles générations de smartphones et sert notamment à déverrouiller l’appareil sans saisir de code. Sont également concernés les achats en ligne effectués dans un cadre limité comme iTunes ou l’AppleStore. L’utilisation généralisée en magasin est prévue pour dans quelques mois. La biométrie est donc dans toutes les poches, et ce pour des usages de plus en plus fréquents et basiques. À l’instar des données personnelles qui alimentent les big data, les empreintes digitales deviennent des éléments d’identification que nous partageons de plus en plus facilement dans notre quotidien.

Du moment qu’un service leur est utile, les utilisateurs de smartphones se préoccupent finalement assez peu de l’usage qui est ou pourrait être faite de leurs empreintes digitales et des traces qu’ils sont amenés à laisser via une puce NFC.

Les Français favorables au contrôle et à la traçabilité pour la sécurité des biens et des personnes
Pourtant, et malgré les menaces qui pèsent aujourd’hui sur la sécurité de notre pays et de ses habitants, des réticences tenaces continuent de freiner l’utilisation de ces technologies pourtant susceptibles de faciliter grandement la recherche des individus dangereux présents dans les fichiers sensibles des états. Alors que des solutions très performantes intégrant toutes ces technologies sont aujourd’hui disponibles et susceptibles d’apporter une aide précieuse aux policiers en charge des contrôles aux frontières ou inopinés, certains chantres des libertés fondamentales continuent de rejeter l’utilisation des empreintes digitales considères comme faisant partie du patrimoine privé des individus, fussent ils de dangereux terroristes potentiels.

Cette attitude va à l’encontre d’une récente enquête réalisée par OpinonWay pour le compte de Coppernic qui révèle que la plupart des Français (76%) sont favorables aux dispositifs de contrôle utilisant les capteurs d’empreintes digitales. Plus généralement, cette enquête démontre que, face à la menace terroriste et à la montée de la violence dans la société, beaucoup de citoyens sont prêts à « sacrifier » une partie de leurs libertés individuelles pour améliorer la sécurité de leus proches et de leurs biens. Il ne s’agit pas de sombrer dans la psychose sécuritaire, mais au contraire d’en revenir aux fondements du contrat social : les instances régaliennes de l’Etat assurent la protection des individus, en échange d’une part de contrôle.

La technologie sera d’autant mieux acceptée qu’elle a une visée positive, d’autant plus qu’elle peut facilement susciter des inquiétudes. On l’a vu lors des débats relatif à la loi Renseignement l’année dernière : le fantasme de Big Brother n’est jamais loin. Pour s’en prémunir, la pédagogie est de mise. Il est primordial d’être transparent tant sur les ressorts de la technologie que sur l’utilisation des données. C’est à ces conditions seulement que les innovations seront considérées comme socialement acceptables et opérationnellement efficaces. (Par Jacky Lecuivre, Président Directeur Général de Coppernic)

Base de données, Chiffrement, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde

65% des DSI anticipent une fuite massive de données dans les prochains mois

Un rapport d’OKTA montre un paradoxe saisissant : les entreprises migrent de plus en plus sur le cloud, mais n’investissent pas suffisamment en sécurité. La sécurité reste le parent pauvre du cloud, et les DSI peinent à convaincre de son impact positif sur la productivité.

Okta, le leader de la gestion des identités et des terminaux à l’heure du cloud et de la mobilité d’entreprise, annonce les résultats de la première édition de son rapport Secure Business Agility. Selon les données compilées à l’issue d’une enquête menée auprès de 300 DSI et RSSI, la plupart des organisations sont intimement convaincues de la nécessité absolue d’offrir les meilleures technologies à leurs utilisateurs pour stimuler leur productivité. Pourtant, nombreuses sont celles qui peinent à faire preuve d’agilité, à cause d’une vision de la sécurité dépassée et focalisée sur leurs systèmes internes.

L’incapacité des organisations à adapter et à mettre à niveau leurs outils de sécurité représente pour elles un risque sur le plan de la sécurité. Ainsi, 65% des répondants s’attendent à ce que leur organisation soit victime d’une fuite de données dans les 12 prochains mois, à moins qu’elles ne parviennent à mettre à jour leurs solutions de sécurité à temps.

