Vers une authentification Smartphoneless

Depuis longtemps, les smartphones sont recommandés pour la commodité qu’ils offrent et on ne peut nier leur impact considérable sur l’expérience utilisateur. Dans le cadre d’une solution d’authentification multifacteur, bien qu’ils puissent constituer un choix populaire, l’expérience a montré qu’ils ne sont pas forcément le moyen le plus sécurisé de protéger vos systèmes et vos données.

smartphoneless-desktop-browser-token

En 2021, les cyberattaques ont atteint un nombre record et une nouvelle attaque est signalée toutes les 39 secondes¹. Il est désormais plus qu’évident que la complaisance n’est plus une option. si vous voulez garder une longueur d’avance en matière de cybersécurité. Alors, pourquoi délaisser l’authentification mobile et passer au Smartphoneless ?

Quels sont les défis concernant l’authentification mobile ?

1er défi : l’authentification mobile nécessite que vous possédiez, ou que l’on vous fournisse, un téléphone portable

Commençons par le commencement : l’authentification via un token mobile nécessite que les utilisateurs disposent d’un smartphone. Ceci n’est donc pas toujours une solution d’authentification adaptée, notamment pour les accès clients. En effet, il arrive que certaines personnes ne disposent pas d’un smartphone compatible, pour quelque raison que ce soit. Enfin, pour ce qu’il en est de l’authentification des collaborateurs, et dans une logique de réduction des coûts, les entreprises sont de moins en moins enclines à leur fournir des smartphones.

2e défi : l’authentification mobile est vulnérable à certaines cyberattaques

De nombreuses inquiétudes ont été exprimées quant au risque de compromettre les appareils mobiles. Lors d’une authentification par SMS OTP, il existe un risque de récupération des informations par SMiShing (attaque par SMS phishing). Et quant à l’authentification via l’application Authenticator, on a souvent tendance à oublier les attaques de fatigue MFA. Une cyberattaque qui pousse les utilisateurs à autoriser l’accès suite à l’envoi de notifications push en continu et en masse.

En 2020, les attaques d’hameçonnage par sms (SMiShing) ont augmenté de 37%. Et selon le nombre de terminaux mobiles, ce type d’attaque peut coûter jusqu’à 150 millions de $².

Qu’est-ce qu’une authentification Smartphoneless ?

Vous vous demandez peut-être ce que nous entendons par authentification Smartphoneless. Il s’agit très simplement d’un moyen de vérifier l’identité d’un utilisateur afin de lui autoriser l’accès sans avoir recours à un smartphone. C’est donc une façon de faire de l’authentification multifacteur (MFA), mais sans posséder de smartphone ou sans vouloir y recourir pour se connecter à ses applications ou à un réseau. Cela peut se faire en combinant :

  • un facteur de connaissance (tel qu’un PIN) ou à un facteur d’inhérence (tel qu’une empreinte digitale),
  • avec un facteur de possession autre que le mobile.

La plupart du temps, nous pensons au token desktop, mais vous seriez surpris d’apprendre qu’il existe d’autres alternatives, comme le token navigateur par exemple.

Ne négligez pas les avantages que présente la suppression des contraintes liées à l’équipement dans le cadre de l’authentification mobile.

Pourquoi passer à l’authentification Smartphoneless ? Quels avantages?

De plus en plus d’entreprises se mettent à adopter l’authentification Smartphoneless. En effet, le smartphone lui-même peut engendrer des contraintes et pas seulement pour les utilisateurs, mais aussi pour les développeurs et les intégrateurs.

On compte de nombreux avantages clés précieux en autorisant les utilisateurs à s’authentifier et à accéder à leurs applications, leur réseau et leurs données sans avoir besoin d’un téléphone portable.

#1

Dispenser les utilisateurs de dépendre d’un mobile

En ne dépendant pas d’un smartphone, on supprime cette contrainte d’avoir un équipement supplémentaire sous la main. Imaginons en plus que le mobile n’ait plus de batterie, quelle expérience désastreuse…

#2

Réduire la charge logistique pour les équipes informatiques

Cet avantage est particulièrement important pour l’accès des employés. En effet, d’un point de vue administratif, cela implique moins de logistique pour équiper et mettre à jour les équipements des utilisateurs.

#3

Réduire les coûts

Cette réduction de la charge de travail et des besoins en équipement entraîne une réduction des coûts pour les entreprises.

