À l’heure actuelle, nombreux sont ceux qui ont entendu parler des cyberattaques massives qui ont touché les géants des casinos MGM Resorts et Caesars, laissant tout en panne, des clés des chambres aux machines à sous. Comme de nombreuses violations récentes, il s’agit d’un avertissement pour améliorer la sécurité autour des identités numériques, car c’est là que tout a commencé.
L’origine de cette violation est similaire à beaucoup d’autres que nous avons vues récemment : les attaques d’ingénierie sociale et d’usurpation d’identité.
Les pirates ont appelé le service informatique de MGM et ont trompé le service d’assistance pour qu’il réinitialise les connexions légitimes, qu’ils ont ensuite utilisées pour lancer une attaque de ransomware. Le même groupe aurait organisé une série d’attaques similaires dans divers autres secteurs, notamment une brèche chez son rival Caesars Entertainment, qui aurait payé 15 millions de dollars pour récupérer ses données quelques jours avant l’attaque de la MGM.
Le fait que les sociétés de casino – qui vivent et meurent grâce à leur investissement dans la sécurité – puissent être piratées avec autant d’audace a révélé un angle mort fondamental dans de nombreux réseaux : ils ne disposent pas de suffisamment de freins et de contrepoids pour garantir que les personnes qui utilisent leur système sont bien celles qu’elles prétendent. être.
Un compteur de cartes connu sera rapidement repéré et escorté hors du casino grâce à la technologie de reconnaissance faciale. Cependant, lorsqu’il s’agit de protéger le réseau numérique, de nombreuses sociétés de jeux s’appuient encore sur les mots de passe, qui se révèlent être le maillon faible de la gestion des identités et des accès (IAM).
Vulnérabilités de gestion des identités exposées
L’attaque MGM met en évidence la vulnérabilité des systèmes de gestion d’identité face aux pirates informatiques lorsqu’ils se concentrent sur l’authentification d’identité plutôt que sur la vérification d’identité. Avec juste ce qu’il faut d’ingénierie sociale, un pirate informatique peut manipuler le système. Les organisations doivent lutter contre ce problème à la racine, en empêchant ces pirates de se connecter, car si vous ne pouvez pas arrêter un cybercriminel avant qu’il n’ait accès au réseau, vous êtes en mode réactif.
Traditionnellement, l’authentification de l’identité reposait sur l’authentification multifacteur (MFA), qui signifiait souvent une notification push ou un code à usage unique envoyé par SMS sur le téléphone de l’utilisateur. Pourtant, même l’authentification multifacteur s’est révélée vulnérable.
Armés de quelques informations de base, les pirates peuvent appeler un opérateur de téléphonie mobile et jouer au client en colère qui tente d’activer un nouveau téléphone ; peu de temps après, ils peuvent transférer toutes les informations du téléphone de la victime sur le leur et c’est parti pour les courses. Récemment, une attaque contre un certain nombre de plates-formes de crypto-monnaie a été attribuée à un tel « détournement de carte SIM ». Des voleurs auraient trompé T-Mobile pour qu’il réinitialise le téléphone d’un employé de la société de conseil gérant les opérations de faillite des plateformes de cryptographie.
Les méchants sont désormais armés de toutes sortes d’outils technologiques, de l’intelligence artificielle aux deepfakes qui peuvent faire passer un hacker d’Europe de l’Est pour un comptable new-yorkais doté d’un nouveau téléphone. Pendant ce temps, les entreprises paient le prix de ne pas utiliser les technologies facilement disponibles pour moderniser leur pile d’identité.
Au-delà de la biométrie : la nécessité d’une véritable vérification
Au cours des 60 années écoulées depuis l’invention des mots de passe, la gestion des accès a évolué de la sécurité des notes autocollantes à un certain nombre de processus d’authentification destinés à court-circuiter le vol et l’abus d’identifiants. Les notifications push sont devenues un outil courant, mais peuvent être vulnérables à la « lassitude MFA ».
Des fonctionnalités telles que Touch ID et Face ID d’Apple ont popularisé l’utilisation de marqueurs biométriques pour l’authentification. Cependant, comme le montre l’affaire du détournement de carte SIM, les téléphones portables peuvent également être des outils pour les pirates informatiques, et pas seulement des mesures de protection.
