Archives par mot-clé : authentification

Testé pour vous : Titan Security Key

Je vous parlais, début août, de l’arrivée en France et au Canada de la Titan Security Key de chez Google. Voici le test complet de cette clé dédiée à la double authentification de vos comptes web.

Disponible aux USA depuis 2018, la Titan Security Key vient d’arriver sur les marchés Français et Canadien au 1er août 2019. Data Security Breach et ZATAZ vous proposent le test de cette clé de sécurité dédiée à la double authentification de vos comptes : mail, site web, …

Le package est efficace, solide et comme à chaque fois chez Google, qualitatif. On y apprend que le contenu est large avec deux clés, deux adaptateurs (usb, usb-c) et une rallonge usb. On découvre que le matériel est conçu par Google… assemblé en Chine. Les plus paranoïaques vont donc quitter ce test après ce point. Google + Chine vont leur donner des sueurs froides. Mais revenons plus sérieux. Une fois l’autocollant de sécurité décollé.

Il laisse le mot VOID sur la boîte afin de prouver sa non-ouverture. Le contenu apparaît sur deux étages. Deux notices, assurance et mode d’emploi. Ce dernier est simple, sans fioriture, efficace.

Titan Security Key : comment ça marche ?

Direction les sites que vous souhaitez protéger. Ils sont très nombreux aujourd’hui : Google, Facebook, Linkedin, … Nous allons orchestrer ce test pour protéger un compte Google, et donc Youtube, gMail, … Commençons par nous connecter au compte Google que nous souhaitons protéger. Mail et mot de passe suffisent. Direction l’espace sécurité, double authentification. Il suffit d’entrer la Titan Security Key pour coupler cette dernière à l’accès à protéger. Rien de plus simple. Une fois effectué, déconnexion automatique de votre compte sur tous vos appareils. Pour vous reconnecter, il suffira d’utiliser votre mot de passe et votre clé de sécurité.

Vous perdez vos clés ? Il est possible de reprendre la main en faisant une demande à Google, mais cette dernière, comme pour le cas des outils tels que Authy, prendre plusieurs jours (3 pour Authy). Il est possible de répliquer les fonctionnalités de protection dans un compte G Suite.

Sur smartphone, via le NFC et le Bluethooth

Vous possédez une tablette, un smartphone Android/iOS la Titan Security Key vous permet d’utiliser votre compte et la double authentification. Pour cela, trois méthodes: la clé et l’adaptateur ; le NFC de la clé ; le bluethooth.

Dans le premier cas, il suffit de rentrer la prise de la rallonge dans le smartphone. Deux embouts sont proposés : mini USB et USB-C.

Dans le second cas, branchez le NFC de votre téléphone et approchez la Titan Security Key.

Dernière possibilité, le bluetooth est allumé. Cliquez sur le bouton 5 secondes.

Pro et perso

Le matériel est robuste, résiste à l’eau, mais pas plus de 45 secondes immergées dans les toilettes (une erreur est site vite arrivée) pour la clé Bluetooth. La seconde clé fonctionne encore après 45 secondes dans un évier rempli d’eau chaude et produits vaisselles. La Titan Security Key, tout comme sa concurrente Yubico, seront des alliés loin d’être négligeable. Si un pirate vous vole vos identifiants de connexion, avec ce type de sécurité, même armé de vos sésames, le malveillant ne pourra accéder à vos données.

Je vous invite d’ailleurs à utiliser le Service Veille ZATAZ qui permet de détecter, dans les espaces pirates, les données qui ont pu vous être volés ces derniers heures, jours, semaines mois, années. Point fort de la Titan Security Key, la possibilité d’inscrire cette dernière au programme Advanced Protection « Le Programme Protection Avancée protège les comptes Google personnels des individus susceptibles de faire l’objet d’attaques ciblées : les journalistes, les activistes, les chefs d’entreprise et les équipes de campagnes électorales. » indique Google.

