Attaque De Phishing Sur Smartphone, Tablette Et Ordinateur Portable
Image : Weerapat1003/Adobe Stock

Les mots de passe sont un gâchis, la MFA peut être plus un palliatif qu’une solution au phishing et l’exécution de votre propre infrastructure à clé publique pour les certificats représente beaucoup de travail. L’objectif à long terme est de passer à des informations d’identification sans mot de passe qui ne peuvent pas être hameçonnées.

« Les mots de passe sont un énorme problème : un énorme problème d’utilisabilité et un énorme problème de gestion », a déclaré Alex Weinert, vice-président de la sécurité des identités chez Microsoft, à TechRepublic. « Il existe différentes façons de contourner l’utilisation des mots de passe, et l’ancienne méthode consiste à avoir un mot de passe de toute façon, mais ensuite à le sauvegarder avec autre chose. »

Malheureusement, en raison de ingénierie socialeune telle méthode n’est toujours pas sûre.

« De plus en plus, nous passons à des informations d’identification résistantes au phishing, car le problème avec la sauvegarde d’un mot de passe avec autre chose est que si quelqu’un devine votre mot de passe, il peut vous inciter à approuver l’autre partie », a déclaré Weinert.

VOIR: Politique de sécurité des appareils mobiles (TechRepublic Premium)

Publicité

Les deux options d’authentification multifacteur considérées comme résistantes au phishing sont les clés de sécurité FIDO, qui incluent des options biométriques intégrées telles que Windows Hello, ainsi que la vérification de l’identité personnelle et les cartes d’accès communes.

Sauter à:

La mise à jour des certificats via ADFS est compliquée et coûteuse

Ironiquement, si vous êtes une organisation consciente de la sécurité dans une industrie réglementée qui a déjà fait le dur travail d’adopter l’étalon-or précédent – des cartes à puce qui détiennent un certificat de sécurité et le valident auprès d’une autorité de certification sur votre infrastructure – vous pourriez vous retrouver coincé exécutant ADFS lorsque vous essayez de passer aux nouvelles clés FIDO. Cela est particulièrement vrai pour les entreprises ayant un Politique BYOD.

Jusqu’à récemment, la seule façon d’utiliser PIV et CAC avec Azure AD était d’exécuter ADFS sur votre propre infrastructure, fédérée avec votre autorité de certification. L’utilisation d’ADFS en tant que serveur pour signer des jetons SAML signifie gérer les certificats de signature.

« La gestion des certificats est difficile, la gestion sécurisée des certificats est très difficile et l’infrastructure sur site est incroyablement difficile à défendre », a déclaré Weinert. « Si vous voulez le faire, vous voulez pouvoir y consacrer beaucoup de ressources. »

L’infrastructure sur site est sujette aux attaques

Toutes les organisations ne disposent pas de ces ressources, et une grande partie de la pression pour déplacer l’infrastructure d’identité vers le cloud est due à la difficulté de la sécuriser sur vos propres serveurs. Weinert a cité les récentes violations de données à titre d’exemple.

« La violation provient presque toujours d’une infrastructure sur site », a-t-il déclaré. « Dans la plupart des environnements, accéder au VPN n’est pas si difficile, car tout ce dont j’ai besoin est qu’un utilisateur dans cet environnement clique sur un mauvais lien et obtienne un logiciel malveillant, et maintenant j’ai la commande et le contrôle à l’intérieur du VPN. À partir de là, c’est un travail relativement court de faire un mouvement latéral dans un serveur qui fait quelque chose d’important comme valider des certificats ou signer des choses.

Une attaque récente a placé un logiciel malveillant au niveau du système sur un serveur ADFS, permettant aux attaquants d’encapsuler le processus et d’intercepter les signatures, même si l’organisation utilisait un HSM. Cela a été fait par ce que Weinert appelle un attaquant assez sophistiqué.

« Maintenant qu’ils l’ont fait, tout le monde va essayer », a-t-il averti.

Certificats mobiles et Azure AD

Windows Hello, les jetons FIDO et les clés d’accès vous offrent la même authentification forte que l’authentification basée sur le serveur sans avoir à exécuter une infrastructure de certificats. Cependant, certaines organisations ne peuvent pas encore faire ce mouvement.

