Les mots de passe des clients sont une cible pour les cybercriminels : comment faire face à la menace

Les entreprises sont confrontées à divers cyber-risques, allant des rançongiciels au vol de données. Les cybercriminels accèdent aux systèmes d’une organisation de diverses manières. Cependant, les cybercriminels empruntent généralement la voie de la moindre résistance, et le recours des organisations à l’authentification par mot de passe offre de nombreuses possibilités d’attaque. Les mots de passe sont connus pour être une forme d’authentification faible, et l’utilisation généralisée de mots de passe faibles et réutilisés met les entreprises et leurs clients en danger.

Les RSSI travaillent d’arrache-pied pour lutter contre les vecteurs de menace qui ciblent leur personnel depuis des années. La main-d’œuvre est le vecteur le plus courant des rançongiciels, du vol de données et de nombreuses autres violations. Cependant, avec l’essor du numérique alimenté par la pandémie, les clients sont un vecteur de menace croissant. On s’attend de plus en plus à ce que les RSSI « sécurisent ce que vous vendez », présentant un nouveau domaine de sécurité. Pour sécuriser ce domaine client, les RSSI doivent résoudre le même problème auquel ils ont été confrontés du côté de la main-d’œuvre : les mots de passe.

L’authentification par mot de passe nuit à la convivialité et à la sécurité

Les mots de passe sont la forme d’authentification de compte client la plus largement utilisée. Les clients utilisent des mots de passe pour se connecter aux applications mobiles, aux sites Web et aux autres canaux clients. Cependant, bien que les mots de passe soient omniprésents, ils constituent une forme d’authentification faible et à friction élevée. Cette friction nuit à la fois à la sécurité et à l’expérience client des canaux numériques d’une organisation.

Les impacts sur la sécurité de friction liée au mot de passe surviennent parce que les clients tenteront d’éviter des processus pénibles et chronophages, tels que la génération et le stockage de mots de passe uniques et aléatoires pour tous leurs comptes en ligne. Par conséquent, les mots de passe sont généralement faibles et réutilisés d’un compte à l’autre, ce qui rend attaques de prise de contrôle de compte (ATO) possible. Pensez à votre propre utilisation des mots de passe pour les sites Web et les applications que vous utilisez. Si vous n’utilisez pas de gestionnaire de mots de passe, vous réutilisez probablement les identifiants d’utilisateur et les mots de passe sur de nombreux sites disparates.

La mauvaise expérience client des mots de passe nuit également aux activités d’une organisation. La friction liée au mot de passe peut réduire les conversions des utilisateurs invités, inspirer l’abandon du panier d’achat, provoquer des abandons lors du passage d’une marque ou d’un canal à l’autre et nécessiter un effort accru des clients (ce qui est un indicateur avancé de la réduction de la fidélité à la marque). Les mots de passe sont mauvais pour la sécurité et mauvais pour l’expérience client.

La sécurité boulonnée ne fonctionne pas

Pour renforcer la faible sécurité des mots de passe, les entreprises mettent généralement en place des protections supplémentaires qui n’améliorent guère la sécurité, mais nuisent davantage à l’expérience utilisateur.

Les exemples courants incluent :

• Mots de passe SMS à usage unique (OTP) : Les OTP envoyés par SMS ou par d’autres moyens sont une forme courante d’authentification multifacteur (MFA). Cependant, ces codes sont vulnérables à l’interception ou aux attaques de phishing. De plus, ils échouent souvent à envoyer et leur utilisation prend toujours plus de temps et d’efforts.
• Questions de sécurité hors portefeuille : Les comptes en ligne peuvent poser des questions hors portefeuille pour prouver l’identité d’un utilisateur. Cependant, les réponses à ces questions sont souvent accessibles aux attaquants via des archives publiques, des attaques de phishing, des violations de données et des réseaux sociaux. Et non seulement ils ajoutent du temps et des efforts, mais de nombreux clients oublient les réponses qu’ils ont choisies, ce qui entraîne des étapes supplémentaires nécessaires à la récupération du compte.
• CAPTCHA : Les CAPTCHA sont conçus pour protéger contre les attaques automatisées. Cependant, ils peuvent être vaincus par des attaquants et rendre plus difficile l’accès à leurs comptes pour les utilisateurs légitimes.

