Quotidien Fintech, levée de fonds, M&A
Financial Year Financial Year
 
 
Fintech, Greentech, Healthtech, Corporate Finance
              


Vendredi 18 Décembre 2020

Interview | Kris Imbrechts - Auth0


Entretien avec Kris Imbrechts, Directeur Régional Europe du Nord et du Sud chez Auth0



Pouvez-vous présenter Auth0 ?

Auth0 propose une plateforme permettant d’authentifier, d’autoriser et de sécuriser l’accès pour les applications, les périphériques et les utilisateurs. Spécialiste de la gestion des identités des consommateurs (CIAM), Auth0 s’est donné pour mission de protéger les transactions de connexion effectuées en ligne par les utilisateurs et dont l’identité doit être protégée contre les tentatives de vols et d’usurpations.

En termes de surface d’attaque de l’organisation moyenne, dans quelle mesure l’abus malveillant d’informations d’identification est-il important ?

L’abus d’informations d’identification est l’une des activités malveillantes les plus répandues dans le secteur, à l’heure actuelle, il peut entraîner des interruptions de service, nuire à l’image, entamer la confiance dans la marque, donner lieu à des amendes importantes en cas de violation de données, ainsi que provoquer des prises de contrôle et des fraudes. Chez Auth0, nous avons constaté que 67 % de notre trafic total est classé comme malveillant, et nous enregistrons plusieurs milliards de connexions réussies par mois ; vous pouvez donc en imaginer l’ampleur.

Une stratégie centralisée de gestion des identités numériques des clients (CIAM) est essentielle pour réduire la surface d’attaque. Si toutes les applications et tous les services s’appuient sur un service d’identité centralisé, alors c’est justement ce service qui doit être sécurisé.

Lorsque les entreprises disposent de bases de données / services d’authentification en silo, cela augmente la surface d’attaque, ce qui signifie que de multiples emplacements peuvent servir de point d’entrée et que de multiples services nécessitent une défense.

Qui se livre aux abus ? S’agit-il principalement d’attaques par « credential stuffing » utilisant des bases de données qui ont été divulguées ? De force brute à l’état pur ? Quelles autres circonstances/méthodes observez-vous couramment ?

La majorité des attaques sont par « credential stuffing » qui utilise des listes de noms d’utilisateurs et de mots de passe précédemment piratés. Nombre d’entre elles sont disponibles gratuitement sur Internet et comptent plusieurs milliards de références. Les attaques par force brute, par des portes dérobées et par dictionnaire constituent également un problème, mais les violations de listes s’avèrent plus lucratives avec des taux de réussite plus élevés.

Le problème concerne-t-il surtout les attaques massives par « credential stuffing » ou l’utilisation d’informations d’identification individuelles pour des attaques ciblées, ou les deux ?

Le problème tient principalement au fait que les individus réutilisent leurs mots de passe et ignorent que leurs données d’identification ont été utilisées pour commettre une violation de données. Nous devrions constater une certaine amélioration à cet égard, les navigateurs alertant désormais les utilisateurs en cas de duplication ou de vol de mots de passe. Toutefois, la sensibilisation générale à la sécurité reste problématique.

De plus, les cybercriminels ont tendance à déplacer l’attaque d’un client à un autre lorsque le taux de réussite commence à baisser. Chez Auth0, nous constatons qu’une même attaque cible plusieurs utilisateurs simultanément, ou pendant une période donnée. Les attaques peuvent durer des semaines et envoyer une très petite quantité de demandes par adresse IP unique pour contourner les défenses basées sur la fréquence.

Quels secteurs ou types d’organisations spécifiques sont les plus visés ?

Les secteurs de la fintech, du voyage, des media, et de la vente au détail sont les plus touchés par les attaques par « credential stuffing ». Ces prestataires de services aux consommateurs disposent généralement de comptes d’utilisateurs assortis d’une certaine valeur et, par conséquent, si l’attaquant arrive à ses fins, il peut tirer profit de ces comptes en les vendant sur le darknet. Tout service doté d’un système de points ou de fidélité en espèces est une cible privilégiée.

Les comptes contenant des données de valeur ou des données sensibles/informations d’identification personnelle, y compris les abonnements (flux de médias, publications et services SaaS) et les programmes de fidélité en espèces sont particulièrement vulnérables à ce type d’attaque. Chaque fois qu’un utilisateur crée un espace personnel en ligne, c’est une question d’identité et cela devient des données vulnérables à des attaques si elles ne sont pas bien protégées.

Qu’en est-il du secteur financier ?

Les clients commerciaux et les clients de ce secteur recourent de plus en plus à des applications et interfaces en ligne pour la rapidité et l'efficacité – ce qui augmente les identifications et oblige le secteur à s’adapter. Les banques physiques sont en compétition avec les banques virtuelles, et toutes doivent œuvrer en faveur d’une simplification de l'ensemble du processus de paiement et d'authentification pour éliminer les freinset optimiser l’expérience de l’utilisateur final. Tout secteur qui permet la création de comptes utilisateurs et induit des transactions financières requiert de savoir qui est à l’origine de ces paiements, les usurpations étant très répandues dans ce domaine. De plus, les organismes de réglementation exercent une pression sur l'industrie pour qu'elle procède à des contrôles sur l’ensemble des personnes et sociétés.

