19 mai 2023
À mesure que les organisations se transforment numériquement pour élargir l'accès aux services en ligne, le défi passe de l'accès à la protection des personnes contre les cybercriminels. Les acteurs de la menace se développent continuellement, utilisant des outils et des techniques au niveau de l'entreprise de manière de plus en plus sophistiquée pour contourner les systèmes de sécurité qui les protègent.
Malheureusement, de nombreuses organisations commettent une erreur cruciale en matière de cybersécurité : elles consacrent des ressources à des méthodes de sécurité banalisées, réagissant constamment aux brèches et aux informations d'identification compromises au lieu de se prémunir contre l'avenir par des mesures préventives.
Aujourd'hui, nous nous entretenons avec Matt Welch, responsable du renseignement sur les menaces chez iProov. Matt a une longue expérience de la direction et de la consultation de départements mondiaux de renseignement sur les menaces, après 16 ans de service dans les Forces armées canadiennes. Aujourd'hui, chez iProov, Matt étudie l'évolution du paysage des menaces biométriques et les acteurs de la menace qui les sous-tendent, tout en développant des cadres pour lutter contre les types de menaces.
Nous nous sommes entretenus avec Matt pour mieux comprendre l'état macroéconomique de la cybersécurité au premier trimestre 2023.
Comprendre l'évolution des menaces au premier trimestre 2023
Q : Matt, quelles sont les tendances et les évolutions que vous avez observées dans le domaine de la cybersécurité depuis le début de l'année ?
R : Un changement de tactique a été observé de la part d'un acteur de menace prolifique, le groupe surnommé Scattered Spider par Crowdstrike. Il est intéressant de noter qu'il se concentre désormais sur l'hameçonnage, en particulier sur les courriels et les domaines d'hameçonnage. Le phishing est une forme de menace courante et bien établie, qui vise à inciter les individus à révéler leurs informations personnelles, mais il reste remarquablement efficace contre les organisations dont la sécurité de l'information repose sur les informations d'identification. Pour en savoir plus sur cette tendance, consultez le dernier rapport de crowdstrike ici.
Le point essentiel ici est que les acteurs de la menace réalisent que les informations d'identification sont toujours le fruit le plus facile à obtenir. Souvent, ils n'ont même pas besoin d'hameçonnage ; les acteurs de la menace peuvent facilement obtenir des informations d'identification compromises, car nombre d'entre elles sont déjà dispersées sur le darknet. Ils peuvent ensuite utiliser des attaques de bourrage d'identifiants pour voir à quels autres comptes ils peuvent accéder avec ces informations.
La conclusion est que, puisque de nombreuses organisations utilisent aujourd'hui des protocoles d'authentification multifactorielle, les autres types d'authentification - "quelque chose que vous possédez" et "quelque chose que vous connaissez" - seront naturellement attaqués après le vol d'informations d'identification. Si une organisation utilise l'authentification multi-facteurs (MFA) et que les acteurs de la menace récoltent des informations d'identification par le biais du phishing, les autres facteurs d'authentification seront logiquement attaqués ensuite.
C'est en partie la raison pour laquelle la technologie biométrique est devenue essentielle : bien qu'il soit possible de collecter et de partager facilement des informations d'identification compromises, il est impossible de capturer et d'utiliser la présence authentique du visage d'une personne en chair et en os. La bonne nouvelle, c'est que "ce que vous êtes" peut être incroyablement difficile à pirater, contrairement à "ce que vous savez" ou "ce que vous possédez".
Le problème des méthodes d'authentification basées sur les données d'identification et l'accent mis à tort sur "quelque chose que vous possédez".
Q : Matt, les informations d'identification sont menacées par un regain d'intérêt pour le phishing. Que peut-on dire des autres facteurs d'authentification ?
R : Oui, les acteurs de la menace se concentrent actuellement sur les informations d'identification. Mais comme de plus en plus d'organisations mettent en œuvre l'authentification multifactorielle, ils tourneront leur regard vers les autres facteurs utilisés pour sécuriser l'AMF.
Mais le point le plus important est que les protocoles d'AMF sécurisés par des facteurs "que vous possédez", tels que les codes de passe à usage unique (OTP), ne sont pas une solution à long terme. Les cybercriminels ont vaincu ces technologies de vérification traditionnelles, ce qui a conduit à la banalisation de ce qui était autrefois considéré comme des options sûres (vous pouvez en savoir plus sur les risques des OTP ici, par exemple).
Les OTP sont une étape supérieure aux mots de passe et offrent souvent un niveau de sécurité plus élevé que l'authentification basée sur les informations d'identification. Toutefois, les facteurs basés sur la possession sont de plus en plus sensibles et peuvent toujours être volés ou interceptés. Ce n'est pas une solution miracle.
Plus largement, je dirais que la dépendance excessive à l'égard de l'authentification basée sur les titres de compétences et la possession a conduit à un cercle vicieux dans lequel les organisations sont bloquées dans un état de réaction et de détection des menaces plutôt que de prévention, créant ainsi une "industrie" de la charge administrative en matière de sécurité de l'information.