« Dans un souci de productivité, les organisations du monde entier investissent dans des technologies cloud et mobiles permettant à leur personnel de travailler virtuellement de n’importe où. Néanmoins, cette approche n’est pas la garantie d’une véritable agilité. Les organisations étant de plus en plus connectées, l’idée que l’on se fait traditionnellement des frontières de leurs réseaux est en train de disparaître. Les entreprises doivent donc renforcer leur sécurité en priorité », déclare David Baker, responsable de la sécurité des systèmes d’information chez Okta. « Afin de bien maîtriser leur nouveau périmètre et d’éviter de compromettre la sécurité et la productivité des salariés, les DSI doivent adopter des outils allant au-delà des frontières classiques des sociétés et de leurs réseaux, et rendre l’ensemble de leur organisation agile.»

Les principaux enseignements du rapport :
–      Les organisations sont divisées quant à l’impact positif ou négatif de leurs stratégies de sécurité sur leur productivité et leur agilité : On constate des divergences d’opinions au sein des personnes interrogées sur l’effet favorable ou non de leurs mesures de sécurité sur la productivité. Ainsi, plus de la moitié des répondants (52%) affirment que leurs solutions de sécurité actuelles compromettent la productivité, tandis que 48% d’entre eux estiment que les mesures en place permettent à leur organisation d’adopter des solutions de premier plan favorisant la productivité et l’agilité. Le DSI est pris dans l’étau, entre sa mission qui est d’assurer une sécurité maximale à l’entreprise et sa volonté de ne pas brider la productivité.

–       La visibilité sur l’utilisation des applications est limitée : Selon les résultats de notre enquête, 85% des DSI souffriraient d’un manque d’informations sur les individus ayant accès aux différentes applications au sein de leur organisation. Plus inquiétant encore : 80% des répondants considèrent que la faiblesse des mots de passe ou des contrôles d’accès constitue une problématique de sécurité.

–       Investir dans de nouvelles technologies mobiles, d’automatisation et cloud s’avère être une stratégie payante pour les organisations : 92% des personnes interrogées estiment que leur organisation pourrait faire davantage pour intégrer et prendre en charge des applications cloud dans leurs infrastructure et systèmes. Les équipes informatiques ont donc une formidable opportunité de réduire ce pourcentage en augmentant l’agilité et la productivité au sein de leur entreprise.

Pour plus de renseignements sur les facteurs encourageant le renforcement de la sécurité via le cloud, et sur les risques liés au maintien d’une approche statique basée sur des technologies dépassées, consultez le rapport Secure Business Agility ICI.

BYOD, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise

L’authentification forte est-elle l’avenir du mot de passe ?

Les actualités le prouvent trop souvent : la combinaison identifiant/mot de passe ne suffit plus à protéger correctement les accès aux applications aussi bien personnelles que professionnelles. En 2014 déjà, les vols de mots de passe ont coûté près de 3 millions d’euros à l’économie mondiale. C’est pourquoi de plus en plus d’entreprises et particuliers se tournent vers d’autres moyens pour sécuriser leurs données. Afin de contrer tout piratage, nous devons désormais choisir des mots de passe plus longs et plus complexes, un procédé qui s’avère de plus en plus pénible et fastidieux.

Mais alors que le mot de passe est le mode d’authentification (dit simple) le plus utilisé, peut-on envisager un autre moyen d’accéder à ses comptes en toute sécurité ? Comment la formule « moins de mots de passe = plus de sécurité » peut-elle marcher ?

Authentification forte vs authentification unique
Si l’identification requiert des internautes de répondre à la question « Qui êtes-vous ? » au travers d’un identifiant unique, ceci n’est pas à confondre avec le processus d’authentification qui, quant à lui, vise à valider l’identité, et peut se décliner sous deux formes différentes pouvant se compléter :

L’authentification forte (ou Multi-facteurs), qui demande d’associer plusieurs preuves en vue d’effectuer cette validation, par exemple quelque chose que l’on sait (mot de passe, code PIN) avec quelque chose que l’on possède (un élément biométrique, un objet ou une action). L’authentification unique (SSO), utilisant un compte unique donnant accès à plusieurs applications en ne s’authentifiant qu’une seule fois.

C’est justement ce dernier procédé que le gouvernement français a voulu soutenir via le dispositif « France Connect » permettant aux citoyens français de s’identifier sur les principaux sites publics via un seul jeu d’identifiants. Cela permet aux utilisateurs de s’identifier une seule fois, limitant ainsi les risques en réduisant le nombre de mots de passe à retenir.

