Gérer les risques liés à la fraude et aux identifiants : l’effet des authentificateurs résistants au phishing

Protection from phishing in action

Image générée par DALL-E 2
 

Cet article de blog examine les avantages des authentificateurs résistants au phishing, qui peuvent renforcer considérablement les mesures de cybersécurité d’une entreprise bien au-delà de la protection contre les attaques de phishing. Le pourcentage d’authentifications résistantes au phishing constitue un indicateur tangible de l’utilisation proactive de ces authentificateurs par une entreprise. Nous sommes convaincus que cette analyse pilotée par les données, qui s’appuie sur des événements de cyberattaque identifiés auprès d’un grand nombre d’entreprises, peut inciter les entreprises à adopter des authentificateurs résistants au phishing.

Les authentificateurs résistants au phishing sont conçus pour prévenir les attaques de phishing en temps réel en ne révélant pas les données d’authentification sensibles aux applications ou sites web frauduleux. Le principe consiste à lier le canal authentifié au résultat de l’authentificateur de façon cryptographique. Par exemple, dans le cas d’une attaque Adversary-in-the-Middle (AitM), si une tentative de phishing conduit l’utilisateur à une page de connexion factice, le cybercriminel ne peut pas reproduire la liaison cryptographique de la réponse, rendant ainsi l’authentificateur résistant aux attaques de phishing.

Okta prend en charge plusieurs authentificateurs résistants au phishing, dont :

  • Okta FastPass, un authentificateur sans mot de passe lié au terminal
  • Authentificateurs FIDO2 WebAuthn (clés de sécurité)
  • Authentificateurs FIDO2 WebAuthn liés au terminal (p. ex. FaceID, TouchID, Windows Hello) 
  • Cartes à puce PIV
  • Clés de sécurité matérielles (p. ex. YubiKey)

Il est clair que le facteur résistant au phishing représente la référence en matière de prévention des attaques de phishing, comme indiqué dans la fiche d’information sur l’authentification multifactorielle (AMF) de la fiche d’information sur le MFA publiée par la CISA. Cependant, il existe d’autres raisons d’être résistant au phishing, qui ne sont pas particulièrement liées aux attaques de phishing à proprement parler.

Risques liés à la fraude et aux identifiants

Credential and fraud risks

 

Nous examinons ici quatre risques liés à la fraude et aux identifiants rencontrés couramment dans le cadre de la gestion des identités et des accès (IAM), tels que nous les identifions et les prévenons chez Okta :

Attaque par force brute – Lors d’une attaque par force brute, les cybercriminels procèdent par essais et erreurs pour prendre le contrôle des comptes. Ces attaques sont généralement lentes et visent à prendre le contrôle d’un grand nombre de comptes.

Attaque par credential stuffing – Lors d’une attaque par credential stuffing, les cybercriminels acquièrent des identifiants issus d’une brèche sur un site de dépôt illicite de mots de passe ou le Darknet. Ils utilisent ensuite des outils automatisés pour prendre le contrôle des comptes avec ces identifiants.

Attaque par password spray – Lors d’une attaque par password spray, les cybercriminels identifient des noms d’utilisateur valides et tentent ensuite d’utiliser des mots de passe courants avec ces noms d’utilisateur, dans l’espoir de pouvoir prendre le contrôle des comptes. 

Attaque par fraude au numéro surtaxé – Lors d’une attaque par fraude au numéro surtaxé, les fraudeurs génèrent artificiellement un volume élevé d’appels/SMS internationaux sur des destinations coûteuses afin de gagner de l’argent.

Okta dispose de plusieurs mécanismes de détection et de prévention pour contrer les tactiques, techniques et procédures (TTP) susmentionnées. Par exemple, Okta ThreatInsight agrège les données relatives aux activités de connexion de l’ensemble des clients Okta afin d’analyser et détecter les adresses IP potentiellement malveillantes. Les administrateurs peuvent configurer la fonctionnalité de verrouillage du compte pour bloquer les utilisateurs après plusieurs tentatives infructueuses, dont le nombre peut être configuré. Nous disposons d’un système antifraude au numéro surtaxé afin de protéger nos systèmes contre ce type de fraude, tout en fournissant un service de téléphonie fiable à nos clients. Celui-ci repose sur un moteur heuristique, le machine learning et une fonction de limitation du débit.

Pour comprendre l’effet des authentificateurs résistants au phishing sur les risques liés à la fraude et aux identifiants mentionnés ci-dessus, nous compilons les détections déclenchées par les systèmes de détection d’Okta. Cette opération est définie formellement comme suit :

Formula 1

où 

  • CE représente le nombre total d’événements de fraude ou d’utilisation abusive d’identifiants pour une entreprise dans une période donnée, tels que détectés par Okta. La période prise en compte pour l’agrégation peut être un jour, une semaine ou un mois. Nous avons choisi une période d’un mois pour l’extraction d’un échantillon pour une entreprise. 
  • Ei représente les événements de sécurité pour chaque détection dans une période donnée, où i est compris entre 1 et n, indiquant ainsi la somme de tous les événements de cyberattaque de 1 à n.

