Voici la reconstitution (aseptisée) d’un dialogue entre deux pirates Viking Devil (VD) et Purrulent Weeping (PW):
- VD : C’est quoi ces compagnies de Aaas (Authentification As A Service) qui apparaissent partout ?
- PW : c’est du outsourcing de solutions de login sécurisées, les business en ligne les appellent pour intégrer des authentifications à double facteurs.
- VD : Tu ferais quoi pour les contourner ? J’ai de belles cibles de clinique de chirurgie esthétique et la double authentification me bloque.
- PW : T’inquiète pas, leurs clientes sont des vieilles qui ne veulent pas se compliquer la vie, elles préfèrent se login en passant par l’option d’authentification LinkedIn, Facebook ou Google, donc tu vois ?
- VD : Ok, j’ai juste à leur pluguer une fausse page de link sur le site de la clinique et elles vont se connecter en utilisant leur identifiant et mot de passe LinkedIn, Google etc..
- PW : Oui, c’est en plein ça, trouve une faille par une employée de la clinique, fais-la cliquer sur un lien piégé et tu introduiras ta fausse page d’identification dans leur serveur. Attends quelques semaines et programme la page pour qu’elle apparaisse sur 1 connexion sur 100. C’est discret, ils mettront 1 an à se poser des questions
- VD : Et pendant ce temps je me connecte aux dossiers clients grâce à ma fausse page d’identification, et en plus je collecte leurs identifiants Google et mots de passe Google etc…
- PW : ben oui VD, Tu collectes tout ça tranquillement et tu extraies les données progressivement pour pas les inquiéter trop vite.
- VD : Donc les caves… ils me laissent accéder à leurs données et en plus ils m’offrent tous leurs autres identifiants
- PW : En plein ça ! je le fais depuis juin et j’en suis à 13 000 données personnelles médicales collectées.
- VD : Plus ils sécurisent, plus on pille, mais à quoi ils pensent ????
- PW : Ils auraient dû nous demander pour se sécuriser : Better call a pirat !
OUI, la double identification mal utilisée est parfois un remède pire que le mal:
Le dialogue est traduit en termes civilisés, mais le fait est démontré : Les pirates sont friands des sites web qui offrent une solution de connexion par un tiers .
La fuite de données, d’après IBM research, coûte en moyenne 4,4 millions de dollars par entreprise présente sur le web.
C’est ce genre de chiffres que les instituts de recherche adorent diffuser (calcul mathématique simpliste et exagéré, mais jamais pas totalement faux ) .
Le problème est dans la contradiction entre le besoin de cybersécurité et le besoin de facilité d’usage:
Les entreprises et services qui offrent des services ou des produits en ligne veulent simultanément garantir la sécurité et la fluidité de l’expérience d’achat, pour faciliter la vie du client, la fameuse expérience client et ne pas le faire fuir par des authentifications trop fastidieuses. Mais c'est impossible, c’est un peu comme en finance, il n’y a pas de profit rapide et facile, les profits sont rapides et complexes ou faciles et longs. En sécurité ce qui est plaisant est rarement sécuritaire et ce qui est sécuritaire est rarement plaisant.
Pour contrer les cybermenaces, les solutions de facilité peuvent devenir des remèdes pires que le mal.
Pour un pirate, il est évident que la page « connectez vous directement par LinkedIn, Google, tweeter ou Facebook » est une page attractive à copier et pirater.
Pour un pirate, il est captivant, pratique et naturel de fabriquer une fausse fenêtre contextuelle. L’introduire dans le serveur du commerce est un exercice un peu plus complexe, mais il suffit d’une seule faille.
Bien sûr la double authentification est utile pour se protéger des pirates et le succès des startup qui conçoivent des services de double authentification est mérité (marché en croissance de 20 % en 2022, certaines de ces start-up + 340 %).
Mais il faut voir la cyber-sécurité non pas avec l’œil du service client, mais avec l’œil du pirate, il faut penser comme le pirate pour deviner nos failles et non pas penser en défensif naïf.
Petit exercice :
- Les hôtels veulent simplifier et sécuriser l’accès aux chambres en remplaçant la carte magnétique qui peut être perdue ou volée, par une serrure à lecture biométrique (par exemple lecture des empreintes digitales)
Si vous pensez en gestionnaire d’hôtel ou en client, pourquoi pas ? Cela semble intéressant, pratique, sécuritaire et économique.
Mais si vous pensez en pirate? Comment voyez vous cela ? Est-ce que vous pouvez y déceler des opportunités ?
Je serais curieux de lire vos commentaires et n’ayez pas peur de penser en pirate, c’est le seul moyen de les contrer et d’avoir une longueur d’avance.
Comments