Microsoft et les principaux fournisseurs de cloud commencent à prendre des mesures pour faire évoluer leurs clients professionnels vers des formes d'authentification plus sécurisées et l'élimination des faiblesses de sécurité de base, telles que l'utilisation de noms d'utilisateur et de mots de passe sur des canaux non cryptés pour accéder aux services cloud.
Microsoft, par exemple, supprimera la possibilité d'utiliser l'authentification de base pour son service Exchange Online à partir du 1er octobre, obligeant ses clients à utiliser à la place une authentification basée sur des jetons. Pendant ce temps, Google a automatiquement inscrit 150 millions de personnes dans son processus de vérification en deux étapes, et le fournisseur de cloud en ligne Rackspace prévoit de désactiver les protocoles de messagerie en clair d'ici la fin de l'année.
Les délais sont un avertissement pour les entreprises que les efforts pour sécuriser leur accès aux services cloud ne peuvent plus être différés, déclare Pieter Arntz, chercheur sur les logiciels malveillants chez Malwarebytes, qui a écrit un article de blog récent soulignant la date limite à venir pour les utilisateurs de Microsoft Exchange Online.
"Je pense que l'équilibre se déplace au point où ils sentent qu'ils peuvent convaincre les utilisateurs que la sécurité supplémentaire est dans leur meilleur intérêt, tout en essayant d'offrir des solutions qui sont encore relativement faciles à utiliser", dit-il. "Microsoft est souvent un pionnier et a annoncé ces plans il y a des années, mais vous trouverez toujours des organisations qui peinent et ont du mal à prendre les mesures appropriées."
Les atteintes à l'identité en hausse
Alors que certaines entreprises soucieuses de la sécurité ont pris l'initiative de sécuriser l'accès aux services cloud, d'autres doivent être encouragées - ce que les fournisseurs de cloud, tels que Microsoft, sont de plus en plus disposés à le faire, d'autant plus que les entreprises sont aux prises avec davantage de violations liées à l'identité. En 2022, 84 % des entreprises ont subi une violation liée à l'identité, contre 79 % les deux années précédentes, selon le Alliance de sécurité définie par l'identitédu rapport « 2022 Trends in Securing Digital Identities ».
La désactivation des formes d'authentification de base est un moyen simple de bloquer les attaquants, qui utilisent de plus en plus le credential stuffing et d'autres tentatives d'accès de masse comme première étape pour compromettre les victimes. Les entreprises dont l'authentification est faible s'exposent aux attaques par force brute, à l'abus de mots de passe réutilisés, aux informations d'identification volées par hameçonnage et aux sessions piratées.
Et une fois que les attaquants ont eu accès aux services de messagerie d'entreprise, ils peuvent exfiltrer des informations sensibles ou mener des attaques dommageables, telles que la compromission de messagerie professionnelle (BEC) et les attaques de ransomware, explique Igal Gofman, responsable de la recherche chez Ermetic, un fournisseur de sécurité d'identité pour le cloud. prestations de service.
"L'utilisation de protocoles d'authentification faibles, en particulier dans le cloud, peut être très dangereuse et entraîner d'importantes fuites de données", déclare-t-il. "Les États-nations et les cybercriminels abusent constamment des protocoles d'authentification faibles en exécutant une variété d'attaques par force brute différentes contre les services cloud."
Les avantages de renforcer la sécurité de l'authentification peuvent avoir des avantages immédiats. Google a constaté que l'inscription automatique des personnes dans son processus de vérification en deux étapes a entraîné une diminution de 50 % des compromissions de compte. Une partie importante des entreprises qui ont subi une violation (43 %) pensent que l'authentification multifacteur aurait pu arrêter les attaquants, selon le rapport « 2022 Trends in Securing Digital Identities » de l'IDSA.
Vers des architectures Zero Trust
De plus, le cloud et initiatives de confiance zéro ont conduit à la recherche d'identités plus sécurisées, avec plus de la moitié des entreprises investissant dans la sécurité des identités dans le cadre de ces initiatives, selon le groupe de travail technique de l'IDSA, dans un e-mail à Dark Reading.
Pour de nombreuses entreprises, l'abandon des mécanismes d'authentification simples qui reposent uniquement sur les informations d'identification d'un utilisateur a été stimulé par les ransomwares et d'autres menaces, qui ont poussé les entreprises à chercher à minimiser leur surface d'attaque et à renforcer les défenses là où elles le peuvent, a déclaré le groupe de travail technique de l'IDSA. Groupe a écrit.
"Alors que la majorité des entreprises accélèrent leurs initiatives de confiance zéro, elles mettent également en œuvre une authentification plus forte lorsque cela est possible - bien qu'il soit surprenant qu'il y ait encore des entreprises aux prises avec les bases, ou [qui] n'ont pas encore adopté la confiance zéro, les laissant exposés », ont écrit des chercheurs.
Les obstacles à la sécurisation des identités subsistent
Tous les principaux fournisseurs de cloud proposent une authentification multifacteur sur des canaux sécurisés et à l'aide de jetons sécurisés, tels que OAuth 2.0. Bien que l'activation de la fonctionnalité puisse être simple, la gestion de l'accès sécurisé peut entraîner une augmentation du travail du service informatique, ce à quoi les entreprises doivent être prêtes, déclare Arntz de Malwarebytes.
Les entreprises "échouent parfois lorsqu'il s'agit de gérer qui a accès au service et quelles autorisations elles ont besoin", dit-il. "C'est la charge de travail supplémentaire pour le personnel informatique qui s'accompagne d'un niveau d'authentification plus élevé - c'est le goulot d'étranglement."
Les chercheurs du groupe de travail technique de l'IDSA ont expliqué que l'infrastructure héritée est également un obstacle.
"Alors que Microsoft est en train de faire avancer ses protocoles d'authentification depuis un certain temps, le défi de la migration et de la rétrocompatibilité pour les applications, protocoles et appareils hérités a retardé leur adoption", ont-ils noté. "C'est une bonne nouvelle que la fin soit en vue pour l'authentification de base."
Les services axés sur le consommateur tardent également à adopter des approches d'authentification plus sécurisées. Alors que la décision de Google a amélioré la sécurité de nombreux consommateurs et qu'Apple a activé l'authentification à deux facteurs pour plus de 95 % de ses utilisateurs, la plupart des consommateurs continuent à n'utiliser l'authentification multifacteur que pour quelques services.
Alors que près des deux tiers des entreprises (64 %) ont identifié les initiatives de sécurisation des identités numériques comme l'une de leurs trois principales priorités en 2022, seulement 12 % des organisations ont mis en place une authentification multifacteur pour leurs utilisateurs, selon le rapport de l'IDSA. Cependant, les entreprises cherchent à offrir cette option, 29 % des fournisseurs de cloud axés sur le consommateur mettant actuellement en œuvre une meilleure authentification et 21 % la planifiant pour l'avenir.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