Le terme des risques liés à la fraude et aux identifiants est ensuite calculé et normalisé en tant que ratio du CE par rapport au nombre maximal d’événements possibles :

Formula 2

Mesure de la résistance au phishing

Le rapport entre le nombre de transactions résistantes au phishing et le nombre total de transactions fournit un excellent moyen d’évaluer l’utilisation d’authentificateurs résistants au phishing dans une entreprise :

Phishing resistance measure

  • P représente le nombre de transactions résistantes au phishing (inscriptions, connexions, récupérations).
  • N représente le nombre total de transactions.

Relation entre résistance au phishing et risques

Nous avons compilé tous les événements de sécurité identifiés par Okta sur huit mois, entre le 1er janvier 2023 et le 30 août 2023, pour les vecteurs d’attaque susmentionnés. Dans le cadre de notre analyse, nous avons également calculé le score de résistance au phishing correspondant pour chaque enregistrement d’échantillon.

Nous voulons comprendre la relation entre les risques liés à la fraude et aux identifiants (CR) et les transactions résistantes au phishing, tout en tenant compte du bruit de données inhérent. Nous avons suivi une méthodologie systématique de regroupement et agrégation. Nous avons d’abord discrétisé les valeurs en classes logarithmiques définies, puis calculé les valeurs moyennes du risque lié à la fraude et aux identifiants au sein de chaque classe pour une analyse structurée. Cette approche a permis d’atténuer les fluctuations liées au bruit et de fournir une représentation plus cohésive de la relation entre les risques liés à la fraude et aux identifiants et l’utilisation d’authentificateurs résistants au phishing. 
 

Phishing resistance score

Figure 1
 

La figure 1 illustre la relation entre les risques liés à la fraude et aux identifiants et l’utilisation de la résistance au phishing. Les risques liés à la fraude et aux identifiants diminuent au fur et à mesure que l’utilisation de la résistance au phishing augmente. En particulier, ces risques diminuent à mesure que l’utilisation de la résistance au phishing s’approche de 100. Si ce résultat est attendu, il est intéressant de noter une tendance à la baisse exponentielle dans la figure. L’augmentation de l’utilisation de la résistance au phishing s’accompagne d’une réduction exponentielle notable des risques liés à la fraude et aux identifiants. Lorsqu’une entreprise atteint une résistance au phishing de 100 % pour toutes ses utilisations, les risques sont considérablement réduits, soit l’état souhaité pour les entreprises.

Par souci d’exhaustivité, nous avons ajusté une fonction de décroissance exponentielle limitée modifiée pour les risques liés à la fraude et aux identifiants en tant que fonction du pourcentage de résistance au phishing (PR), laquelle est définie formellement à l’aide de l’équation suivante :

Formula 5

Après application de l’algorithme de Levenberg-Marquardt pour l’ajustement de courbe par les moindres carrés non linéaires, l’équation ci-dessus peut être écrite comme suit :

Formula 5

La courbe ajustée est également illustrée à la figure 1. L’absence d’authentification résistante au phishing (% de résistance au phishing = 0 %) dans une entreprise l’expose à un risque accru d’attaques par fraude et d’attaques basées sur l’accès aux identifiants. Dans ce scénario, la métrique des risques liés à la fraude et aux identifiants est de 100 %. Toutefois, il convient de souligner que l’adoption de 20 % d’authentifications résistantes au phishing, telles que déterminées par la métrique de pourcentage de résistance au phishing, permet aux entreprises de réduire les risques liés à la fraude et aux identifiants à environ 15 %, ce qui représente une amélioration notable par rapport à 100 %.

Les entreprises peuvent réduire leurs risques liés à la fraude et aux identifiants de façon considérable en adoptant des authentifications résistantes au phishing.

Test d’hypothèse statistique

Nous aimerions valider l’hypothèse selon laquelle les entreprises où la résistance au phishing est peu utilisée présentent des risques liés à la fraude et aux identifiants nettement plus élevés que celles dont l’utilisation de la résistance au phishing est relativement plus élevée. Nous avons créé deux groupes en fonction de l’utilisation de la résistance au phishing afin de faciliter la vérification de cette hypothèse statistique. Les échantillons dont l’utilisation de la résistance au phishing est inférieure à 20 % sont classés dans le groupe A, tandis que ceux dont l’utilisation de la résistance au phishing est supérieure à 20 % sont classés dans le groupe B.

Statistical hypothesis testing

Nous effectuons le test t pour déterminer les moyennes de deux scores d’échantillons indépendants. Le test t pour échantillons indépendants, également connu sous le nom de test t à deux échantillons, est un test statistique utilisé pour comparer les moyennes de deux groupes indépendants afin de déterminer s’il existe une différence statistiquement significative entre eux.

Dans notre test d’hypothèse statistique 

  • L’hypothèse nulle (H0) est qu’il n’existe pas de preuve significative suggérant que les valeurs du risque lié à la fraude et aux identifiants du groupe A sont plus élevées que celles du groupe B.
  • L’hypothèse alternative (Ha) est que les valeurs du risque lié à la fraude et aux identifiants du groupe A sont significativement plus élevées que celles du groupe B.
  • Le niveau de signification (valeur alpha) est fixé à 0,05.

Pour effectuer le test t, nous devons d’abord identifier les variantes du test t à utiliser. Bien que les tests t soient relativement robustes aux écarts par rapport aux hypothèses, il est toujours bon de s’assurer que les hypothèses courantes des tests t sont valides. Il s’agit des hypothèses suivantes :

  • Données continues
  • Normalité ou taille d’échantillon importante
  • Indépendance et échantillonnage aléatoire
  • Homogénéité de la variance (homoscédasticité) pour le test t de Student et variance inégale pour le test t de Welch

Nos données répondent aux trois premières hypothèses. Cependant, nous devons vérifier l’homogénéité de la variance pour déterminer si nous devons effectuer le test t de Student ou le test t de Welch. Nous pouvons vérifier cela grâce au test de Levene.

Test de Levene

Le test statistique de Levene vérifie si les variances de deux groupes sont égales. L’hypothèse nulle est que les variances des populations des deux groupes sont égales. Si l’hypothèse nulle d’égalité des variances est rejetée, il existe une différence entre les variances des deux groupes.

Table showing Levene's test

La statistique du test de Levene est présentée dans le tableau ci-dessus pour nos deux groupes. Sur la base de la statistique du test de Levene, nous pouvons rejeter l’hypothèse nulle et confirmer que les variances des deux groupes ne sont pas égales. Cela signifie que nous devrions effectuer le test t de Welch plutôt que le test t de Student standard.

Test t de Welch

Le test t de Welch, ou test t de variances inégales, est robuste aux violations de l’homoscédasticité. L’hypothèse nulle de ce test est que deux populations ont des moyennes égales. Il est également connu comme une modification du test t pour échantillons indépendants qui ne suppose pas des variances égales.

Table showing Welch's test

Nous présentons maintenant la statistique du test t de Welch pour nos deux groupes dans le tableau ci-dessus. Sur la base de la statistique du test t de Welch, nous pouvons rejeter l’hypothèse nulle. Cela signifie que les valeurs du risque lié à la fraude et aux identifiants du groupe A sont significativement plus élevées que les valeurs du risque lié à la fraude et aux identifiants du groupe B. En d’autres termes, nous avons validé notre hypothèse selon laquelle les entreprises dont l’utilisation de la résistance au phishing est faible présentent des risques liés à la fraude et aux identifiants significativement plus élevés que celles dont l’utilisation de la résistance au phishing est relativement plus élevée.

Points à retenir

  • Le pourcentage de résistance au phishing (PR) est la métrique que nous introduisons pour évaluer l’utilisation des authentificateurs résistants au phishing au sein d’une entreprise. Les entreprises doivent surveiller et améliorer cette métrique afin de renforcer leur posture de sécurité.
  • Les risques liés à la fraude et aux identifiants diminuent considérablement lorsque vous utilisez des authentificateurs résistants au phishing. Commencez dès aujourd’hui à adopter la résistance au phishing pour réduire considérablement les risques. Okta recommande l’utilisation de facteurs résistants au phishing tels que FastPass, WebAuthn et les cartes à puce pour tous les flux. 
  • Statistiquement, les entreprises ayant une faible résistance au phishing sont exposées à des risques liés à la fraude et aux identifiants importants par rapport à celles qui ont une plus grande résistance au phishing.
  • Il est nécessaire d’atteindre une résistance au phishing de 100 % pour atténuer les risques liés à la fraude et aux identifiants pour les vecteurs d’attaque examinés, ce qui indique une utilisation de 100 % des authentifications résistantes au phishing.
  • Les mesures de protection contre les attaques de phishing peuvent éliminer efficacement les vecteurs d’attaque associés à l’accès aux identifiants et à la fraude au numéro surtaxé, même si ces deux types d’attaques ne sont apparemment pas liés. Les authentificateurs résistants au phishing se révèlent être un moyen de dissuasion puissant contre les attaques sans phishing.

Vous avez des questions sur cet article de blog ? Contactez-nous à l’adresse [email protected].

Consultez d’autres Blogs sur l’ingénierie d’Okta pour approfondir vos connaissances.

Prêt à rejoindre notre équipe d’ingénieurs aussi passionnés qu’exceptionnels ? Consultez notre page Carrières.

Libérez le potentiel d’une gestion des identités moderne et sophistiquée pour votre entreprise. Contactez notre équipe commerciale pour plus d’informations.