Partant du constat simple que le premier élément de sécurité est l’identité et que le vrai point faible de l’identité est le mot de passe, l’authentification unique apparaît également comme une bonne stratégie à adopter pour toute entreprise ou particulier souhaitant en finir avec la multiplicité des identifiants et des mots de passe tels que nous les avons connus jusqu’à présent. Cette approche fournit également une expérience utilisateur améliorée pour les employés, les clients ou les citoyens. Pourtant, elle ne résout pas seule les enjeux de sécurité associés à l’authentification.

Alors que la mobilité et le Cloud font voler en éclat le périmètre de sécurité traditionnel des entreprises, celles-ci doivent s’efforcer de trouver de nouvelles stratégies pour se protéger.

L’authentification forte, clef de voûte de la sécurité de vos données
Depuis quelques mois, le niveau de créativité des cybercriminels a encore monté d’un cran, en ce qui concerne les techniques utilisées pour dérober des données personnelles des consommateurs. Avec l’utilisation accrue d’appareils mobiles et l’émergence des objets connectés stockant chaque jour d’avantage d’informations personnelles et confidentielles, il devient critique pour les particuliers et les entreprises de protéger efficacement leurs données sensibles. Fin 2015, Dropbox avait donné l’exemple, en annonçant une forme de sécurisation additionnelle de l’accès à leur service via des clés USB permettant une double authentification de ses utilisateurs visant à renforcer la sécurité des espaces de stockage de ses différents utilisateurs.

Par ailleurs, l’apparition de la génération Y et du tout connecté a chamboulé l’utilisation des appareils aussi bien à la maison qu’au travail, notamment avec l’avènement du BYOD. Alors que bon nombre d’employés connaissent les bonnes pratiques en termes de mots de passe, la facilité l’emporte très souvent sur la sécurité. Ainsi, près de la moitié des employés admettent qu’ils sont susceptibles de réutiliser des mots de passe personnels pour des comptes liés au travail[1]. Pourtant, l’avènement du BYOD fournit justement de nouveaux moyens de renforcer le processus d’authentification en adoptant des facteurs logiciels déployés sur l’équipement (mobile) de l’employé.

Enfin, concernant les services en ligne aux consommateurs (messagerie, collaboratif, stockage), les vols massifs d’identifiants et mots de passe soulignent d’autant plus le besoin de renforcer l’authentification avec plusieurs facteurs afin de limiter les risques de fraude liés à une simple authentification du couple identifiant/mot de passe. Yahoo en est à ce titre le dernier exemple de taille avec l’annonce il y a quelques jours d’un piratage de près de 500 Millions d’identifiants et mots de passe de clients s’étant déroulé plus de 18 mois auparavant !

Vers l’authentification adaptive
Les entreprises doivent donc s’efforcer d’adopter des mesures de sécurité simplifiées mais néanmoins plus robustes. Dernièrement, plusieurs gros acteurs du numérique ont choisi d’adopter de nouveaux moyens technologiques afin de s’assurer un niveau optimal de protection.

La biométrie a été l’une des dernières adoptions en date, alors même qu’elle ne représente pas une alternative 100% fiable lorsqu’elle est utilisée seule. Il y a un an, 5,6 millions d’empreintes digitales appartenant à un organisme gérant la carrière professionnelle des fonctionnaires fédéraux américains avaient été dérobées. Cette actualité démontre que la biométrie – ce système de reconnaissance basé sur des caractéristiques physiques ou comportementales d’un individu pour vérifier son identité – ne serait pas aussi fiable qu’on pourrait le penser et reste un moyen d’authentification encore fragile. Début 2015, un hacker était déjà parvenu à cloner l’empreinte digitale de la ministre fédérale de la Défense Allemande en la reconstituant grâce à des photos publiques en haute définition.

On peut imaginer renforcer la sécurité grâce à l’authentification adaptative et ainsi éviter de sacrifier l’expérience utilisateur. L’authentification adaptative permet de tenir compte de données telles que les adresses IP, la géolocalisation, la distance parcourue ou les empreintes comportementales pour attribuer un niveau de risque qui détermine si le client doit faire l’objet d’une demande d’authentification complémentaire. Si un client Uber commande un véhicule à New York et qu’une nouvelle commande se fait à Paris quelques minutes après, le contexte permettra d’établir un niveau de risque et, en fonction de celui-ci, d’appliquer une méthode d’authentification complémentaire telle que la biométrie, un jeton numérique (par exemple généré depuis le smartphone référencé du client) ou d’autres combinaisons de facteurs permettant de sécuriser la transaction.

