{"id":163976,"date":"2022-05-24T11:41:07","date_gmt":"2022-05-24T13:41:07","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lauthentification-basee-sur-la-carte-sim-vise-a-transformer-la-securite-de-la-liaison-des-appareils-pour-mettre-fin-au-phishing\/"},"modified":"2022-05-24T11:41:10","modified_gmt":"2022-05-24T13:41:10","slug":"lauthentification-basee-sur-la-carte-sim-vise-a-transformer-la-securite-de-la-liaison-des-appareils-pour-mettre-fin-au-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lauthentification-basee-sur-la-carte-sim-vise-a-transformer-la-securite-de-la-liaison-des-appareils-pour-mettre-fin-au-phishing\/","title":{"rendered":"L’authentification bas\u00e9e sur la carte SIM vise \u00e0 transformer la s\u00e9curit\u00e9 de la liaison des appareils pour mettre fin au phishing"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Avouons-le : nous utilisons tous le courrier \u00e9lectronique et nous utilisons tous des mots de passe. Les mots de passe cr\u00e9ent une vuln\u00e9rabilit\u00e9 inh\u00e9rente au syst\u00e8me. Le taux de r\u00e9ussite des attaques de phishing est monter en fl\u00e8che<\/a>, et les opportunit\u00e9s d’attaque se sont consid\u00e9rablement multipli\u00e9es \u00e0 mesure que les vies se d\u00e9pla\u00e7aient en ligne. Il suffit qu’un seul mot de passe soit compromis pour que tous les autres utilisateurs soient victimes d’une violation de donn\u00e9es. <\/p>\n

Pour offrir une s\u00e9curit\u00e9 suppl\u00e9mentaire, les identit\u00e9s num\u00e9riques s’appuient donc sur des pansements de v\u00e9rification. L’authentification multifacteur (MFA) repose souvent sur des facteurs de connaissance tels que les r\u00e9initialisations de mot de passe et les codes OTP, mais ceux-ci sont toujours vuln\u00e9rables. Tant que les informations d’identification peuvent \u00eatre partag\u00e9es ou intercept\u00e9es, elles peuvent \u00eatre utilis\u00e9es \u00e0 mauvais escient. <\/p>\n

Ce qu’il faut, c’est un changement de paradigme – des informations d’identification bas\u00e9es sur la connaissance \u00e0 une s\u00e9curit\u00e9 renforc\u00e9e du facteur de possession qui ne peut pas \u00eatre compromise, parall\u00e8lement \u00e0 d’autres s\u00e9curit\u00e9s de v\u00e9rification telles que la biom\u00e9trie.<\/p>\n

Une nouvelle API de facteur de possession vise maintenant \u00e0 faire pr\u00e9cis\u00e9ment cela, en rempla\u00e7ant les informations d’identification bas\u00e9es sur la connaissance, en utilisant la carte SIM pour la liaison de l’appareil \u00e0 facteur de possession et l’authentification de l’utilisateur, r\u00e9duisant ainsi la possibilit\u00e9 de phishing.<\/p>\n

Phishing : un probl\u00e8me humain<\/strong><\/h2>\n

L’hame\u00e7onnage et d’autres types d’ing\u00e9nierie sociale s’appuient sur le facteur humain pour \u00eatre le maillon le plus faible d’une violation. Ils utilisent l’acc\u00e8s pratique bas\u00e9 sur les informations d’identification accord\u00e9 \u00e0 l’utilisateur moyen d’une plate-forme, en incitant ces utilisateurs moyens \u00e0 partager leurs informations d’identification. Et il fonctionne: 83%<\/a> des organisations interrog\u00e9es ont d\u00e9clar\u00e9 avoir subi une attaque de phishing par e-mail r\u00e9ussie en 2021.<\/p>\n

M\u00eame les codes 2FA sont d\u00e9sormais des cibles<\/strong><\/h2>\n

Il est de notori\u00e9t\u00e9 publique que les mots de passe peuvent \u00eatre partag\u00e9s et donc facilement hame\u00e7onn\u00e9s. Mais un fait moins connu est que de nombreuses formes de 2FA – telles que l’OTP ou le code PIN ajout\u00e9 dans le but de renforcer les faiblesses connues des mots de passe – sont \u00e9galement hame\u00e7onnables. <\/p>\n

Pire encore, les criminels ciblent d\u00e9sormais sp\u00e9cifiquement ces m\u00e9thodes : des chercheurs ont r\u00e9cemment d\u00e9couvert que plus de 1 200<\/a> des kits de phishing con\u00e7us pour voler des codes 2FA sont en service.<\/p>\n

La r\u00e9ponse \u00e0 la gestion des identit\u00e9s et des acc\u00e8s n’est donc pas d’appliquer davantage de correctifs qui tuent l’exp\u00e9rience utilisateur, car ils n’emp\u00eachent pas vraiment les attaquants d’entrer. Au lieu de cela, MFA a besoin d’un facteur de possession plus fort et plus simple – sans rien \u00e0 taper, ce qui signifie rien \u00e0 hame\u00e7onner.<\/p>\n

