Les mises à jour importantes du firmware YubiKey 5.7 incluent une capacité de stockage accrue des passkeys et une sécurité renforcée, ainsi qu’une plus grande flexibilité avec le lancement de Yubico Authenticator 7. Tribune – Yubico, le principal fournisseur de clés de sécurité d’authentification matérielle, a annoncé la prochaine version du firmware YubiKey 5.7 pour YubiKey […]

Vous pensez que les méthodes d’authentification modernes comme FIDO2 vous protègent efficacement contre le vol de cookies et les attaques de l’homme du milieu (MITM) ? Détrompez-vous ! Une équipe de chercheurs vient de démontrer qu’il est possible de contourner ces protections en s’emparant des précieux sésames que sont les jetons de session.

Vous vous connectez tranquillement à votre appli préférée, en scannant votre empreinte digitale ou en insérant votre clé de sécurité dernier cri, vous vous sentez en sécurité, comme un petit bébé dans les bras de sa maman ou de son papa, protégé par la magie de FIDO2 (et de son absence de mots de passe).

Sauf que dans l’ombre, un vilain pirate que nous appellerons Vladimitch, a réussi à s’immiscer entre vous et le serveur, tel un cyber-ninja. Et là, c’est le drame : il intercepte le fameux jeton de session qui vous permet de rester connecté sans avoir à retaper vos identifiants à chaque clic. Ni vu ni connu, il peut alors se faire passer pour vous et accéder à votre compte !

Mais comment est-ce possible avec une authentification si robuste ? Eh bien figurez-vous que le problème ne vient pas de FIDO2 en lui-même, mais plutôt de la façon dont les applications gèrent les sessions après la phase d’authentification. Une fois que vous êtes connecté, c’est open bar, et votre jeton se balade joyeusement sur le réseau, sans trop de protection.

Les chercheurs ont mis en lumière cette faille en testant plusieurs implémentations de FIDO2, comme le bac à sable Yubico Playground, le système d’authentification unique (SSO) Entra ID de Microsoft ou encore l’adaptateur PingFederate. Et dans chaque cas, ils ont pu démontrer qu’un attaquant pouvait intercepter et réutiliser un jeton de session valide sans posséder la clé d’authentification FIDO2 associée.

Mais rassurez-vous, tout n’est pas perdu. Il existe une parade pour éviter de se faire dérober son précieux jeton : la « liaison de jeton » (ou token binding pour les anglophones). Concrètement, ça consiste à créer un lien indéfectible entre votre jeton de session et la connexion sécurisée (TLS) que vous utilisez. Comme ça, il devient impossible pour l’attaquant d’utiliser votre jeton sur une autre connexion. Malin !

Le hic, c’est que cette protection est encore peu répandue. Et à part Microsoft qui l’a intégrée sur Edge, les autres navigateurs et applications web traînent des pieds. Google a même fini par jeter l’éponge sur Chrome, faute d’adoption. Pourtant, cela pourrait éviter bien des déboires aux utilisateurs et des migraines aux administrateurs système mais que voulez-vous, entre la sécurité et la facilité, le cœur des développeurs balance !

Bref, restez vigilant car même une sécurisation FIDO2 n’est pas infaillible face à une attaque MITM bien pensée. Microsoft a réagi de son côté en introduisant une fonctionnalité de protection des jetons basée sur les modules de plateforme sécurisée (TPM) dans Windows, une variante de la « liaison de jeton ». Mais pour une adoption massive, il faudra que tous les acteurs jouent le jeu.

En attendant, les experts recommandent aux développeurs d’applications d’exiger la « liaison de jeton » sur les authentifications FIDO2 lorsque c’est possible, de limiter l’usage des jetons OIDC et SAML à une seule fois par authentification réussie, et surtout de bien comprendre les menaces pour concevoir des mécanismes d’authentification adaptés.

Et vous, en tant qu’utilisateur, c’est toujours la même chanson, à savoir, évitez de vous connecter à des hotspots Wi-Fi publics douteux, ne cliquez pas sur les liens louches, et méfiez-vous des plugins de navigateur exotiques.

