L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) lundi ajoutée l’authentification à un seul facteur à la liste restreinte des pratiques de cybersécurité « exceptionnellement risquées » qui pourraient exposer les infrastructures critiques ainsi que le gouvernement et les entités du secteur privé à des cyberattaques dévastatrices.
L’authentification à un seul facteur est un méthode de connecter les utilisateurs à des sites Web et à des systèmes distants en utilisant un seul moyen de vérifier leur identité, généralement une combinaison de nom d’utilisateur et de mot de passe. Il est considéré comme peu sécurisé, car il repose fortement sur « la correspondance d’un facteur – tel qu’un mot de passe – à un nom d’utilisateur pour accéder à un système ».
Mais avec l’utilisation de mots de passe faibles, réutilisés et courants posant une menace grave, l’utilisation de l’authentification à un seul facteur peut entraîner un risque inutile de compromis et augmenter la possibilité d’attaques par prise de contrôle de compte.
Avec le dernier développement, le liste des mauvaises pratiques englobe désormais —
- Utilisation de logiciels non pris en charge (ou en fin de vie)
- Utilisation de mots de passe et d’informations d’identification connus/fixes/par défaut, et
- Utilisation de l’authentification à facteur unique pour l’accès à distance ou administratif aux systèmes
« Bien que ces mauvaises pratiques doivent être évitées par toutes les organisations, elles sont particulièrement dangereuses dans les organisations qui prennent en charge les infrastructures critiques ou les fonctions critiques nationales », a déclaré CISA.
« La présence de ces mauvaises pratiques dans les organisations qui soutiennent les infrastructures critiques ou les NCF est exceptionnellement dangereuse et augmente le risque pour nos infrastructures critiques, sur lesquelles nous comptons pour la sécurité nationale, la stabilité économique et la vie, la santé et la sécurité du public », l’agence a noté.
De plus, la CISA est envisager d’ajouter un certain nombre d’autres pratiques au catalogue, y compris —
- Utilisation de fonctions cryptographiques ou de tailles de clé faibles
- Topologies de réseau plat
- Mélange des réseaux IT et OT
- Tout le monde est administrateur (absence de moindre privilège)
- Utilisation de systèmes précédemment compromis sans assainissement
- Transmission de trafic sensible, non crypté / non authentifié sur des réseaux non contrôlés, et
- Mauvais contrôles physiques