Le couple SSO / Authentification Forte
Le couplage de l’authentification unique à l’authentification forte rend un double service auprès des utilisateurs : d’une part le consommateur ou l’employé bénéficie d’une expérience améliorée (et d’un réel confort), et d’autre part il permet d’élever de manière très conséquente la sécurité des services rendus tout en diminuant le risque de fraude. L’avenir est à la combinaison de ces deux moyens.

Les solutions de gestion des identités connaissent une adoption de plus en plus généralisée car elles proposent une expérience client homogène et répondent à des contraintes strictes en matière de  sécurité, de performances et de besoins techniques. Beaucoup d’entreprises et autres organismes ont déclaré que la fin du mot de passe était proche, il faut maintenant se pencher sur ce qui vient après. (Par Arnaud Gallut, Directeur Commercial France de Ping Identity).

Chiffrement, Contrefaçon, cryptage, Cybersécurité, double authentification, Entreprise, ID, Identité numérique, Paiement en ligne, Particuliers, Social engineering

Nouveaux services numériques de confiance pour l’Imprimerie Nationale

Le Groupe Imprimerie Nationale présente ses nouveaux services numériques de confiance pour une sécurisation renforcée des identités digitales, et des droits et services associés.

A l’occasion du Salon des Assises de la Sécurité,  le Groupe Imprimerie Nationale, expert mondial en solutions sécurisées d’identité, présentera ses services numériques innovants pour simplifier et sécuriser identités digitales, données sensibles et flux. Document augmenté, sécurité et fiabilité des données personnelles dans l’open data : l’Imprimerie Nationale mettra en avant ses solutions numériques de confiance sur le stand n° 59.

Fidèle à sa tradition d’innovation collaborative au service de la cybersécurité, l’Imprimerie Nationale dévoilera ses solutions intégrant la nouvelle technologie de lutte contre la fraude ; le cachet électronique visible (CEV), signature électronique issue du standard 2D-Doc mis en place par l’ANSSI pour lutter contre la fraude documentaire.  Cette nouvelle version enrichie, disponible à coût très compétitif et très facile à mettre en œuvre, permet  désormais une validation en temps réel via une application mobile qui interroge une base de données pour garantir la validité du document et de son environnement (émetteur, données clé,…).

Cette convergence des sécurités physiques et logiques ouvre la voie à une nouvelle réalité, celle du document  augmenté : évolutif,  infalsifiable, connecté. L’Imprimerie Nationale présentera notamment ses dernières applications réalisées pour le secteur du transport (dispositif d’identification des véhicules  pour les VTC)  et de la protection de l’environnement (certificat qualité de l’air, Crit’Air) utilisant cette technologie.  Dans les deux cas, le CEV permet le contrôle, sur le terrain, par les forces de l’ordre et par les clients pour les VTC, de la conformité des informations.

L’Imprimerie Nationale déploiera en masse cette nouvelle technologie dès 2017  (plus de 30 millions de CEV) dédiée aux numériques de confiance

L’Imprimerie Nationale dévoile également la nouvelle version de sa plateforme Pass’IN, solution all-in-one d’identification forte,  de signature électronique et de contrôle d’accès intégrant la technologie NFC qui facilite et sécurise les échanges des données professionnelles sur tout type de support (tablette, mobile, PC).

Pass’IN permet de rationaliser, unifier, sécuriser et personnaliser la gestion physique et logique des identités et des accès. Cette solution, véritable socle de votre confiance numérique, permet de tracer, chiffrer et sécuriser toutes les étapes du cycle de vie des données sensibles (création, transmission, stockage et lecture) quel que soit votre environnement de travail.

Par sa capacité à investir dans les technologies de rupture et à exploiter tout le potentiel d’une technologie française, l’Imprimerie Nationale anticipe les nouveaux usages et propose à ses clients publics et privés des solutions simples, rapides, économiques et plus sécurisées facilitant ainsi leur transition numérique et les numériques de confiance. L’Imprimerie Nationale se positionne sur toute la chaîne de valeur numérique depuis l’entrée en relation  digitale, la validation, l’émission jusqu’à la gestion complète du cycle de vie et l’exploitation des données sensibles. Opérateur de confiance, elle sécurise de bout en bout l’ensemble des processus numériques.

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un commentaire

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.