Pour lutter contre la faiblesse de la sécurité accordée par la combinaison identifiant-mot de passe, notamment sensible aux attaques de type phishing, des solutions alternatives sont explorées.
Apple, Google et Microsoft ont l'ambition commune de supprimer les mots de passe du schéma d’authentification en ayant recours aux standards FIDO. La reconnaissance biométrique a aussi beaucoup évolué ces dernières années. Mais une autre possibilité est en train d'émerger : l'authentification basée sur la carte SIM.
La fin des mots de passe ?
Les systèmes actuels reposant sur le mot de passe sont sensibles aux attaques par force brute lorsque les mots de passe choisis sont trop faibles. Et même si ceux-ci respectent les recommandations en vigueur, reste le problème de l'hameçonnage : les campagnes de phishing sont de plus en plus sophistiquées et l'utilisateur est amené à partager de lui-même ses identifiants avec des acteurs malveillants.
L'authentification à double facteur (2FA) s'est alors imposée comme un moyen fiable de protéger ses comptes en ligne. Cette méthode accroît largement la sécurité, mais reste faillible. Elle est de plus en plus visée par les pirates, qui parviennent à la détourner. D'après une étude de chercheurs à la Stony Brook University, plus de 1 200 kits de phishing permettant d'intercepter les codes 2FA sont disponibles en ligne.
Reste l'option des clés de sécurité physiques, mais elles sont trop chères et pas assez pratiques pour le grand public.
La carte SIM comme clé de sécurité
Nous connaissons un autre objet physique, qui ne coûte pas bien cher, que tout le monde a déjà en sa possession, et qui offre des fonctions de sécurité poussées : la carte SIM.
Cela tombe bien, une API tru.ID permet désormais d'ouvrir l'authentification du réseau mobile basée sur la carte SIM aux développeurs. En d'autres termes, il est maintenant possible pour les plateformes de créer une authentification multifacteur en ayant simplement recours aux informations de la carte SIM.
Les avantages sont multiples :
- Les tentatives de phishing seront difficiles, car la méthode utilise la combinaison du numéro de téléphone avec l'IMSI (identité internationale d'abonné mobile) de la SIM qui lui est associé. Ce dernier élément est vérifié de manière invisible, l'utilisateur n'a pas besoin de le renseigner lui-même.
- L'expérience utilisateur n'en sera que meilleure, car le processus d'authentification sera exécuté automatiquement par le réseau mobile sans intervention humaine.
D'autres méthodes pour mettre un terme à l'hégémonie du mot de passe sont en cours d'étude et semblent également prometteuses. Il est probable qu'à terme, une seule d'entre elles parvienne véritablement à s'imposer à grande échelle.
Source : The Hacker News