Les facteurs de possession MFA sp\u00e9cialement con\u00e7us incluent des dongles ou des jetons de s\u00e9curit\u00e9. Mais ils sont chers, et ce n’est pas quelque chose que l’utilisateur moyen ach\u00e8tera. Une s\u00e9curit\u00e9 renforc\u00e9e pour tous ne peut fonctionner qu’avec des appareils largement disponibles, faciles \u00e0 utiliser, faciles \u00e0 int\u00e9grer et rentables. <\/p>\n

Entrez la carte SIM. Il se trouve \u00e0 l’int\u00e9rieur du t\u00e9l\u00e9phone portable de tout le monde et repose sur la s\u00e9curit\u00e9 cryptographique lors de la connexion \u00e0 l’authentification du r\u00e9seau mobile. <\/p>\n

Maintenant, pour la premi\u00e8re fois, un API de tru.ID<\/a> ouvre l’authentification du r\u00e9seau mobile bas\u00e9e sur la carte SIM \u00e0 chaque entreprise et d\u00e9veloppeur d’applications, ce qui signifie que vous pouvez tirer parti de la s\u00e9curit\u00e9 de la carte SIM en tant que facteur de possession s\u00e9curis\u00e9 pour MFA. <\/p>\n

Authentification bas\u00e9e sur la carte SIM\u00a0: le nouveau facteur de possession r\u00e9sistant au phishing <\/strong><\/h2>\n

La carte SIM a beaucoup \u00e0 offrir. Les cartes SIM utilisent la m\u00eame technologie de micropuce cryptographique hautement s\u00e9curis\u00e9e qui est int\u00e9gr\u00e9e \u00e0 chaque carte de cr\u00e9dit. C’est difficile \u00e0 cloner ou \u00e0 falsifier, et il y a une carte SIM dans chaque t\u00e9l\u00e9phone mobile – donc chacun de vos utilisateurs a d\u00e9j\u00e0 ce mat\u00e9riel dans sa poche. <\/p>\n

La combinaison du num\u00e9ro de t\u00e9l\u00e9phone mobile avec son identit\u00e9 de carte SIM associ\u00e9e (l’IMSI) est une combinaison difficile \u00e0 hame\u00e7onner car il s’agit d’un contr\u00f4le d’authentification silencieux. <\/p>\n

L’exp\u00e9rience utilisateur est \u00e9galement sup\u00e9rieure. Les r\u00e9seaux mobiles effectuent r\u00e9guli\u00e8rement des v\u00e9rifications silencieuses pour s’assurer que la carte SIM d’un utilisateur correspond \u00e0 son num\u00e9ro de t\u00e9l\u00e9phone afin de lui permettre d’envoyer des messages, de passer des appels et d’utiliser des donn\u00e9es, garantissant ainsi une authentification en temps r\u00e9el sans n\u00e9cessiter de connexion. <\/p>\n

Jusqu’\u00e0 r\u00e9cemment, il n’\u00e9tait pas possible pour les entreprises de programmer l’infrastructure d’authentification d’un r\u00e9seau mobile dans une application aussi facilement que n’importe quel autre code. tru.ID rend l’authentification r\u00e9seau accessible \u00e0 tous. <\/p>\n

Ajout du SDK tru.ID<\/a> dans les parcours de compte existants qui utilisent le num\u00e9ro de t\u00e9l\u00e9phone mobile permet instantan\u00e9ment la s\u00e9curit\u00e9 du facteur de possession pour chaque utilisateur. De plus, sans intervention suppl\u00e9mentaire de l’utilisateur, il n’y a pas de vecteur d’attaque pour les acteurs malveillants\u00a0: l’authentification bas\u00e9e sur la carte SIM est invisible, il n’y a donc pas d’informations d’identification ou de codes \u00e0 voler, intercepter ou utiliser \u00e0 mauvais escient. <\/p>\n

tru.ID n’acc\u00e8de pas \u00e0 la carte SIM de l’utilisateur. Au lieu de cela, il v\u00e9rifie l’\u00e9tat de la carte SIM directement aupr\u00e8s de l’op\u00e9rateur mobile en temps r\u00e9el. Il v\u00e9rifie qu’un num\u00e9ro de t\u00e9l\u00e9phone n’a pas \u00e9t\u00e9 attribu\u00e9 \u00e0 une autre carte SIM et pour les modifications r\u00e9centes de la carte SIM, ce qui aide \u00e0 pr\u00e9venir la fraude par \u00e9change de carte SIM. <\/p>\n

Un exemple de sc\u00e9nario pour activer la v\u00e9rification bas\u00e9e sur la carte SIM<\/strong><\/h2>\n

M\u00eame s’il existe un certain nombre de processus d\u00e9crits dans le sc\u00e9nario ci-dessous, l’utilisateur final du syst\u00e8me n’a qu’une chose \u00e0 faire : fournir son num\u00e9ro de t\u00e9l\u00e9phone mobile.<\/p>\n

