Avouons-le : nous utilisons tous le courrier électronique et nous utilisons tous des mots de passe. Les mots de passe créent une vulnérabilité inhérente au système. Le taux de réussite des attaques de phishing est monter en flèche, et les opportunités d’attaque se sont considérablement multipliées à mesure que les vies se déplaçaient en ligne. Il suffit qu’un seul mot de passe soit compromis pour que tous les autres utilisateurs soient victimes d’une violation de données.
Pour offrir une sécurité supplémentaire, les identités numériques s’appuient donc sur des pansements de vérification. L’authentification multifacteur (MFA) repose souvent sur des facteurs de connaissance tels que les réinitialisations de mot de passe et les codes OTP, mais ceux-ci sont toujours vulnérables. Tant que les informations d’identification peuvent être partagées ou interceptées, elles peuvent être utilisées à mauvais escient.
Ce qu’il faut, c’est un changement de paradigme – des informations d’identification basées sur la connaissance à une sécurité renforcée du facteur de possession qui ne peut pas être compromise, parallèlement à d’autres sécurités de vérification telles que la biométrie.
Une nouvelle API de facteur de possession vise maintenant à faire précisément cela, en remplaçant les informations d’identification basées sur la connaissance, en utilisant la carte SIM pour la liaison de l’appareil à facteur de possession et l’authentification de l’utilisateur, réduisant ainsi la possibilité de phishing.
Phishing : un problème humain
L’hameçonnage et d’autres types d’ingénierie sociale s’appuient sur le facteur humain pour être le maillon le plus faible d’une violation. Ils utilisent l’accès pratique basé sur les informations d’identification accordé à l’utilisateur moyen d’une plate-forme, en incitant ces utilisateurs moyens à partager leurs informations d’identification. Et il fonctionne: 83% des organisations interrogées ont déclaré avoir subi une attaque de phishing par e-mail réussie en 2021.
Même les codes 2FA sont désormais des cibles
Il est de notoriété publique que les mots de passe peuvent être partagés et donc facilement hameçonnés. Mais un fait moins connu est que de nombreuses formes de 2FA – telles que l’OTP ou le code PIN ajouté dans le but de renforcer les faiblesses connues des mots de passe – sont également hameçonnables.
Pire encore, les criminels ciblent désormais spécifiquement ces méthodes : des chercheurs ont récemment découvert que plus de 1 200 des kits de phishing conçus pour voler des codes 2FA sont en service.
La réponse à la gestion des identités et des accès n’est donc pas d’appliquer davantage de correctifs qui tuent l’expérience utilisateur, car ils n’empêchent pas vraiment les attaquants d’entrer. Au lieu de cela, MFA a besoin d’un facteur de possession plus fort et plus simple – sans rien à taper, ce qui signifie rien à hameçonner.
Les facteurs de possession MFA spécialement conçus incluent des dongles ou des jetons de sécurité. Mais ils sont chers, et ce n’est pas quelque chose que l’utilisateur moyen achètera. Une sécurité renforcée pour tous ne peut fonctionner qu’avec des appareils largement disponibles, faciles à utiliser, faciles à intégrer et rentables.
Entrez la carte SIM. Il se trouve à l’intérieur du téléphone portable de tout le monde et repose sur la sécurité cryptographique lors de la connexion à l’authentification du réseau mobile.
Maintenant, pour la première fois, un API de tru.ID ouvre l’authentification du réseau mobile basée sur la carte SIM à chaque entreprise et développeur d’applications, ce qui signifie que vous pouvez tirer parti de la sécurité de la carte SIM en tant que facteur de possession sécurisé pour MFA.
Authentification basée sur la carte SIM : le nouveau facteur de possession résistant au phishing
La carte SIM a beaucoup à offrir. Les cartes SIM utilisent la même technologie de micropuce cryptographique hautement sécurisée qui est intégrée à chaque carte de crédit. C’est difficile à cloner ou à falsifier, et il y a une carte SIM dans chaque téléphone mobile – donc chacun de vos utilisateurs a déjà ce matériel dans sa poche.
