Obama déclare les mots de passe insuffisants, et incite à l’utilisation du 2FA

Le président Obama confirme que nous avons raison : les mots de passe ne suffisent plus, il faut du 2FA.

Obama a déclaré, mardi dernier, dans l’éditorial du Wall Street Journal que “nous avons besoin du two-factor-authentification (2FA) pour se protéger sur internet”.

Il est vrai qu’il n’a pas mentionné Sophos nommément, cependant il a clairement annoncé une série d’initiatives fédérales, pour améliorer la sécurité des informations à travers le pays.

Ces initiatives incluent une nouvelle campagne nationale de sensibilisation, pour inciter les américains à faire enfin ce que les experts en cybersécurité n’arrêtent pas de préconiser, à savoir : l’utilisation du 2FA dès que vous le pouvez !

Voici un extrait de l’éditorial en question :

Nous voulons faire davantage pour permettre aux Américains de se protéger sur internet. En partenariat avec l’industrie, nous lançons une nouvelle campagne nationale de sensibilisation pour accroître la prise de conscience vis à vis des cyber-menaces, et encourager plus d’Américains à aller au-delà des mots de passe, en ajoutant une couche supplémentaire de sécurité telle que les empreintes digitales ou les codes envoyés sur votre téléphone portable.

Cet édito a coïncidé avec la sortie d’un vaste plan de cybersécurité qui propose d’augmenter d’un tiers les dépenses fédérales, en matière de cybersécurité, pour atteindre plus de 19 milliards de dollars.

La maison blanche est tellement déterminée à améliorer le niveau de sécurité du pays, qu’elle se prépare à courtiser certaines entreprises de la Silicon Valley, a déclaré le président, de manière plutôt décontracté :

Nous intensifions nos efforts pour construire un corps de cyber-professionnels au sein du gouvernement pour mettre en avant les bonnes pratiques à tous les niveaux. Nous ferons encore plus, en offrant des bourses d’études, et des prêts étudiants flexibles, afin de recruter les meilleurs talents de la Silicon Valley et au sein du secteur privé. Nous autoriserons même le port du jeans au travail !

Le président a aussi émis un ordre exécutif pour créer un nouveau Conseil Fédéral de la vie privée : un forum inter-agences pour améliorer les pratiques des agences gouvernementales, en matière de confidentialité, et de ceux qui agissent en leur nom.

Il est clair qu’ils en ont clairement besoin.

Le même jour que la parution de l’éditorial dans lequel le président s’est exprimé, la presse révélait une attaque visant au vol de code PIN, au niveau de l’application e-filing sur IRS.gov, le site dédié à la collecte de l’impôt sur le revenu ().

Cette attaque, menée le mois dernier par un bot automatisé, a touché 101 000 contribuables.

Comme l’a souligné Sophos, cette attaque était ironique, dans la mesure où elle impliquait, une sorte de 2FA, partiellement aboutie.

Le code PIN sur e-filing, est une sorte de facteur pour une deuxième authentification nécessaire pour le 2FA.

Vous avez besoin du PIN, avec d’autres données personnelles, lorsque vous soumettez en ligne votre déclaration de revenus.

Cependant, le 2FA n’est pas censé fonctionner de cette manière. En effet, vous n’êtes pas censés pouvoir demander l’un de vos facteurs en utilisant un autre facteur.

Le 2FA fonctionne en réalité de cette manière : vous devez vous identifier de 2 manières différentes, avant de pouvoir vous connecter ou utiliser un service.

Par exemple, pour pouvoir retirer de l’argent à un DAB, insérer votre carte (le premier facteur) n’est pas suffisant. Vous avez aussi besoin, d’entrer un deuxième facteur : votre code PIN.

L’IRS offre en réalité une forme spéciale et robuste de 2FA, connue comme l’IP Identity Protection PIN (IP PIN).

Cependant, pour certaines raisons, l’IRS ne fournit pas l’IP PIN à tout le monde.

En effet, l’IP PIN est seulement disponible pour les contribuables qui ont déjà été victimes d’un vol d’identité.

Voici les autres points inclus dans le plan du président :

Nous sommes ravis du soutien apporté par le président au 2FA.

C’est la reconnaissance du fait que les mots de passe sont très souvent le maillon faible, dans le processus visant à authentifier que les utilisateurs sont bien ceux qu’ils déclarent être.

Comme l’a montré la liste, établie tous les ans, des pires mots de passe, la plupart des utilisateurs ne choisissent pas des mots de passe assez sécurisés.

D’autres réutilisent leurs mots de passe, se mettant ainsi en danger eux-mêmes, vis-à-vis d’une violation de compte, lorsqu’un cybercriminel a obtenu vos identifiants, par le biais d’une faille de sécurité ou bien par des sites tiers, comme cela s’est produit le mois dernier avec FitBit.

Cependant, même des mots de passes complexes peuvent faire l’objet d’une tentative d’attaque pour les forcer : nous avons vu récemment des experts réussir à mettre la main sur 18 000 mots de passe bitcoin, à partir des portefeuilles, en lançant une attaque sur un simple serveur Amazon à 55$.

Le 2FA peut donc aider !

Heureusement, les surdoués en jeans de la Silicon Valley peuvent en faire de même : comme par exemple convaincre l’IRS de fournir de manière préventive un 2FA robuste (tel que l’IP PIN) à tous ceux qui en font la demande, et pas juste ceux qui ont déjà été victimes d’un vol d’identité ou d’une fraude à l’impôt.

Suivre @SophosFrance
//
// ]]>
Billet inspiré de “Obama says passwords aren’t strong enough, urges use of 2FA” par Lisa Vaas de Naked Security
Partagez “Obama déclare les mots de passe insuffisants, et incite à l’utilisation du 2FA” avec http://wp.me/p2YJS1-2s2