1 –<\/b> Une fois que l’utilisateur a fourni son num\u00e9ro de t\u00e9l\u00e9phone mobile, l’API tru.ID effectue une recherche du num\u00e9ro de t\u00e9l\u00e9phone pour d\u00e9terminer \u00e0 quel op\u00e9rateur de r\u00e9seau mobile (MNO) il est attribu\u00e9.<\/p>\n

\"Authentification<\/div>\n

2 \u2014<\/b> tru.ID demande au MNO une URL de v\u00e9rification unique pour commencer le workflow d’authentification mobile.<\/p>\n

3 \u2014<\/b> tru.ID stocke l’URL de v\u00e9rification du MNO et renvoie une URL de v\u00e9rification tru.ID \u00e0 votre serveur Web pour que l’appareil mobile s’ouvre.<\/p>\n

\"Authentification<\/div>\n

4 \u2014<\/b> L’application mobile ouvre l’URL de v\u00e9rification tru.ID. Il est pr\u00e9f\u00e9rable d’utiliser les SDK tru.ID pour cela car cela force la demande Web \u00e0 passer par une session de donn\u00e9es mobiles.<\/p>\n

5 \u2014<\/b> Le MNO recevra la demande Web via une redirection de la plateforme tru.ID. <\/p>\n

6 \u2014<\/b> La redirection finale dirige l’appareil vers le point de terminaison de l’URL de redirection du serveur Web. Le corps de cette requ\u00eate contiendra un ‘code’ et le ‘check_id’, et le serveur web soumettra ce code \u00e0 tru. API d’ID pour terminer le processus SubscriberCheck.<\/p>\n

\"Authentification<\/div>\n

7 –<\/b> Le MNO d\u00e9termine ensuite si le num\u00e9ro de t\u00e9l\u00e9phone associ\u00e9 \u00e0 la session de donn\u00e9es mobiles authentifi\u00e9e correspond au num\u00e9ro de t\u00e9l\u00e9phone associ\u00e9 \u00e0 l’URL de v\u00e9rification demand\u00e9e. Si c’est le cas, le num\u00e9ro de t\u00e9l\u00e9phone a \u00e9t\u00e9 v\u00e9rifi\u00e9 avec succ\u00e8s.<\/p>\n

8 \u2014<\/b> tru.ID effectue une recherche de carte SIM et stocke le r\u00e9sultat de son \u00e9tat.<\/p>\n

9 \u2014<\/b> Une fois la demande de v\u00e9rification de l’URL termin\u00e9e et lorsque l’\u00e9tat de la carte SIM a \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9, l’application mobile peut demander le r\u00e9sultat de la v\u00e9rification du t\u00e9l\u00e9phone \u00e0 l’API tru.ID.<\/p>\n

\"Authentification<\/div>\n

dix –<\/b> Utilisez la correspondance de v\u00e9rification du t\u00e9l\u00e9phone et les propri\u00e9t\u00e9s de changement de carte SIM “no_sim_change” dans la logique de votre application.<\/p>\n

\"Authentification<\/div>\n

Comment commencer<\/strong><\/h2>\n

Avec vrai. La plate-forme de d\u00e9veloppement d’ID, vous pouvez commencer \u00e0 tester l’authentification bas\u00e9e sur la carte SIM imm\u00e9diatement, gratuitement, et effectuer votre premier appel API en quelques minutes.<\/p>\n

Pour d\u00e9couvrir comment l’authentification nouvelle g\u00e9n\u00e9ration peut offrir \u00e0 vos utilisateurs des exp\u00e9riences d’authentification hautement s\u00e9curis\u00e9es et \u00e0 faible friction, il vous suffit de r\u00e9server un d\u00e9mo<\/a> ou visitez tru.ID<\/a>.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Avouons-le : nous utilisons tous le courrier \u00e9lectronique et nous utilisons tous des mots de passe. Les mots de passe cr\u00e9ent une vuln\u00e9rabilit\u00e9 inh\u00e9rente au syst\u00e8me. Le taux de r\u00e9ussite des attaques de phishing est monter en fl\u00e8che, et les opportunit\u00e9s d’attaque se sont consid\u00e9rablement multipli\u00e9es \u00e0 mesure que les vies se d\u00e9pla\u00e7aient en ligne. […]<\/p>\n","protected":false},"author":1,"featured_media":163977,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8737,23311,938,4168,4158,4165,4161,133,1389,4157,4159,4171,4170,54519,15403,4167,6454,4160,4163,4162,8153,185,1835,4172,4169,24856,60,15376,4166,5114,4164],"class_list":["post-163976","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-appareils","tag-basee","tag-carte","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-fin","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lauthentification","tag-liaison","tag-logiciel-malveillant-de-ransomware","tag-mettre","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-phishing","tag-pour","tag-securite","tag-securite-informatique","tag-securite-internet","tag-sim","tag-sur","tag-transformer","tag-violation-de-donnees","tag-vise","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/163976","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=163976"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/163976\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/163977"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=163976"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=163976"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=163976"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}