En tant que fournisseur de services gérés (MSP), la cybersécurité n’est jamais loin de votre esprit. Des recherches récentes estiment que les dommages causés par la cybercriminalité atteindront 6 billions de dollars par an d’ici 2021, contre 3 billions de dollars en 2015. Pour réduire ces coûts au minimum pour vos clients, il est de votre responsabilité non seulement de comprendre les meilleures pratiques en matière de sécurité des utilisateurs et du réseau, mais également de les communiquer aux utilisateurs finaux concernés. Après tout, vos clients comptent sur votre équipe pour les guider dans le paysage informatique en constante évolution.

Alors qu’une pléthore de méthodes d’authentification réseau existent actuellement pour aider à l’exécution d’une stratégie de sécurité robuste, l’authentification basée sur des jetons est un favori parmi de nombreux MSP. En associant ce processus éprouvé à d’autres mesures de sécurité complètes, les MSP aident leurs clients à se protéger des failles de sécurité qui mettent en péril leurs résultats et leur réputation.

Qu’est-ce que l’authentification par jeton ?

L’authentification par jeton n’est qu’une des nombreuses méthodes d’authentification Web utilisées pour créer un processus de vérification plus sécurisé. D’autres méthodes d’authentification Web incluent l’authentification biométrique et l’authentification par mot de passe. Bien que chaque méthode d’authentification soit unique, toutes les méthodes relèvent de l’une des trois catégories suivantes: la connaissance (quelque chose que vous connaissez), l’héritage (quelque chose que vous êtes) et la possession (quelque chose que vous possédez).

L’authentification par mot de passe appartient à la catégorie des connaissances, car les utilisateurs s’appuient sur un mot ou une phrase qu’ils ont précédemment créé pour vérifier leur identité. L’authentification biométrique est un exemple de « quelque chose que vous êtes » en raison de son utilisation de traits biologiques, comme les empreintes digitales. Et enfin, mais certainement pas le moindre, l’authentification basée sur des jetons appartient à la catégorie possession.

L’authentification par jeton nécessite que les utilisateurs obtiennent un code généré par ordinateur (ou un jeton) avant d’obtenir une entrée réseau. L’authentification par jeton est généralement utilisée en conjonction avec l’authentification par mot de passe pour une couche de sécurité supplémentaire. C’est ce que nous appelons l’authentification à deux facteurs (2FA). Cela signifie que même si un attaquant implémente avec succès une attaque par force brute pour supprimer tout mot de passe en place, il devra également contourner la couche d’authentification des jetons. Sans accès au jeton, l’accès au réseau devient de plus en plus difficile. Cette couche supplémentaire décourage les attaquants et peut sauver les réseaux de violations potentiellement désastreuses.

Comment fonctionnent les jetons ?

Dans de nombreux cas, les jetons sont créés via des dongles ou des porte-clés qui génèrent un nouveau jeton d’authentification toutes les 60 secondes selon un algorithme connu. En raison de la puissance de ces périphériques matériels, les utilisateurs sont tenus de les garder en sécurité à tout moment pour s’assurer qu’ils ne tombent pas entre de mauvaises mains. À ce titre, les membres de l’équipe doivent abandonner leur dongle ou leur fob à la fin de leur emploi.

Les systèmes de jetons les plus courants contiennent un en-tête, une charge utile et une signature. L’en-tête comprend le type de charge utile ainsi que l’algorithme de signature utilisé. La charge utile contient les revendications, qui sont simplement des déclarations relatives à l’utilisateur. La signature est exactement ce à quoi elle ressemble — la signature utilisée pour prouver que le message n’a pas été compromis en transit. Ces trois éléments travaillent ensemble pour créer un système d’authentification hautement efficace et sécurisé.

Alors que ces systèmes d’authentification par jeton traditionnels sont toujours en vigueur aujourd’hui, l’essor des smartphones a rendu l’authentification par jeton plus facile que jamais. Les smartphones peuvent désormais être augmentés pour servir de générateurs de code, fournissant aux utilisateurs finaux les codes de sécurité nécessaires pour accéder à leur réseau à tout moment. Dans le cadre du processus de connexion, les utilisateurs reçoivent un code d’accès unique sécurisé cryptographiquement, limité dans le temps à 30 ou 60 secondes, selon les paramètres du serveur. Ces jetons logiciels sont générés soit par une application d’authentification sur l’appareil, soit envoyés à la demande par SMS.

