Le MFA bombing (ou MFA fatigue) : voilà une attaque particulière dont on a beaucoup entendu parler suite au hack de la société Uber. Si la méthode est encore peu répandue, il est important de comprendre comment elle fonctionne, et comment l’éviter, tant du côté utilisateur que développeur d’application.

Continue reading →

La principale faille de sécurité en informatique d’une entreprise, c’est et ça a toujours été « l’humain », utilisé souvent par le biais du phishing comme dans cette attaque relevée par Microsoft. Et l’un des aspects informatiques les plus simples à exploiter chez l’humain, ce sont ses mots de passe (voir le rapport annuel de NordPass). Cela fait des années que les entreprises telles que Microsoft ou Google cherchent à proposer un monde sans mot de passe. C’est en ce sens que la FIDO Alliance a été mise en place. Et ensemble, ils ont construit la norme WebAuthn.

Continue reading →

L’authentification, la gestion d’identité, et le contrôle d’accès en général : ça a l’air si simple ! Une adresse email, un mot de passe, et ça marche !
Oui … mais non. Quand on commence à gérer ce genre de problématique, on voit rapidement qu’il y a beaucoup de choses à prendre en compte. Comment stocke-t-on les mots de passe correctement ? L’intègre au système du client est-elle possible ? Comment gérer les droits des utilisateurs ?

Afin de répondre à toutes ces questions, je vous propose de faire un petit tour d’horizon au travers d’une petite série d’articles, afin de voir ces différents aspects le mieux possible, et faire quelques démonstrations. Mais d’abord, une revue rapide des concepts fondamentaux de l’authentification !

Continue reading →