Clé à emporter
- La cybercriminalité est en hausse depuis près d'une demi-décennie, les attaques de phishing étant particulièrement problématiques depuis un an.
- Depuis 2016, Twitter a subi plusieurs cyberattaques très médiatisées et offre désormais aux utilisateurs l'option de clés de sécurité physiques.
- La société affirme que la méthode est l'un des moyens les plus efficaces pour sécuriser un compte.
Après près d'une demi-décennie d'augmentation de la cybercriminalité et une année marquée par des violations très médiatisées, Twitter propose une nouvelle fonctionnalité de sécurité qui pourrait aider à atténuer le risque d'attaques ciblées sur les comptes d'utilisateurs.
Selon un article de blog publié le 30 juin, le géant des médias sociaux offre désormais aux utilisateurs la possibilité de faire des clés de sécurité physiques leur seule méthode d'authentification à deux facteurs (2FA) - une décision qui pourrait aider à rendre les comptes plus sécurisé tout en éliminant l'exigence précédente de méthodes de sauvegarde plus faibles.
Pourtant, les experts préviennent que chaque méthode de 2FA comporte des compromis.
"Le problème est qu'aucune de ces [méthodes d'authentification] n'est vraiment aussi absolue que les gens le pensent", a déclaré à Lifewire Joseph Steinberg, expert en cybersécurité depuis 25 ans et auteur de plusieurs livres, dont Cybersecurity for Dummies. téléphone.
Les clés de sécurité physiques, expliquées
Selon Steinberg, il existe plusieurs types d'authentification multi-facteurs, chacun avec ses propres avantages et inconvénients.
Les clés de sécurité physiques, comme celles proposées par Twitter, sont de petits appareils que les utilisateurs doivent physiquement brancher ou synchroniser avec leurs appareils personnels afin de se connecter à leurs comptes, un peu comme des clés de voiture. Cela offre l'avantage d'empêcher les pirates d'accéder à distance aux comptes par le biais d'attaques de phishing ou de logiciels malveillants.
… Il est peu probable que quelqu'un change maintenant alors qu'il existe des mécanismes plus simples qui sont considérés comme suffisamment bons.
Selon le blog de Twitter, les clés "peuvent différencier les sites légitimes des sites malveillants et bloquer les tentatives de phishing que les SMS ou les codes de vérification ne feraient pas."
Théoriquement, les clés offrent la solution de sécurité la plus puissante pour les utilisateurs, mais elles sont également l'une des solutions les moins pratiques pour les utilisateurs quotidiens.
« Le principal inconvénient est que vous devez maintenant avoir sur vous la clé en plus de votre téléphone », a expliqué Steinberg. "Donc, si vous voulez tweeter depuis la plage, vous emportez votre téléphone et la clé de sécurité."
Steinberg a également averti que les clés de sécurité physiques risquaient d'être perdues, ce qui pourrait entraîner le verrouillage d'un utilisateur sur son propre compte.
Équilibrer les compromis
Les méthodes d'authentification moins sécurisées, comme l'envoi d'un code de connexion par SMS sur votre téléphone portable, sont souvent plus pratiques pour les utilisateurs que les clés de sécurité physiques, mais elles peuvent comporter un risque plus élevé.
Steinberg a déclaré que les pirates peuvent intercepter les codes SMS par des méthodes telles que les échanges de carte SIM, où les voleurs volent le numéro de téléphone d'un utilisateur et reçoivent les codes sur leur propre appareil.
"Si vous comptez sur les SMS et que quelqu'un vole d'une manière ou d'une autre votre numéro de téléphone et commence à recevoir vos SMS, vous avez un problème car ils vont recevoir vos codes et ils vont être capable de réinitialiser vos mots de passe ", a déclaré Steinberg.
Les applications d'authentification qui génèrent un code de connexion unique sont une autre méthode populaire de 2FA, mais elles comportent toujours le risque d'être consultées par des pirates.
"Si un utilisateur se connecte à un site de phishing et qu'il saisit ce code, le phisher dispose alors de ce code et peut le transmettre immédiatement au site réel", a expliqué Steinberg, ajoutant qu'il existe également un risque de perdre le téléphone et donc perdre l'accès à l'application.
Même les méthodes les plus complexes, comme l'authentification biométrique des empreintes digitales, peuvent comporter des risques.
"Vos empreintes digitales sont partout sur le téléphone en le touchant", a déclaré Steinberg, expliquant que des voleurs sophistiqués peuvent soulever vos empreintes et les utiliser pour se connecter à un appareil. "Le capteur d'empreintes digitales n'a aucun moyen de déterminer s'il s'agit d'un humain réel qui met son doigt là-bas, par rapport à quelqu'un qui met une image d'une empreinte digitale qui a été retirée du téléphone."
Évaluer les avantages
En raison de l'inconvénient de transporter une clé de sécurité physique supplémentaire, Steinberg a déclaré qu'il ne voyait pas la plupart des utilisateurs quotidiens faire le changement proposé par Twitter.
Le problème est qu'aucune de ces [méthodes d'authentification] n'est vraiment aussi absolue que les gens le pensent.
D'après mon expérience, même les choses qui posent un petit problème en matière de sécurité, à moins que quelqu'un n'ait été piraté et aient subi de graves conséquences, il est peu probable que quelqu'un change maintenant alors qu'il existe des mécanismes plus simples qui sont considéré comme suffisant », a déclaré Steinberg.
Néanmoins, Steinberg a déclaré que des groupes d'utilisateurs spécifiques, comme les entreprises et les personnalités, pourraient bénéficier de clés de sécurité physiques.
Bien qu'il n'y ait pas de solution parfaite pour sécuriser le compte de médias sociaux d'un utilisateur, Steinberg a souligné que toute forme d'authentification multifacteur est meilleure qu'aucune, en raison du fait que les comptes sociaux sont souvent utilisés pour se connecter à d'autres comptes connectés à travers plateformes.
"Si vous n'utilisez pas l'authentification à deux facteurs aujourd'hui pour vos comptes de médias sociaux, activez-la", a déclaré Steinberg.