Au mieux, ces ajouts de mots de passe frustrent les utilisateurs et créent des frictions supplémentaires ; au pire, ce sont des problèmes d’accessibilité pour les personnes ayant des handicaps cognitifs ou physiologiques. Dans les deux cas, ils sont facilement contournés par un cybercriminel déterminé effectuant une attaque de prise de contrôle de compte.

L’authentification sans mot de passe est la solution

L’authentification par mot de passe n’est pas sécurisée et ne le sera jamais. Même si les clients utilisaient des mots de passe uniques et aléatoires pour chaque compte en ligne, ces mots de passe seraient toujours vulnérables aux attaques de phishing, aux violations de données et à d’autres menaces.

La création d’une expérience utilisateur sécurisée et simplifiée nécessite une approche alternative. La meilleure solution est de passer sans mot de passe avec une approche basée sur FIDO. FIDOou Fast Identity Online, est un ensemble ouvert de protocoles standard promu par l’Alliance FIDO^[1] pour une authentification forte à l’aide d’appareils grand public comme les téléphones portables. Bien que FIDO ne résolve pas le problème du jour au lendemain – il faut du temps aux utilisateurs pour passer à l’authentification sans mot de passe – lorsqu’il est bien fait, il commence à éliminer votre plus grand risque commercial : les mots de passe des clients.

L’authentification basée sur FIDO, dans le cadre d’un service bien conçu de gestion de l’identité et de l’accès des clients (CIAM), offre une protection contre les tactiques les plus courantes utilisées dans les attaques ATO, notamment :

• Identifiants compromis : L’authentification basée sur FIDO utilise la biométrie ou les signatures numériques stockées sur l’appareil pour l’authentification. Les utilisateurs n’ont pas besoin de mémoriser et de saisir des données secrètes, ils ne peuvent donc pas être amenés à les révéler à un attaquant.
• Pages d’hameçonnage : Les attaques de phishing utilisent généralement de fausses pages similaires pour collecter les informations d’identification des utilisateurs. L’authentification basée sur FIDO utilise une authentification à deux facteurs : elle valide à la fois le client et le service en ligne qu’il utilise avant de s’authentifier, protégeant ainsi contre ces attaques.
• Bourrage d’informations d’identification : Les attaques de credential stuffing testent les mots de passe faibles et réutilisés via des attaques automatisées. L’authentification basée sur FIDO utilise la cryptographie à clé publique pour l’authentification, ce qui nécessite l’accès à une clé privée cryptographique aléatoire pour se connecter.

Les meilleures implémentations de l’authentification basée sur FIDO éliminent complètement les mots de passe pour les utilisateurs, du point d’enregistrement à tout le parcours client. En éliminant entièrement les mots de passe, la bonne solution basée sur FIDO réduit à la fois les frictions avec les clients et élimine un vecteur de menace très courant : les informations d’identification volées.

Vos clients se soucient de la cybersécurité

Dans un rapport de recherche de janvier 2022 intitulé « Build the Business Case for Cybersecurity and Privacy », Forrester déclare que les gens sont « attirés par les marques ayant une solide réputation en matière de sécurité et de confidentialité ». Ils poursuivent en disant : « Grâce à une sécurité améliorée et à un meilleur libre-service, les clients ont mentionné que la mise en œuvre de services de gestion de l’identité et de l’accès des clients (CIAM) a entraîné une plus grande efficacité dans l’acquisition de clients, une réduction des abandons de clients et de paniers d’achat, et une meilleure taux de conversion (clients s’inscrivant et achetant sur le site). Au fil du temps, ces expériences client améliorées seront clairement liées à une augmentation de la fidélité, de la satisfaction et des revenus de la clientèle. »

Vos clients sont probablement plus informés que jamais sur la protection de leurs comptes. Ils se soucient de la cybersécurité, mais ils choisissent également de faire affaire avec des entreprises qui offrent des expériences utilisateur numériques exceptionnelles. En mettant en œuvre le à droite sans mot de passe Service GIA pour vos canaux numériques, vous pouvez à la fois vous attaquer au vecteur de menace des informations d’identification volées et réduire considérablement les efforts déployés par vos clients pour se connecter et effectuer des transactions. Obtenez une meilleure sécurité et une meilleure expérience.

Pour en savoir plus sur l’authentification sans mot de passe, visitez Transmettre la sécurité.

^[1] La source