La dichotomie du type de contrôle : Prévention ou détection
Q : Matt, que peut-on faire pour lutter contre les menaces qui pèsent sur les systèmes d'authentification ?
R : En général, les organisations sont trop concentrées sur ce qui leur fait mal en ce moment - elles sont constamment en train d'éteindre des incendies dus à des mots de passe faibles et à une authentification basée sur la possession, de sorte que les professionnels de la sécurité de l'information sont trop occupés (ou ne disposent pas de toutes les informations dont ils ont besoin) pour réaliser qu'il y a une bien meilleure façon de procéder.
La technologie biométrique offre une meilleure approche de la sécurité. L'adoption d'un produit mature et fiable qui garantit l'identité authentique d'un utilisateur distant est d'une efficacité unique.
La cybersécurité peut être divisée en contrôles préventifs et détectifs. La cybersécurité s'est traditionnellement concentrée sur les contrôles de détection, qui sont incroyablement coûteux.
Pensez-y comme suit : c'est la différence entre payer quelqu'un pour faire le tour de votre bâtiment afin de voir si quelqu'un est entré par effraction, et simplement verrouiller la porte. Dans cette analogie, la biométrie est la serrure - elle permet d'arrêter la grande majorité des problèmes au stade le plus précoce. En ce sens, la technologie iProov est la mesure préventive par excellence.
En outre, le coût d'un système de capacité de cybersécurité mature dans une organisation donnée est astronomique ; des éléments tels qu'un centre d'opérations de sécurité (SOC), la dotation en personnel, la réponse aux incidents, l'externalisation, les API, les intégrations et les plates-formes de renseignement sur les menaces s'additionnent. En revanche, le coût d'une solution de reconnaissance biométrique résiliente est beaucoup moins élevé.
iProov propose le Centre d'opérations de sécurité iProov (iSOC) dans le cadre de sa solution biométrique. Grâce à l'iSOC, iProov surveille le trafic en temps réel pour détecter les schémas d'attaque dans de multiples zones géographiques, appareils et plates-formes. L'iSOC offre une visibilité approfondie et un contrôle étendu, comme si vous développiez votre propre technologie interne, avec l'avantage de ne pas avoir de frais généraux supplémentaires. Toutes les solutions sont prises en charge, améliorées et mises à jour sans temps, coût ou ressources supplémentaires.
En outre, ces acteurs de la menace savent que les employés quittent le travail pour le week-end à une heure donnée le vendredi, et ils coordonnent donc leurs attaques à ce moment-là. C'est pourquoi les processus automatisés sont essentiels.
En fin de compte, un processus d'AMF qui incorpore la technologie biométrique appropriée pour garantir une présence authentique élimine des quantités colossales de cette douleur et de ce stress en se concentrant sur la prévention.
Conclusions sur les tendances en matière de renseignement sur les menaces
Q : Merci Matt ! Quelques réflexions pour conclure ?
R : Les gens doivent comprendre qu'il est incroyablement difficile d'identifier les attaques d'IA générative telles que les deepfakes ou, plus récemment, les échanges de visages - en particulier à l'œil nu. Le résultat frauduleux peut sembler tout à fait réaliste et très différent de l'entrée réelle. Nous ne pouvons pas nous contenter de compter sur les gens pour repérer les attaques de l'IA.
Remarque : dans une étude iProov, 57 % des répondants mondiaux ont déclaré pouvoir faire la différence entre une vraie vidéo et un deepfake, ce qui représente une hausse par rapport aux 37 % de 2019. Cependant, l'IDIAP a révélé qu'en réalité, seuls 24 % des participants à son étude pouvaient détecter un deepfake. Un deepfake haut de gamme peut être véritablement impossible à distinguer de la réalité pour l'œil humain.
Si l'on examine les différentes solutions biométriques, on constate qu'elles peuvent fournir des niveaux d'assurance très différents quant au fait qu'une authentification donnée est le fait d'un être humain vivant et non d'une usurpation d'identité. Il est donc nécessaire d'informer sur les différents types d'authenticité et de technologies disponibles - les différences entre la trame unique, la trame multiple, la trame passive, la trame active, etc.
La question "Comment pouvons-nous être sûrs de l'identité d'une personne en ligne ?" est un sujet extrêmement important et sérieux, et il n'est pas près de disparaître. Une authentification et une vérification faibles signifient des frontières plus faibles au point de voyage, des comptes en ligne compromis, une sécurité de l'information plus faible, et bien d'autres choses encore. Je suis inquiet de voir que certaines personnes considèrent encore la biométrie comme de la science-fiction, car elle est réelle, nécessaire et plus que jamais indispensable.
Rappel : notre dernier rapport, "iProov Biometric Threat Intelligence", est le premier du genre. Il met en lumière les principaux schémas d'attaque observés jusqu'en 2023. Il met en évidence des modèles d'attaques biométriques en production jusqu'alors inconnus, afin que les organisations puissent prendre des décisions éclairées sur la technologie et le niveau de sécurité à déployer. Lire le rapport complet ici.