Justement, le compte de l’utilisateur est-il le seul à être menacé, ou voyez-vous fréquemment l’exploitation de privilèges à la suite d’une telle attaque ?

Dans le monde des services aux consommateurs, il ne s’agit que du compte utilisateur spécifique, mais lorsque les terminaux d’accès des employés sont visés, le principal objectif des attaquants serait l’exécution de privilèges.

Pourquoi l’authentification à deux facteurs (2FA) ou l’authentification multi-facteurs (MFA) – répandues dans ce secteur et dans les paiements sécurisés – n’ont-elles pas résolu ce problème ?

La MFA est en fait la meilleure défense pour protéger le compte d’un utilisateur d’une compromission par « credential stuffing » ou d’une attaque de force brute, car l’accès au compte ne peut être autorisé qu’après avoir satisfait à la procédure de vérification MFA. Cependant, la raison pour laquelle cette solution n’empêche pas l’aboutissement de ces attaques est le manque de mise en œuvre dans les organisations qui sont les plus exposées. La MFA est toujours considérée comme un frein dans l’expérience du consommateur, et la question se posera toujours de savoir si l’ajouter à l’ouverture de session ou au moment du paiement n'augmentera pas le taux d’abandon. Les clients recherchent une expérience simple, personnalisée, valorisante et sécurisée. Leur établissement bancaire doit être leur partenaire et leur offrir transparence et confidentialité. De leur côté, les banques veulent mettre à disposition de leurs clients un portefeuille d’offres et de produits, centralisé sur une même plateforme ou application.

Les organisations doivent désormais se pencher sur les fonctionnalités avancées de la MFA, telles que les moteurs d’analyse des risques qui ne font appel à la MFA que lorsque le comportement de l’utilisateur évolue (nouvel appareil, emplacement, etc.). Dans un monde idéal, un consommateur ne se heurte qu’occasionnellement à des étapes de validation plus importantes lorsque c’est nécessaire. C’est pour répondre à ce besoin qu’Auth0 vient de lancer Adaptive MFA, une fonctionnalité qui se déclenche uniquement lorsqu’une connexion est considérée comme à risque. Un score de risque global permet de mesurer le comportement inhabituel des appareils connus, et/ou la réputation de l’IP. Cette fonction simple permet de renforcer considérablement la sécurité des utilisateurs et leur éviter de rencontrer des difficultés lors de l’enregistrement, de la connexion ou de la finalisation d’achats.

Quelles sont les mesures simples et immédiates que ces organisations peuvent prendre pour réduire le risque ?

Tout d’abord, il faut savoir que 80 % des applications nécessitent une authentification, mais les organisations sont rarement expertes en matière d’identité. La connaissance et le respect des meilleures pratiques en matière de protection contre l’utilisation abusive des informations d’identification constituent un défi de taille, tout comme l’existence de systèmes anciens, cloisonnés et distribués, qui augmentent la surface d’attaque globale.

Pour commencer, les organisations peuvent mettre en place une surveillance et un dispositif d’alerte continus en cas d’activité anormale, comme une augmentation des tentatives de connexion infructueuses ou une hausse du trafic en provenance d’une région particulière. La MFA est la solution la plus rapide, mais elle ajoute une difficulté à l’expérience de l’utilisateur. Pour pallier cette contrainte, il serait intéressant de rechercher des versions plus avancées qui introduisent un niveau de vérification supplémentaire en fonction du contexte. La MFA ne se déclencherait alors qu’en cas de détection d’activité suspecte ou inhabituelle sur le compte, et permettrait ainsi de vérifier que l’auteur de la transaction est légitime. Les entreprises peuvent également envisager des fonctions de détection des robots, comme l’insertion de CAPTCHA pour les transactions de connexion plus risquées. Ce n’est pas une solution miracle, mais elle permet de ralentir les attaques automatisées en augmentant le coût pour l’attaquant. Les fonctions de détection de bots sont également essentielles pour empêcher le traitement du trafic malveillant. En effet, lorsqu’il s’agit de millions de demandes malveillantes, la puissance de calcul nécessaire pour les traiter est importante (ce qui entraînera un coût conséquent). Une solution sophistiquée de détection des bots exigera que le problème soit résolu avant que la demande de connexion ne soit traitée, permettant ainsi de filtrer un pourcentage élevé des demandes malveillantes.

Au-delà de cela, pour se protéger correctement contre les abus d’informations d’identification, les organisations peuvent adopter l’authentification par signature unique (SSO) qui est fédérée pour les employés ou les clients professionnels. Ce procédé limite la création de nouveaux comptes via la génération d’un répertoire universel/unique, ce qui réduit la surface d’attaque.

Mais la base de la sécurité reste les mots de passe. Il est essentiel de constamment encourager les utilisateurs à se servir d’un gestionnaire de mots de passe et à ne pas réutiliser les mots de passe car sans cela, les attaques par « credential stuffing » ne seraient pas efficaces.


No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.





Finyear: latest news, derniers articles


Inscription à la newsletter

Flux RSS