Bref, un peu de jugeotte, comme toujours… Sur ce, bon développement à tous et may the force (4th) be with you ! (On l’a passé, c’était le 4 mai…)

Source

Proton Pass marche dans les pas de ses rivaux en ajoutant une option qui permet de connaitre l'état de ses mots de passe. Ils sont trop faibles ? Trop réutilisés ? Exposés sur Internet ? Privés de double authentification ? Vous connaitrez ainsi vos marges de progression pour faire mieux.

Comme vous le savez peut-être, la journée mondiale du mot de passe tombe ce jeudi 2 mai, rappelant à tous l’importance d’adopter des gestes forts pour protéger ses environnements numériques. Tribune – En effet, et selon le Data Breach Investigations Report de Verizon, plus de 80 % des infractions liées au piratage informatique impliquent l’utilisation d’informations […]

A l’occasion de la journée mondiale du mot de passe, le 2 mai 2024, un rappel sur la sécurisation des identifiants est plus que nécessaire. En effet, le dernier classement des mots de passe les plus utilisés  de NordPass, révèle que les internautes manquent de prudence à ce sujet. En France, les traditionnels « 123456 » et […]

A l’occasion de la journée mondiale du mot de passe ce jeudi 2 mai, Christophe Gaultier, Directeur France d’OpenText Cybersecurity conseille de mieux se protéger contre les cyberattaques en renforçant de manière optimale les mots de passe. Tribune – Au fil des ans, nous avons observé un changement significatif dans la manière dont les cybercriminels […]

Le 2 mai 2024 sera marqué par la journée mondiale du mot de passe, l’occasion de rappeler que s’ils ont vocation à sécuriser les accès aux comptes en ligne, ils n’en restent pas moins vecteurs de vulnérabilités. La dernière étude de NordPass sur le classement des mots de passe les plus utilisés indique – avec […]

Dans le monde numérique, les mots de passe sont généralement la première ligne de défense contre les cybermenaces. Pourtant, leur vulnérabilité et la banalisation de leur utilisation en font souvent le maillon faible. À l’occasion de la Journée mondiale du mot de passe, Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de plateformes de […]

Dans le monde interconnecté d’aujourd’hui, les petites entreprises sont de plus en plus ciblées par des cyberattaques. Avec une expertise et des ressources limitées, ces structures ont souvent du mal à se défendre contre les menaces complexes. Cependant, en intégrant dans leur organisation des process de protection des mots de passe plus forts, elles peuvent […]

Lire plus

Le nouvel ordinateur portable Surface Pro 10 for Business de Microsoft intègre une fonction d’authentification NFC sans mot de passe par clé YubiKey . Communiqué – Microsoft s’est toujours positionné comme un pionnier dont les innovations numériques contribuent à rendre la technologie plus performante, notamment dans le domaine de la cybersécurité. Sa mission, qui repose sur le […]

L’entreprise américaine WorldCoin a commencé à se déployer en Espagne en installant un stand dans divers centres commerciaux et points de correspondance des transports publics, afin d’échanger l’iris des utilisateurs contre des jetons et des cryptomonnaies, d’une valeur d’environ 60 euros. Grâce au scanner Orb, Worldcoin recueille les données biométriques de l’iris. En effet, en […]

Microsoft 365 a annoncé récemment la disponibilité des passkeys sur les YubiKeys compatibles avec les appareils mobiles. Cette nouvelle fonctionnalité étend non seulement le support sur iOS et iPadOS pour Microsoft 365, mais aussi pour une variété d’autres applications Microsoft First-Party, ainsi que celles sécurisées par Entra ID. Communiqué – Les utilisateurs peuvent désormais utiliser […]

À l’occasion de la 18ème Journée internationale de la protection des données, célébrée chaque année le 28 janvier, Fabrice de Vésian, Sales Manager France chez Yubico, explique comment les organisations et les particuliers peuvent améliorer leurs pratiques en matière de sécurité des données grâce à l’authentification sans mot de passe. Tribune. « Le phishing reste la méthode d’attaque […]