Si vous avez besoin d’arguments pour la faire accepter dans votre entreprise, nous allons démonter quelques mythes sur la MFA et vous aider à convaincre vos collègues de l’adopter.
L’authentification multifacteurs (MFA) constitue probablement l’un des meilleurs moyens de sécuriser votre environnement informatique.
Nous avons vu comment utiliser l’authentification multifacteurs (MFA) pour sécuriser vos comptes de réseaux sociaux et protéger votre site web Wordpress. En résumé, il est nécessaire (et judicieux) de compléter la protection offerte par votre mot de passe pour vous connecter à vos différents comptes en ligne.
Pourquoi s’intéresser à l’authentification multifacteurs (MFA) ?
La nécessité d’une authentification multifacteurs (MFA) est d’autant plus urgente que de nombreuses attaques (telles que celles subies par Equifax, Marriott, et Facebook) ont attiré l’attention et montré que si davantage d’utilisateurs avaient mis en place une telle protection, leurs comptes n’auraient pas été compromis.
En début d’année, nous avons écrit sur les nouvelles méthodes de phishing découvertes par des chercheurs universitaires. L’année dernière, Google a activé la MFA par défaut sur tous ses comptes. Et plus récemment, GitHub a annoncé qu’il exigera de tous les utilisateurs qui contribuent au code d’activer la MFA d’ici la fin 2023.
Mais malgré toute son efficacité, la MFA compte toujours des réfractaires. Si vous avez besoin d’arguments pour la faire accepter dans votre entreprise, nous allons démonter quelques mythes sur la MFA et vous aider à convaincre vos collègues de l’adopter.
1. J’utilise le même mot de passe pour tous mes comptes depuis des années et il n’a jamais été compromis.
Cette excuse est plus courante qu’on ne le pense, et elle est généralement prononcée par des personnes qui devraient savoir qu’elles ne doivent pas réutiliser leur mot de passe, même une seule fois, et encore moins pour des dizaines de comptes. Pour savoir pourquoi, accédez simplement aux sites Have I Been Pwned? ou Avast Hack Check, tapez votre adresse e-mail, et voyez combien de violations de données apparaissent dans les résultats. Pour de nombreuses adresses e-mail, plus d’une douzaine de failles différentes seront répertoriées, certaines remontant à quelques années ou plus. Si vous faites l’effort de mettre à jour vos mots de passe, vous pouvez aussi ajouter la MFA pour protéger réellement votre identité numérique.
2. J’utilise déjà le SMS comme méthode MFA.
Si le SMS comme deuxième facteur d’authentification est toujours mieux que rien, il ne peut être considéré comme une forme de protection fiable et peut vous donner un faux sentiment de sécurité. Comme le souligne Brian Krebs, il existe un « écosystème entier » de travailleurs pouvant être soudoyés pour déjouer les facteurs d’authentification par SMS.
Une application d’authentification pour smartphone offre une meilleure méthode MFA. Ces applications affichent un numéro aléatoire à six chiffres qui n’est valable que pendant une minute. Lorsque vous vous connectez à votre compte, vous devez saisir le code fourni dans le temps imparti pour pouvoir y accéder.
Voici un aperçu de plusieurs applications d’authentification. La plupart sont gratuites. Les éditeurs les plus connus proposent des applications pour les appareils Android et iOS (Authy possède également des applications de bureau pour Mac, Windows et Linux).
3. Je n’ai pas le temps de configurer la MFA.
Si ce mythe était peut-être vrai il y a quelques années, les outils MFA actuels sont devenus plus simples, plus faciles à utiliser et ne prennent pas beaucoup de temps à configurer et à déployer. Il suffit de se lancer : une fois que vous avez installé une application d’authentification sur votre téléphone, son utilisation devient rapidement un réflexe. Vous n’aurez ensuite besoin que de quelques secondes pour entrer le code aléatoire généré pour vous dans l’application.
4. Je ne veux pas utiliser mon téléphone ni mon numéro de téléphone.
Certaines personnes refusent d’associer leur téléphone à leur identifiant pour des raisons de confidentialité. Une application d’authentification de bureau (comme Authy) prend alors tout son sens, à condition de vous connecter à vos comptes depuis un ordinateur de bureau.
Une autre alternative aux applications pour smartphones consiste à acheter une « clé » matérielle qui peut être utilisée comme facteur de sécurité supplémentaire. Les clés de sécurité YubiKey, SoloKeys ou Titan de Google font toutes l’affaire et coûtent environ 50 € pièce. Si vous choisissez cette option, vous devez disposer d’au moins deux clés et les conserver dans deux endroits différents, au cas où vous en perdriez une.
5. Moi ? Je n’ai rien à craindre !
Pour ceux d’entre vous qui sont assez âgés pour se souvenir d’Alfred E. Neuman, il existe de nombreuses excuses et de nombreux mythes autour de cette vieille histoire. Par exemple :
- « Mon entreprise est trop petite pour être une cible. »
- « Je n’ai pas à m’inquiéter des menaces internes ni des attaques de l’homme du milieu. »
- « Je n’ai rien qui vaille la peine d’être volé. »
Malheureusement, aucun de ces raisonnements n’est valable. Que vous soyez un particulier ou un professionnel d’une petite entreprise, votre identité volée peut être utilisée pour accéder à des données beaucoup plus précieuses ; elle peut également servir à ouvrir de faux comptes bancaires ou à obtenir des recouvrements fiscaux illicites. Un compte volé peut également être exploité pour lancer des attaques de ransomware ou de phishing, ce qui pourrait rendre votre entreprise responsable des dommages.
Ne perdez pas de temps : adoptez la MFA dès aujourd’hui et déployez-la sur l’ensemble de vos comptes.