Sécurité renforcée et limitation des applications utilisables

A noter qu’une fois les clés activées, les autres facteurs d’authentification, tels que les codes envoyés par SMS ou l’application Google Authenticator, ne fonctionneront plus.

A gauche, la clé Yubico.

Les applications n’appartenant pas à Google sont limitées. Cela veut dire que les applications Mail, Contacts et Calendrier d’Apple, ainsi que le logiciel Thunderbird de Mozilla, continueront de fonctionner avec les comptes bénéficiant de la Protection avancée. De nombreuses autres applications n’appartenant pas à Google n’auront pas accès aux données de votre compte. Les mots de passe d’application sont HS. Vous ne pourrez plus générer de mots de passe via les mots de passe d’application.

Gros gors point noir. Vous avez une télévision connectée Android ? La clé ne fonctionne pas. Google Chrome est imposé. Bilan, vous ne pouvez plus profiter des « services » proposés comme Google Play, …

A noter aussi que les Google Home, les enceintes connectées ne fonctionne plus depuis l’installation de la clé !

Pour conclure, la Titan Security Key est vendue 55€. A voir dans le temps, comme par exemple, pour l’aspect électrique de la clé Bluethooth. Si cette dernière se recharge via la prise USB de votre ordinateur, aucune indication sur sa véritable durée de vie.

Télécoms contre cybercriminalité

Télécoms contre cybercriminalité : perte de 300 milliards de dollars US à l’échelle mondiale en 2016

Telecoms IQ a récemment interrogé André Spantell, gestionnaire des fraudes chez Telia Company, l’une des plus grandes entreprises de télécommunications de Scandinavie, au sujet de la menace que la cybercriminalité pourrait poser à un secteur qui n’est pas prêt à faire face à ces attaques.

André souligne que les méthodes traditionnelles de lutte contre la cybercriminalité ne suffisent plus pour faire face aux nouvelles menaces dans le domaine des télécommunications. Le nouveau paysage de la cybercriminalité n’inclut plus seulement les criminels qui ciblent les revenus ; les opérateurs de télécommunications pourraient faire face à des menaces d’autres acteurs tels que des militants et des États-nations cherchant à obtenir plus d’informations.

André explique ensuite comment le contrecoup d’une attaque n’affecte pas seulement les revenus, mais peut être délétère pour votre image de marque et votre crédibilité sur le marché. « Une mauvaise réputation se traduit par une perte potentielle de millions de dollars et dun grand nombre de clients. »

André souligne que la facilité d’utilisation pour contrecarrer les cyberattaques n’est pas en tête des priorités et que cela peut empêcher certains clients d’adopter certains comportements. Il pense qu’une formation de base devrait être offerte, non seulement aux employés, mais également aux clients afin de les informer eux aussi et de les tenir continuellement au fait des comportements à adopter en ligne afin de protéger leurs données personnelles et sensibles telles que leurs mots de passe, etc.

« Je crois que si tout le monde sinvestissait davantage dans la protection des données sensibles, cela réduirait une partie de la « rentabilité«  pour les fraudeurs tout en amorçant la riposte. Par exemple, si nous commencions à utiliser des systèmes dauthentification à deux facteurs, il serait beaucoup plus difficile pour les criminels daccéder à nos outils, à nos services et à nos téléphones, quels quils soient. »

L’authentification forte est-elle l’avenir du mot de passe ?

Les actualités le prouvent trop souvent : la combinaison identifiant/mot de passe ne suffit plus à protéger correctement les accès aux applications aussi bien personnelles que professionnelles. En 2014 déjà, les vols de mots de passe ont coûté près de 3 millions d’euros à l’économie mondiale. C’est pourquoi de plus en plus d’entreprises et particuliers se tournent vers d’autres moyens pour sécuriser leurs données. Afin de contrer tout piratage, nous devons désormais choisir des mots de passe plus longs et plus complexes, un procédé qui s’avère de plus en plus pénible et fastidieux.