« L’objectif à long terme est que nous n’ayons pas du tout de personnes qui gèrent leur PKI, car c’est tellement plus facile pour eux et c’est tellement plus sûr » de les gérer dans le cloud, a déclaré Weinert. « Gérer votre propre PKI est quelque chose dont tout le monde veut probablement s’éloigner, mais personne ne peut s’en éloigner instantanément. »

L’authentification basée sur les certificats dans Azure AD ajoute la prise en charge des cartes à puce à Azure AD, et vous pouvez désormais définir une stratégie qui nécessite une MFA résistante au phishing pour la connexion aux applications natives et Web sur iOS et Android à l’aide de clés de sécurité FIDO. Cela fonctionne également pour l’application Microsoft Authenticator sur iOS et Android avec une YubiKey pour se connecter aux applications qui n’utilisent pas la dernière version de la bibliothèque d’authentification Microsoft.

L’utilisation de clés matérielles permet aux équipes de fournir des certificats aux travailleurs distants, au BYOD et à d’autres appareils non gérés, sans avoir à s’éloigner de votre infrastructure existante jusqu’à ce que vous soyez prêt. Vous avez également plus confiance dans le fait que le certificat est protégé, car il ne quitte jamais la protection matérielle de la clé de sécurité : si vous provisionnez des certificats directement sur les appareils, vous devez faire confiance au code PIN sur l’appareil, et la définition d’une politique de code PIN plus stricte peut être un coup dur pour la productivité des utilisateurs.

Une bonne sécurité améliore la productivité

En plus des organisations qui bénéficient d’une meilleure sécurité, les employés bénéficient d’une meilleure expérience car ils n’ont pas à s’assurer que leur appareil mobile se connecte assez souvent pour avoir un certificat à jour ou à gérer autant d’invites d’authentification qu’ils reçoivent. Fatigue AMF et cliquez simplement sur oui sur ce qui pourrait être une attaque de phishing. L’utilisation d’un certificat – par téléphone ou via une clé de sécurité – signifie que vous n’avez pas du tout besoin d’inviter l’utilisateur.

Trop d’organisations pensent que le fait d’inviter les utilisateurs à se connecter avec MFA à plusieurs reprises toutes les heures ou toutes les deux heures améliore la sécurité. Il fait le contraire, a averti Weinert.

« C’est contre-productif, et pas seulement parce que c’est frustrant pour l’utilisateur », a-t-il déclaré. « Maintenant, vous ne pouvez plus utiliser une invite interactive comme mesure de sécurité, car ils vont dire oui. »

Il l’a comparé à des changements de mot de passe forcés.

« A première vue, cela semble être une bonne idée, mais c’est en fait la pire idée de tous les temps », a déclaré Weinert. « Changer votre mot de passe ne fait rien d’autre que de permettre à un attaquant de deviner plus facilement le prochain mot de passe ou de deviner le mot de passe que vous avez maintenant, car les gens sont prévisibles. »

Une clé matérielle est également plus portable : si quelqu’un obtient un nouveau téléphone – ou si un travailleur de première ligne se connecte à un kiosque partagé ou reçoit un appareil différent chaque jour – il peut utiliser le jeton immédiatement.

Mobile Azure AD Certificate-Based Access est en préversion publique et initialement, il ne fonctionne qu’avec les clés de sécurité YubiKey qui se branchent sur un port USB : Microsoft prévoit d’ajouter la prise en charge NFC, ainsi que d’autres fournisseurs de matériel.

Il s’intègre également à d’autres améliorations d’Azure AD qui pourraient vous être utiles. Si vous utilisez déjà une YubiKey pour sécuriser l’accès à Active Directory et ADFS, le même certificat sur la clé de sécurité vous permettra désormais de vous authentifier auprès des ressources protégées par Azure AD comme Azure Virtual Desktop.

Associez cela aux nouvelles stratégies d’accès conditionnel granulaires dans Azure AD pour choisir le niveau de MFA requis pour différentes applications. Vous pouvez désormais autoriser l’accès aux applications héritées qui pourraient ne pas prendre en charge FIDO avec des options telles que TOTP sans avoir à l’autoriser pour toutes les applications.

Ce sont des options qui ne forcent pas un faux choix entre productivité et sécurité, note Weinert.

« Si vous entravez la productivité de quelqu’un, en tant qu’organisation ou en tant qu’utilisateur, il choisira toujours la productivité plutôt que la sécurité », a-t-il déclaré. « Si vous voulez que les gens aient de meilleures pratiques de sécurité, ce que vous devez faire, c’est en fait faire en sorte que la manière sécurisée de faire les choses soit la manière productive de le faire. »

->Google Actualités

Rate this post
Publicité
Article précédenteSports: l’équipe Rocket League fait 1-1, l’équipe Fortnite prend la 18e place
Article suivantLa marche unitaire du rejeton de la dynastie indienne Nehru-Gandhi se termine dans le Cachemire contesté

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici