Technologie

Date de publication : 13 août 2024, 14h43

Badge, Source : Badge » />

Les identités se vendent comme des petits pains sur le dark web, les dossiers de santé et financiers étant particulièrement prisés en raison de leur manque de traçabilité et des méthodes de protection obsolètes qui reposent souvent sur des techniques d’authentification à plusieurs facteurs (MFA) dépendantes des appareils, facilement piratables. Les méthodes actuelles, qui exigent une authentification par appareil, ne répondent pas aux défis croissants.

Lorsque les techniques d’authentification s’appuient uniquement sur des appareils comme points de confiance, elles laissent des failles que les attaquants exploitent de plus en plus. S’appuyer sur des dispositifs spécifiques pour authentifier l’accès crée également une friction supplémentaire que chaque utilisateur doit surmonter pour accomplir ses tâches. Les cybercriminels utilisent des techniques de fatigue d’authentification, combinées à des attaques de phishing et d’adversaire au milieu (AITM), visant à détourner le processus de récupération d’un appareil.

« Lorsque nous avons fondé Badge, notre objectif était de résoudre l’un des problèmes les plus complexes en matière d’authentification en déplaçant le point de confiance des identités numériques vers l’humain, plutôt que de dépendre d’un appareil matériel qui peut être perdu ou volé », a déclaré Tina Srivastava, cofondatrice de Badge, lors d’une récente interview.

« Nous éliminons les secrets dans le processus d’authentification. Tant l’identité humaine, comme les biométries, que la clé privée sont complètement supprimées avec Badge », a-t-elle ajouté.

MFA Dépendante des Appareils : Une Cible Attirante

Les groupes de cybercriminalité, les syndicats et les attaquants soutenus par des États continuent d’élargir leur arsenal de techniques d’attaques telles que le SIM swapping, AITM et Living off the Land (LOTL). En conséquence, les secteurs les plus exposés, notamment la santé, la fabrication et les services financiers, deviennent de plus en plus vulnérables aux attaques basées sur l’identité.

« Les adversaires maximisent l’utilisation des identités volées et tentent de réduire la visibilité des défenseurs sur le réseau en ‘vivant de la terre’, ce qui diminue les indicateurs ou alertes potentiels sur les points d’extrémité, qui sont souvent scrutés de près. Cette tactique complique la tâche des chasseurs de menaces pour distinguer l’activité des adversaires de celle des utilisateurs et des administrateurs système », écrit CrowdStrike dans son rapport 2024 sur la chasse aux menaces.

Le secteur de la santé est particulièrement menacé en 2024. De plus, la mise en œuvre de la MFA est inégale dans l’industrie, et les approches dépendantes des appareils deviennent de plus en plus faciles à contourner pour les gangs criminels. « La multifactor authentication (MFA) peut offrir une solide ligne de défense, mais elle est souvent mise en œuvre de manière inégale, et les attaques réussies sur les mises en œuvre de la MFA sont en hausse », selon Gartner dans son rapport récent sur la manière de réduire les risques de prise de contrôle de compte.

Une vérification récente du portail des violations de données du ministère de la Santé et des Services sociaux (HHS) révèle que plus de 45 millions de dossiers de patients ont été compromis en 2024. Les prestataires de soins de santé, y compris les hôpitaux et les cliniques, ont subi 365 violations cette année, dont 86 % ont été initiées par une attaque informatique sur les réseaux.

L’Importance d’une MFA Indépendante des Appareils

« Avec Badge, la dépendance aux appareils est éliminée — les gens deviennent leurs propres racines de confiance plutôt que de se fier uniquement à un appareil ou un jeton », explique Srivastava. Elle précise que cette approche renforce non seulement la sécurité basée sur l’identité, mais améliore également l’expérience utilisateur en supprimant la nécessité de processus d’authentification de secours, souvent ciblés par les attaquants.

La MFA indépendante des appareils de Badge permet aux utilisateurs de s’inscrire une fois sur n’importe quel appareil et de s’authentifier sans effort sur tous leurs appareils sans jetons matériels ni biométries stockées. Source : Badge Inc

Depuis sa création, l’équipe de Badge a rapidement agi dans les secteurs de la santé, de la finance et de la fabrication pour combler les lacunes croissantes observées par leurs clients avec les techniques d’authentification dépendantes des appareils. Badge connaît une adoption croissante dans le secteur de la santé et de la finance, où les entreprises souhaitent que leurs employés s’inscrivent une fois et s’authentifient sur n’importe quel poste de travail ou appareil sans avoir besoin de se réinscrire.

Impact et Partenariats de Badge

Badge attire un nombre croissant de partenaires grâce à sa capacité à fournir une MFA indépendante des appareils à grande échelle dans les entreprises. Les partenariats et intégrations incluent Microsoft, Okta, PingIdentity, Radiant Logic, ForgeRock, et plus récemment, Cisco Duo, qui a cherché à établir un partenariat avec Badge.

« Badge non seulement simplifie l’accès à travers les applications et les appareils, mais réduit également de manière cruciale le risque d’attaques de phishing ou d’exposition des identifiants, en faisant un outil indispensable pour maintenir l’intégrité des environnements sécurisés. Badge est ravi de s’associer à Cisco Duo pour apporter cet avantage important en matière de sécurité et d’expérience utilisateur aux utilisateurs de Duo », a déclaré Srivastava.

Srivastava affirme que l’intégration avec Cisco Duo ouvre de nouveaux cas d’utilisation en matière d’identité et d’authentification tout en réduisant la friction et en permettant une inscription sans mot de passe grâce à des identifiants vérifiables (VC).

Dans un récent article de blog annonçant le partenariat, Kyle Kilcoyne, responsable mondial des partenariats et de la technologie chez Badge, et Ginger Leishman, responsable des partenariats technologiques chez Cisco, ont écrit : « Badge offre une solution économique pour réduire la friction et permettre une inscription sans mot de passe grâce à des identifiants vérifiés (VC). Badge s’appuie sur l’inscription initiale de vérification d’identité (IDV), et à partir de là, l’utilisateur peut s’authentifier pour accéder à cet identifiant n’importe où, à tout moment, sur n’importe quel appareil. Pas besoin de répétitions d’IDV tout au long du parcours de l’utilisateur. Cela permet d’économiser de l’argent et de réduire la frustration des utilisateurs. »

Le post de Cisco ajoute que « en plus de simplifier le processus d’inscription, Duo peut également fonctionner comme un fournisseur de clés d’accès certifiées en s’appuyant sur Badge, étendant ainsi les capacités sans mot de passe de Duo. »

La Vision de Badge pour l’Avenir

« Nous envisageons Badge comme la fondation de l’infrastructure d’identité d’Internet. Ce sera la manière dont chaque personne s’authentifie à chaque application dans le monde », prédit Srivastava.

L’intégration est essentielle à la croissance de Badge. C’est un domaine sur lequel Srivastava et son équipe continuent de se concentrer, le considérant comme crucial pour leur capacité à se développer rapidement au sein des entreprises. « Badge peut s’intégrer facilement avec des normes ouvertes comme OIDC. Donc, si une entreprise utilise Okta, Ping, Microsoft Azure AD ou des systèmes similaires, Badge peut s’intégrer avec des normes ouvertes », a déclaré Srivastava.

Considérer l’intégration comme un élément fondamental pour croître à grande échelle a été une priorité depuis la création de l’entreprise. Aujourd’hui, la société dispose d’une intégration sans code prenant en charge les normes Oauth2, OpenID Connect, SAML et FIDO.

Srivastava note que les responsables de la sécurité des systèmes d’information (CISO) continuent de contacter l’entreprise, offrant leur expertise et leurs conseils à cette startup en pleine croissance. En réponse, Badge a créé un Conseil CISO. « De nombreuses personnes se sont approchées de nous pour vouloir en faire partie, désireuses d’avoir une part et de participer à la vision future de Badge. Ils souhaitent également façonner l’industrie et la réflexion autour de l’identité et de la vie privée », a déclaré Srivastava.

« Jeremy Grant, ancien conseiller principal au National Institute of Standards and Technology (NIST) qui a rejoint notre Conseil CISO, est un grand défenseur de la PKI. Il a contribué à rédiger la législation originale qui a conduit à la PKI et aux cartes CAC dans le DOD. Il s’est toujours préoccupé de la cryptographie à clé publique, mais a été fasciné par les défis d’utilisabilité que Badge résout », a-t-elle ajouté. En rejoignant le Conseil CISO de Badge, Jeremy Grant a déclaré : « Alors que nous cherchons à promouvoir des approches plus centrées sur l’utilisateur en matière d’identité, Badge est une solution prometteuse pour relever les défis fondamentaux de sécurité et d’utilisabilité et atteindre la prochaine frontière. »

Avec des identités sous pression et des attaquants cherchant de nouvelles façons de contourner la MFA dépendante des appareils, l’approche innovante de Badge visant à réduire la fatigue des utilisateurs et les risques tout en redéfinissant les points de confiance à grande échelle est essentielle pour mieux protéger chaque entreprise confrontée à des cyberattaques basées sur l’identité.