Une question que beaucoup se poseront: comment le vol d’identité augmente-t-il alors que nous disposons de capacités d’authentification multifacteur pour nous protéger? Malheureusement, à mesure que les progrès des capacités de protection de l’identité se sont développés, ils sont également utilisés par des fraudeurs.

Déterminer quelle approche d’authentification à deux facteurs convient à votre entreprise peut être un peu un exercice d’équilibre entre la commodité, le coût et la capacité d’évoluer.

Les jetons durs sont souvent considérés comme la méthode la plus sûre pour 2FA car vous devez les avoir physiquement avec vous lors de l’authentification de votre identité. Cependant, il existe de nombreuses considérations de coût et pratiques, telles que s’ils sont perdus, il peut être lent d’obtenir un remplaçant, ce qui laisse un employé ou un client bloqué hors de son compte, ce qui a conduit les jetons difficiles à renoncer à leur première place.

La deuxième meilleure option consiste à utiliser des applications mobiles pour 2FA. Certaines des plus grandes sociétés de logiciels, telles que Google et Microsoft, ont développé des applications pour smartphone pour fournir des services 2FA. Bien qu’ils aient une échelle et des mesures de sécurité qui vont au-delà des jetons durs, il existe encore des lacunes que les entreprises devraient prendre en compte. Bien que la vérification tierce ajoute une couche de protection, elle peut également créer des couches supplémentaires de complexité qui empêcheront une expérience client transparente. Les applications mobiles exigent également que tous les utilisateurs disposent d’un combiné approprié, c’est-à-dire un smartphone, et peuvent nécessiter un abonnement aux données. Dans les cas où un abonnement de données n’est pas fourni aux employés, ceux-ci peuvent refuser d’utiliser leur abonnement personnel. Il existe également les problèmes de configuration et de support liés à l’utilisation d’applications tierces. Et avec autant de parties prenantes impliquées (opérateur, fournisseur d’applications et entreprise), il peut être difficile d’identifier et de corriger rapidement la cause première d’une activité frauduleuse, car elle peut se produire si rapidement et à plusieurs niveaux différents.

Le SMS est depuis longtemps la méthode établie et préférée pour fournir une authentification à deux facteurs (2FA) par les entreprises du monde entier. La simplicité du SMS signifie qu’il fonctionne sur tous les appareils, n’a pas de frais ou à faible coût, et génère et envoie rapidement un code simple que les utilisateurs peuvent lire et entrer. Cependant, la commodité des SMS pour 2FA est désormais dépassée par les risques de sécurité liés aux problèmes de signalisation du réseau mobile. Par exemple, les réseaux 2G, 3G et 4G s’appuient sur des protocoles de signalisation dépourvus de fonctionnalités de sécurité intégrées telles que le cryptage et l’authentification de l’expéditeur et sont sujets à l’usurpation d’identité et à l’interception. Ces vulnérabilités peuvent fournir aux fraudeurs la possibilité d’écouter et d’intercepter les SMS pour voler de l’argent sur des comptes bancaires, créer de faux identifiants pour créer de nouveaux comptes de carte de crédit ou mener des attaques par déni de service.

Les réseaux 5G ont pris des mesures positives en s’appuyant sur des mécanismes de sécurité 4G éprouvés, avec des améliorations pour le cryptage, l’authentification mutuelle, la projection d’intégrité et la confidentialité. Cependant, les fonctionnalités de cybersécurité intégrées de la 5G ne peuvent pas revenir en arrière et brancher les vulnérabilités existantes trouvées dans les réseaux précédents. Cela est particulièrement pertinent car la couverture 5G est toujours en cours de déploiement et le trafic continuera à transiter entre les réseaux 2G, 3G et 4G / LTE dans un avenir prévisible.

Que devraient faire les entreprises?

Bien que le SMS ait des vulnérabilités connues, il arrive toujours en tête lorsque l’on considère la commodité, le coût nul ou faible et la capacité de l’adapter à tout utilisateur possédant un téléphone mobile. Les entreprises devraient mettre en place des garanties supplémentaires pour protéger les transactions de grande valeur utilisant des données biométriques, telles que la voix automatisée, à des fins de vérification. Lorsque vous utilisez la voix pour l’authentification, les empreintes vocales sont analysées pour plus de 140 attributs différents, ajoutant cette couche supplémentaire de sécurité lorsque cela est le plus nécessaire.

Cependant, comme tous les aspects de la sécurité de l’entreprise, les fraudeurs sont déterminés à identifier les vulnérabilités. Dans le cas de la voix pour l’authentification, ils peuvent faire l’objet de détournements d’appels illicites et se retrouver entre de mauvaises mains. Pour cette raison, les entreprises doivent interroger leurs fournisseurs de services de communication sur les protections de sécurité qu’ils ont mises en place. Voici quelques questions que les entreprises devraient poser à leur opérateur:

• De quels mécanismes de sécurité disposent-ils pour éviter que les appels ne soient interceptés et détournés?
• Ont-ils investi dans un pare-feu de signalisation multiprotocole qui protégera le trafic sur toutes les générations de réseaux mobiles?
• Quels mécanismes ont-ils mis en place pour garantir que les mécanismes 2FA, via SMS ou voix, sont vérifiés et autorisés à être envoyés à cet utilisateur, dans ce contexte et à partir de cet endroit?

La technologie a donné au combiné mobile un rôle de plus en plus central dans les opérations bancaires, les paiements, la gestion des identités et l’authentification. Par conséquent, garantir la confiance dans les communications entre une entreprise, ses employés ou ses clients et le réseau devient désormais une mission essentielle. Les entreprises doivent s’assurer que leur opérateur peut répondre à ces questions afin qu’une vulnérabilité de sécurité ne devienne pas une crise de sécurité.

Si vous voulez en savoir plus, merci Nous contacter.

Cet article a déjà été publié sur Enterprise Security Magazine.