Les clés d’authentification, qui reposent sur un jeton physique pour générer un code de vérification crypté, améliorent la MFA avec des normes d’authentification telles que Fast Identity Online (FIDO). Google est même allé plus loin et a créé une clé résistante au déchiffrement quantique pour se protéger contre les pirates armés d’ordinateurs quantiques.
C’est un bon essai, mais toutes ces méthodes d’authentification ont toujours des mots de passe à leur racine. Ils associent l’identité de l’utilisateur à un appareil – généralement un téléphone portable – au lieu de son identité réelle et prouvée, vérifiée par la biométrie, une pièce d’identité émise par le gouvernement ou d’autres documents fiables. L’IAM doit se moderniser et évoluer de la simple authentification à la vérification factuelle de l’identité.
Implications financières des violations
La modernisation de l’IAM nécessite un investissement initial en termes de budget, de temps et d’efforts, mais il suffit de faire le calcul des violations de données pour voir comment cela s’avère payant. Les pertes de revenus de MGM Resorts dues à cette violation pourraient s’élever à plus de 8 millions de dollars par jour, et les actions de la société ont été considérablement touchées lorsque la nouvelle a éclaté.
La première étape de ce processus consiste à capturer les données biométriques et les documents d’identité vérifiés des utilisateurs autorisés, tels que les employés, les partenaires et les clients, lors de l’inscription au jour zéro ou de la création d’un compte, afin de les utiliser ultérieurement pour vérifier l’identité.
Un justificatif vérifié – tel que des cartes d’identité numériques d’employé, des passeports numériques et des certificats d’études numériques – comprendra des métadonnées qui prouvent cryptographiquement qui l’a délivré, et toute falsification sera repérée. Malheureusement, les données biométriques peuvent être volées, tout comme les mots de passe, de sorte que les données doivent également être sécurisées. La blockchain est une technologie éprouvée pour protéger les actifs numériques, alors pourquoi ne pas l’utiliser pour protéger sans doute l’actif le plus précieux, qui est votre identité ?
Les journaux d’audit immuables qui accompagnent le grand livre distribué peuvent garantir que si quelque chose tourne mal, la sécurité des informations peut voir qui a accédé à quelles ressources, quand et par quelle méthode.
Au lieu d’accepter que le téléphone d’un utilisateur ait été volé ou que son compte ait été piraté, celui-ci peut voir si son Live ID (une « vraie » biométrie) a été utilisé pour y accéder. Il est ainsi beaucoup plus facile de déterminer ce qui s’est passé et de réagir avant que le rayon d’explosion du piratage n’augmente.
Repenser l’authentification à l’ère numérique
À la base, la plupart de ce qui passe aujourd’hui pour l’authentification d’identité est du copier-coller. Il ne s’agit pas d’un enregistrement biométrique de l’utilisateur ; il est simplement utilisé pour copier et coller un mot de passe dans l’application. En fin de compte, il s’agit simplement d’une mesure de gain de temps, pas de sécurité.
Même la plupart des authentifications sans mot de passe comportent un nom d’utilisateur et un mot de passe intégrés quelque part. Les acteurs malveillants peuvent toujours utiliser ce nom d’utilisateur et ce mot de passe et configurer des flux de travail sur un autre système. Tant qu’ils réinitialisent le mot de passe, ils sont prêts à démarrer car la racine de la vérification d’identité reste le mot de passe.
PUBLICITÉ
MGM et Caesars ne sont que les derniers exemples des menaces auxquelles toutes les entreprises sont confrontées en matière de défense basée sur l’identité. Pour adopter une position véritablement proactive contre les pirates informatiques, la sécurité doit fermer leurs connexions, remplaçant l’authentification par une identité prouvée cryptographiquement. Ensuite, offrez aux utilisateurs un moyen non perturbateur de revérifier facilement leur identité à chaque fois qu’une surveillance continue signale un risque excessif lié à leurs comportements en ligne.
Chaque fois que tu as quelque chose en vous portant garant d’une identité, vous avez un problème. Un code à usage unique ou un appareil peuvent-ils réellement remplacer une identité ? L’IAM doit être modernisée. Il doit se connecter avec les gens – de vraies personnes, pas des appareils.
