Le MFA bombing (ou MFA fatigue) : voilà une attaque particulière dont on a beaucoup entendu parler suite au hack de la société Uber. Si la méthode est encore peu répandue, il est important de comprendre comment elle fonctionne, et comment l’éviter, tant du côté utilisateur que développeur d’application.
Continue readingIdentité
Microsoft détecte une attaque par vol de session sur 10000 clients
Dans un article de blog posté il y a quelques jours, les équipes sécurité de Microsoft expliquent une attaque qu’ils ont détectée, mise au point par des hackers, et qui cherchait à compromettre l’identité de certains utilisateurs parmi leurs clients. Ils détaillent alors comment, au travers du produit Microsoft 365 Defender, la détection et la résolution de ce type d’attaque peut être effectuée.
Continue readingL’authentification avec FIDO et WebAuthn
La principale faille de sécurité en informatique d’une entreprise, c’est et ça a toujours été « l’humain », utilisé souvent par le biais du phishing comme dans cette attaque relevée par Microsoft. Et l’un des aspects informatiques les plus simples à exploiter chez l’humain, ce sont ses mots de passe (voir le rapport annuel de NordPass). Cela fait des années que les entreprises telles que Microsoft ou Google cherchent à proposer un monde sans mot de passe. C’est en ce sens que la FIDO Alliance a été mise en place. Et ensemble, ils ont construit la norme WebAuthn.
Continue readingL’authentification dans les applications
L’authentification, la gestion d’identité, et le contrôle d’accès en général : ça a l’air si simple ! Une adresse email, un mot de passe, et ça marche !
Oui … mais non. Quand on commence à gérer ce genre de problématique, on voit rapidement qu’il y a beaucoup de choses à prendre en compte. Comment stocke-t-on les mots de passe correctement ? L’intègre au système du client est-elle possible ? Comment gérer les droits des utilisateurs ?
Afin de répondre à toutes ces questions, je vous propose de faire un petit tour d’horizon au travers d’une petite série d’articles, afin de voir ces différents aspects le mieux possible, et faire quelques démonstrations. Mais d’abord, une revue rapide des concepts fondamentaux de l’authentification !
Continue reading