L’avènement de l’authentification par jeton sur smartphone signifie que la plupart du personnel dispose déjà du matériel nécessaire pour générer les codes. En conséquence, les coûts de mise en œuvre et la formation du personnel sont réduits au minimum, ce qui fait de cette forme d’authentification basée sur des jetons une option tentante pour de nombreuses entreprises.

L’authentification par jeton est-elle sécurisée ?

À mesure que les cybercriminels progressent, il en va de même des pratiques et politiques de protection mises en place par les MSP. En raison de l’utilisation croissante des attaques par force brute, des attaques par dictionnaire et des tactiques de phishing pour arracher les informations d’identification des utilisateurs, il devient évident que l’authentification par mot de passe ne suffit plus à tenir les attaquants à distance.

L’authentification basée sur des jetons, lorsqu’elle est utilisée en tandem avec d’autres pratiques d’authentification, crée une barrière 2FA conçue pour arrêter même le pirate informatique le plus avancé sur ses traces. Parce que les jetons ne peuvent être glanés que sur l’appareil qui les produit — qu’il s’agisse d’un porte—clés ou d’un smartphone – les systèmes d’autorisation de jetons sont considérés comme hautement sécurisés et efficaces.

Mais malgré les nombreux avantages associés à une plate-forme de jetons d’authentification, il y a toujours une mince chance de risque qui subsiste. Bien que les jetons basés sur un smartphone soient incroyablement pratiques à utiliser, les smartphones présentent également des vulnérabilités potentielles. Les jetons envoyés sous forme de SMS sont plus risqués car ils peuvent être interceptés pendant le transit. Comme avec d’autres périphériques matériels, les smartphones peuvent également être perdus ou volés et se retrouver à la portée de ceux qui ont des intentions dangereuses.

Meilleures pratiques d’authentification par jeton

La mise en œuvre d’une stratégie d’authentification robuste est essentielle pour aider vos clients à protéger leurs réseaux contre une faille de sécurité. Mais pour que votre stratégie soit vraiment efficace, il faut respecter scrupuleusement toutes les bonnes pratiques pertinentes. Voici quelques facteurs clés à garder à l’esprit lors du déploiement d’une stratégie d’authentification basée sur des jetons:

• Mettez le bon jeton en jeu: Bien qu’il existe un certain nombre de jetons Web, aucun ne correspond tout à fait à la popularité et à la fiabilité du jeton Web JSON (JWT). JWT est considéré comme une norme ouverte (RFC 7519) pour la transmission d’informations sensibles entre plusieurs parties. Les informations échangées sont signées numériquement à l’aide d’un algorithme ou d’un couplage clé publique/clé privée pour assurer une sécurité optimale.
• Gardez-le privé : Un jeton doit être traité de la même manière que les informations d’identification de l’utilisateur. Éduquez les clients sur l’importance de garder leurs codes de jetons privés, c’est—à-dire de les traiter de la même manière que le code dans un coffre-fort rempli de leurs biens les plus précieux. Cet état d’esprit est particulièrement pertinent en ce qui concerne la clé de signature.
• Tirer parti des connexions HTTPS : Les connexions HTTPS ont été construites avec des protocoles de sécurité en tête, tirant parti des certifications de cryptage et de sécurité conçues pour protéger les données sensibles. Il est important d’utiliser une connexion HTTPS par rapport à HTTP ou toute autre forme de connexion lors de l’envoi de jetons, car ces systèmes alternatifs sont plus susceptibles d’être interceptés par un attaquant.

Tirer parti des avantages des jetons d’authentification

Historiquement, une couche d’authentification était l’étalon-or. Mais dans le climat actuel de cybersécurité — dans lequel les pirates informatiques sont plus rusés que jamais — une authentification est le strict minimum. Les pratiques d’authentification basées sur les connaissances fonctionnent mieux lorsqu’elles sont mises en œuvre parallèlement à celles basées sur la possession pour former des systèmes 2FA robustes.

C’est là que l’authentification par jeton entre en vigueur. Les systèmes de jetons qui s’appuient sur du matériel pour déployer des codes générés par ordinateur sont un élément essentiel de toute stratégie de sécurité globale. Ces systèmes mettent la 2FA au travail pour arrêter les attaquants avant qu’ils n’aient accès au réseau et ne le ravagent.

En plus de sécuriser de manière proactive les réseaux clients, il est essentiel que les MSP aident également les clients à réagir aux violations de données. Dans le cas où un mauvais acteur réussirait à accéder à un réseau, le stockage des données en toute sécurité sur le cloud peut empêcher vos clients d’être victimes de la perte de données ou de la menace de lourdes rançons.