En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Site internet de réservation pour un hôtel
    < 3 000 €
    > En savoir plus
  • Site de réservation pour un commerce itinérant
    < 5 000 €
    > En savoir plus
  • Migration d'un site catalogue vers E-Commerce pour une société spécialisée dans la gestion des produits dangereux
    < 2 500 €
    > En savoir plus
Universign_simplifiez process couts_leaderboard

Expérience utilisateur : un accélérateur ou un frein à la sécurité ?

Global Knowledge_Docker_pavé

À l’heure où Facebook relance une campagne auprès de ses utilisateurs pour qu’ils activent la double authentification, Google de son côté souhaite privilégier le minimalisme au pays de l’expérience utilisateur, en rendant la sécurité la moins contraignante possible pour les utilisateurs. Peut-on espérer que ce choix permette à la recherche d’avancer sur les limitations des attaques de phishing et de spear phishing dans le cas d’une authentification à facteur unique ? Un avis d’expert de Sébastien Gest, Tech Evangelist chez Vade Secure, pour les lecteurs de Solutions Numériques.

La sécurité au service de l’expérience utilisateur : mythe ou réalité ? De plus en plus intégrées, des plateformes comme Google donnent accès à de nombreuses applications, outils en ligne, avec une seule authentification. Grâce à un protocole « Oauth », l’utilisateur peut s’authentifier sur des plateformes au travers de son compte Facebook, Twitter ou Google. Si en termes de fluidité d’acheminement, de temps de réponse, l’utilisateur bénéficie d’un processus quasiment transparent à son service, c’est malheureusement aussi une aubaine pour les pirates. Ceux-ci accèdent aux comptes utilisateurs, grâce à des attaques dites de phishing/spear phishing, peuvent plus facilement accéder à tous les outils et applications tierces utilisées par les entreprises (le fameux Shadow IT) et par les particuliers (Uber, Airbnb, etc.).

Si certains acteurs du numérique préfèrent adapter leurs solutions et plateformes aux exigences de sécurité quitte à empêcher quelques innovations ou fonctionnalités jugées trop risquées, d’autres inversent le paradigme : progresser de façon significative sur la sécurité pour qu’aucune innovation ou fonction numérique ne soit empêchée. C’est la raison qui explique que Google investisse à coups de millions pour ne pas renoncer à l’authentification unique et faire une lutte acharnée au vol d’identifiants. Ceci exige de l’innovation et l’intelligence artificielle semble y contribuer.

Google, premier sur l’IA ?

Google, pionnier en la matière, vient par exemple de dévoiler pour les utilisateurs en entreprise sur Gsuite des nouvelles fonctionnalités. La première est destinée à retarder la distribution d’un mail afin de laisser du temps à son analyse et pouvoir y repérer des URL suspectes. Une deuxième basée sur des solutions de Data Loss Prevention, déclenche une alerte à l’attention de l’utilisateur qui s’apprête à répondre à un mail qui se situe hors de la sphère de l’entreprise. Une autre bloque des pièces jointes potentiellement malveillantes.

Ces développements vont dans le sens des dernières déclarations. Encore au mois de mai, Google a en effet subi une attaque de phishing à forte viralité sur Google Docs via une invitation à ouvrir un document. Il déclarait alors « travailler désormais à bloquer toutes les attaques de ce type à l’avenir ».  Il n’empêche que la vigilance reste de mise.

Le Phishing et le Spear Phishing : des attaques moins bruyantes, mais très destructrices

On a tendance a y prêter moins d’attention qu’à des attaques très visibles comme le ransomware (cf : Wannacry) ou le piratage de jouets connectés. Pourtant, le phishing est un modèle toujours aussi redoutable, qu’il convient d’avoir bien en tête.
Pour rappel, le phishing est envoyé en masse alors que le spear phishing ne cible qu’une seule personne ou un public précis de l’entreprise, à l’instar d’une assistante de direction, ou les collaborateurs du service financier. Là où le phishing espère tromper quelques centaines ou milliers de personnes en les renvoyant vers de faux sites web usurpant l’identité d’un organisme familier (Assurance maladie, opérateur électrique, etc.) en vue de récupérer des combinaisons d’identifiants – Login/mots de passe, numéros de cartes de crédit, numéro de sécurité sociale, etc – le spear phishing, lui, est concocté pour que la cible visée réalise une action très précise, dans un contexte précis. Par exemple, dans le cas de ce qu’on appelle communément la fraude au président, l’idée est de tromper la cible en se faisant passer pour le président de l’entreprise visée et de pousser la cible (le service financier le plus souvent) à passer un ordre de virement, qu’elle pensera légitime mais qui est en réalité frauduleux. Le phishing sert également de vecteur pour diffuser des malwares, le plus souvent des ransomwares (cryptolocker, CB Lock…), en invitant les utilisateurs à ouvrir une pièce jointe.

91% des intrusions impliquent l’email via le phishing, et les cas ne manquent pas. Nous citerons à titre d’illustration l’attaque ayant touché DocuSign, un malware envoyé grâce à une campagne de phishing, ou encore les campagnes électorales américaines et françaises. Le rapport Citizen Lab a fait état d’une campagne de phishing et de désinformation liée à la Russie utilisant les services de Google.

L’instinct de survie numérique, c’est bien aussi

Auparavant ce modus operandi de phishing et spear phishing servait à détourner des fonds, en se faisant passer pour un opérateur ou une administration, ces attaques se sont professionnalisées. L’espionnage et l’extorsion d’informations en sont aujourd’hui les principales ambitions.

C’est bien ce qui justifie qu’ils ne doivent pas être pris à la légère. Eduquer l’humain est indispensable et pour cela, qu’il soit acteur de sa sécurité y contribue fortement. Ceci participe de la vigilance collective. En revanche, qu’il soit conscient et alerté ne signifie pas l’impétueuse nécessité d’être assisté. Des outils existent, comme Isitphishing.org, un outil gratuit mis à disposition des marques et utilisateurs, basé sur un écosystème dédié, pour valider des URL avant de cliquer.

Expérience utilisateur : un accélérateur ou un frein à la sécurité ?
5 (100%) 3 votes

Laisser un commentaire

Webinaire Signature électronique

Les services de signature électronique, cachet serveur et d’horodatage Universign confèrent une dimension juridique à tous types de documents électroniques : valeur légale, intégrité dans le temps, authenticité des auteurs et des signataires.

Assister au webinaire du 30 novembre

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Les imprimantes sont-elles frappées d’obsolescence programmée ?

    Le 18 septembre dernier, l'association HOP (Halte à l'Obsolescence Programmée) a déposé une plainte contre…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert d'Ivanti - Mises en garde avant le Patch Tuesday d’Octobre : il est temps de réviser les stratégies de correctifs

    Ivanti partage dans cet avis d'expert ses prévisions pour le Patch Tuesday d’octobre, dans lesquelles…

    > En savoir plus...
Etudes/Enquêtes
  • 8 dirigeants d'entreprise sur 10 victimes de violation de données

    Basée sur les adresses e-mail de cadres dirigeants de plus de 200 entreprises parmi les…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
  • Gestion des accès à privilèges

    > Voir le livre
Global Knowledge_Docker_Skycraper