Mais alors que le mot de passe est le mode d’authentification (dit simple) le plus utilisé, peut-on envisager un autre moyen d’accéder à ses comptes en toute sécurité ? Comment la formule « moins de mots de passe = plus de sécurité » peut-elle marcher ?

Authentification forte vs authentification unique
Si l’identification requiert des internautes de répondre à la question « Qui êtes-vous ? » au travers d’un identifiant unique, ceci n’est pas à confondre avec le processus d’authentification qui, quant à lui, vise à valider l’identité, et peut se décliner sous deux formes différentes pouvant se compléter :

L’authentification forte (ou Multi-facteurs), qui demande d’associer plusieurs preuves en vue d’effectuer cette validation, par exemple quelque chose que l’on sait (mot de passe, code PIN) avec quelque chose que l’on possède (un élément biométrique, un objet ou une action). L’authentification unique (SSO), utilisant un compte unique donnant accès à plusieurs applications en ne s’authentifiant qu’une seule fois.

C’est justement ce dernier procédé que le gouvernement français a voulu soutenir via le dispositif « France Connect » permettant aux citoyens français de s’identifier sur les principaux sites publics via un seul jeu d’identifiants. Cela permet aux utilisateurs de s’identifier une seule fois, limitant ainsi les risques en réduisant le nombre de mots de passe à retenir.

Partant du constat simple que le premier élément de sécurité est l’identité et que le vrai point faible de l’identité est le mot de passe, l’authentification unique apparaît également comme une bonne stratégie à adopter pour toute entreprise ou particulier souhaitant en finir avec la multiplicité des identifiants et des mots de passe tels que nous les avons connus jusqu’à présent. Cette approche fournit également une expérience utilisateur améliorée pour les employés, les clients ou les citoyens. Pourtant, elle ne résout pas seule les enjeux de sécurité associés à l’authentification.

Alors que la mobilité et le Cloud font voler en éclat le périmètre de sécurité traditionnel des entreprises, celles-ci doivent s’efforcer de trouver de nouvelles stratégies pour se protéger.

L’authentification forte, clef de voûte de la sécurité de vos données
Depuis quelques mois, le niveau de créativité des cybercriminels a encore monté d’un cran, en ce qui concerne les techniques utilisées pour dérober des données personnelles des consommateurs. Avec l’utilisation accrue d’appareils mobiles et l’émergence des objets connectés stockant chaque jour d’avantage d’informations personnelles et confidentielles, il devient critique pour les particuliers et les entreprises de protéger efficacement leurs données sensibles. Fin 2015, Dropbox avait donné l’exemple, en annonçant une forme de sécurisation additionnelle de l’accès à leur service via des clés USB permettant une double authentification de ses utilisateurs visant à renforcer la sécurité des espaces de stockage de ses différents utilisateurs.

Par ailleurs, l’apparition de la génération Y et du tout connecté a chamboulé l’utilisation des appareils aussi bien à la maison qu’au travail, notamment avec l’avènement du BYOD. Alors que bon nombre d’employés connaissent les bonnes pratiques en termes de mots de passe, la facilité l’emporte très souvent sur la sécurité. Ainsi, près de la moitié des employés admettent qu’ils sont susceptibles de réutiliser des mots de passe personnels pour des comptes liés au travail[1]. Pourtant, l’avènement du BYOD fournit justement de nouveaux moyens de renforcer le processus d’authentification en adoptant des facteurs logiciels déployés sur l’équipement (mobile) de l’employé.

Enfin, concernant les services en ligne aux consommateurs (messagerie, collaboratif, stockage), les vols massifs d’identifiants et mots de passe soulignent d’autant plus le besoin de renforcer l’authentification avec plusieurs facteurs afin de limiter les risques de fraude liés à une simple authentification du couple identifiant/mot de passe. Yahoo en est à ce titre le dernier exemple de taille avec l’annonce il y a quelques jours d’un piratage de près de 500 Millions d’identifiants et mots de passe de clients s’étant déroulé plus de 18 mois auparavant !