La combinaison du numéro de téléphone mobile avec son identité de carte SIM associée (l’IMSI) est une combinaison difficile à hameçonner car il s’agit d’un contrôle d’authentification silencieux.
L’expérience utilisateur est également supérieure. Les réseaux mobiles effectuent régulièrement des vérifications silencieuses pour s’assurer que la carte SIM d’un utilisateur correspond à son numéro de téléphone afin de lui permettre d’envoyer des messages, de passer des appels et d’utiliser des données, garantissant ainsi une authentification en temps réel sans nécessiter de connexion.
Jusqu’à récemment, il n’était pas possible pour les entreprises de programmer l’infrastructure d’authentification d’un réseau mobile dans une application aussi facilement que n’importe quel autre code. tru.ID rend l’authentification réseau accessible à tous.
Ajout du SDK tru.ID dans les parcours de compte existants qui utilisent le numéro de téléphone mobile permet instantanément la sécurité du facteur de possession pour chaque utilisateur. De plus, sans intervention supplémentaire de l’utilisateur, il n’y a pas de vecteur d’attaque pour les acteurs malveillants : l’authentification basée sur la carte SIM est invisible, il n’y a donc pas d’informations d’identification ou de codes à voler, intercepter ou utiliser à mauvais escient.
tru.ID n’accède pas à la carte SIM de l’utilisateur. Au lieu de cela, il vérifie l’état de la carte SIM directement auprès de l’opérateur mobile en temps réel. Il vérifie qu’un numéro de téléphone n’a pas été attribué à une autre carte SIM et pour les modifications récentes de la carte SIM, ce qui aide à prévenir la fraude par échange de carte SIM.
Un exemple de scénario pour activer la vérification basée sur la carte SIM
Même s’il existe un certain nombre de processus décrits dans le scénario ci-dessous, l’utilisateur final du système n’a qu’une chose à faire : fournir son numéro de téléphone mobile.
1 – Une fois que l’utilisateur a fourni son numéro de téléphone mobile, l’API tru.ID effectue une recherche du numéro de téléphone pour déterminer à quel opérateur de réseau mobile (MNO) il est attribué.
2 — tru.ID demande au MNO une URL de vérification unique pour commencer le workflow d’authentification mobile.
3 — tru.ID stocke l’URL de vérification du MNO et renvoie une URL de vérification tru.ID à votre serveur Web pour que l’appareil mobile s’ouvre.
4 — L’application mobile ouvre l’URL de vérification tru.ID. Il est préférable d’utiliser les SDK tru.ID pour cela car cela force la demande Web à passer par une session de données mobiles.
5 — Le MNO recevra la demande Web via une redirection de la plateforme tru.ID.
6 — La redirection finale dirige l’appareil vers le point de terminaison de l’URL de redirection du serveur Web. Le corps de cette requête contiendra un ‘code’ et le ‘check_id’, et le serveur web soumettra ce code à tru. API d’ID pour terminer le processus SubscriberCheck.
7 – Le MNO détermine ensuite si le numéro de téléphone associé à la session de données mobiles authentifiée correspond au numéro de téléphone associé à l’URL de vérification demandée. Si c’est le cas, le numéro de téléphone a été vérifié avec succès.
8 — tru.ID effectue une recherche de carte SIM et stocke le résultat de son état.
9 — Une fois la demande de vérification de l’URL terminée et lorsque l’état de la carte SIM a été récupéré, l’application mobile peut demander le résultat de la vérification du téléphone à l’API tru.ID.
dix – Utilisez la correspondance de vérification du téléphone et les propriétés de changement de carte SIM « no_sim_change » dans la logique de votre application.
Comment commencer
Avec vrai. La plate-forme de développement d’ID, vous pouvez commencer à tester l’authentification basée sur la carte SIM immédiatement, gratuitement, et effectuer votre premier appel API en quelques minutes.
Pour découvrir comment l’authentification nouvelle génération peut offrir à vos utilisateurs des expériences d’authentification hautement sécurisées et à faible friction, il vous suffit de réserver un démo ou visitez tru.ID.