Vers l’authentification adaptive
Les entreprises doivent donc s’efforcer d’adopter des mesures de sécurité simplifiées mais néanmoins plus robustes. Dernièrement, plusieurs gros acteurs du numérique ont choisi d’adopter de nouveaux moyens technologiques afin de s’assurer un niveau optimal de protection.

La biométrie a été l’une des dernières adoptions en date, alors même qu’elle ne représente pas une alternative 100% fiable lorsqu’elle est utilisée seule. Il y a un an, 5,6 millions d’empreintes digitales appartenant à un organisme gérant la carrière professionnelle des fonctionnaires fédéraux américains avaient été dérobées. Cette actualité démontre que la biométrie – ce système de reconnaissance basé sur des caractéristiques physiques ou comportementales d’un individu pour vérifier son identité – ne serait pas aussi fiable qu’on pourrait le penser et reste un moyen d’authentification encore fragile. Début 2015, un hacker était déjà parvenu à cloner l’empreinte digitale de la ministre fédérale de la Défense Allemande en la reconstituant grâce à des photos publiques en haute définition.

On peut imaginer renforcer la sécurité grâce à l’authentification adaptative et ainsi éviter de sacrifier l’expérience utilisateur. L’authentification adaptative permet de tenir compte de données telles que les adresses IP, la géolocalisation, la distance parcourue ou les empreintes comportementales pour attribuer un niveau de risque qui détermine si le client doit faire l’objet d’une demande d’authentification complémentaire. Si un client Uber commande un véhicule à New York et qu’une nouvelle commande se fait à Paris quelques minutes après, le contexte permettra d’établir un niveau de risque et, en fonction de celui-ci, d’appliquer une méthode d’authentification complémentaire telle que la biométrie, un jeton numérique (par exemple généré depuis le smartphone référencé du client) ou d’autres combinaisons de facteurs permettant de sécuriser la transaction.

Le couple SSO / Authentification Forte
Le couplage de l’authentification unique à l’authentification forte rend un double service auprès des utilisateurs : d’une part le consommateur ou l’employé bénéficie d’une expérience améliorée (et d’un réel confort), et d’autre part il permet d’élever de manière très conséquente la sécurité des services rendus tout en diminuant le risque de fraude. L’avenir est à la combinaison de ces deux moyens.

Les solutions de gestion des identités connaissent une adoption de plus en plus généralisée car elles proposent une expérience client homogène et répondent à des contraintes strictes en matière de  sécurité, de performances et de besoins techniques. Beaucoup d’entreprises et autres organismes ont déclaré que la fin du mot de passe était proche, il faut maintenant se pencher sur ce qui vient après. (Par Arnaud Gallut, Directeur Commercial France de Ping Identity).

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.

Double authentification pour Amazon

Le site de vente en ligne Amazon propose une nouvelle sécurité, la double authentification. Explication !

Comme DataSecurityBreach.fr a déjà pu vous le proposer pour DropBox, gMail, Facebook, Youtube… la sécurité par double authentification est devenue une obligation aujourd’hui. « L’attaque est le secret de la défense, la défense permet de planifier une attaque. » comme le dit l’adage. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte. Amazon vient de rentrer dans cette grande famille. DataSecurityBreach.fr vous conseille fortement de l’utiliser.

Mode d’emploi double authentification Amazon

D’abord, connectez-vous à votre compte Amazon. Ensuite, dans « Your Account« , dirigez-vous vers les options de modification de votre compte « Change Account Settings« . Choisissez ensuite « Advanced Security Settings« . C’est dans cette option qu’il va vous être possible de créer la double authentification Amazon. Intéressant, Amazon propose deux sécurités. D’abord par le logiciel Authenticator, et par SMS. Bilan, dès que vous souhaitez vous connecter, Amazon vous contactera par l’un de ces deux moyens.

A noter qu’il est possible d’utiliser cette double authentification pour votre blog, site Internet, Steam, Cloudflare, Gandi ou encore OVH.