#4

Se protéger d’attaques ciblées

Enfin, l’authentification Smartphoneless permet de se prémunir contre certaines attaques comme le phishing par SMS (SMiShing) ou les attaques de fatigue MFA réalisées par le biais de push sur mobile.

L’authentification sans smartphone, le Smartphoneless, va-t-elle devenir la nouvelle norme ?

Il n’est pas surprenant que les entreprises souhaitent mettre en œuvre des changements qui permettent de réduire leur niveau de risque et améliorer leurs processus opérationnels.

Gartner prédit que, d’ici fin 2022, les entreprises numériques offrant des parcours d’authentification fluides et faciles afficheront un chiffre d’affaires 10 % plus élevé que leurs concurrents qui ne présenteront pas cette caractéristique³.

C’est pour cela qu’inWebo a lancé une alternative logicielle à l’authentification par smartphone. Nous appelons cette solution « Deviceless », puisqu’elle ne nécessite aucun appareil supplémentaire. Le Deviceless s’appuie sur le navigateur de l’utilisateur comme dispositif de confiance pour authentifier et accéder à ses applications de manière simple, sécurisée et fluide.

Une chose est sûre, les utilisateurs s’habitueront rapidement à la liberté de ne pas dépendre d’un smartphone pour se connecter à leurs ressources et données.

Authentification Deviceless ou Smartphoneless ?

L’authentification Deviceless est une authentification Smartphoneless. Il s’agit en quelque sorte d’une sous-catégorie dans la mesure où elle s’avère encore plus précise en s’appuyant sur le token navigateur. Elle peut être effectuée à partir de n’importe quel appareil et avec n’importe quel navigateur. Il n’est pas nécessaire que ce soit celui appartienne à l’utilisateur, ni même à l’entreprise. En y réfléchissant bien, cette technologie Deviceless ajoute 3 nouveaux avantages à la liste ci-dessus.

+ 3 avantages pour le Deviceless Vs. le Smartphoneless

#5

Le Deviceless facilite et sécurise le BYOD (« Bring Your Own Device »)

Nous constatons de plus en plus d’ordinateurs personnels utilisés à des fins professionnelles. Le Deviceless supprime les risques de sécurité liés au BYOD et sécurise tous les accès aux applications et réseaux internes, sans smartphone, simplement à partir d’un navigateur.

#6

Simplicité de configuration et d’utilisation

Il convient également de noter que cette nouvelle méthode d’authentification des utilisateurs ne demande aucune installation et peut être déployée à large échelle en quelques clics. Une aubaine pour les intégrateurs.

#7

Un très bon moyen de fournir des connexions multi-utilisateurs sécurisées

Le même navigateur peut être utilisé par différents utilisateurs qui posséderont tous leur propre authentification. Pour les entreprises fonctionnant avec des ordinateurs partagés, c’est un avantage exceptionnel. Cela garantit à la fois un haut niveau de sécurité et la capacité d’identifier chaque utilisateur accédant au système.

Quelle technologie derrière le Deviceless ?
La technologie MFA d’inWebo a été conçue pour s’assurer que, même en cas de manipulation par des tiers, elle sera impossible à utiliser. Au lieu de recourir à une simple clé cryptographique, comme c’est le cas de toutes les autres solutions MFA, inWebo a rendu ses clés dynamiques et aléatoires. Une technologie unique et brevetée.

Avec le token navigateur, les clés cryptographiques sont enregistrées dans le navigateur de l’utilisateur plutôt que sur son ordinateur. Celles-ci changent de façon aléatoire à chaque fois que l’utilisateur génère un OTP lorsqu’il veut se connecter au système.

De cette manière, les clés qui ont déjà été utilisées ne peuvent plus être réutilisées, les rendant totalement inutiles pour quiconque essayant de pirater le système. L’identité de chaque utilisateur est protégée et le risque de violations de la sécurité est fortement réduit.

L’avenir sera Deviceless

Est-il probable que nous passions tous à une solution Smartphoneless en matière d’authentification dans le futur ? Nous n’avons pas de boule de cristal, mais les signes vont assurément dans ce sens !

Nous recherchons tous des moyens novateurs de garantir la sécurité des systèmes et processus, mais nous voulons également nous assurer d’une expérience simple pour les utilisateurs.

Un processus d’authentification qui est performant sur ces deux aspects, tout en réduisant les cas de phishing, les coûts et la logistique et en garantissant une simplicité de configuration et d’utilisation, semble certainement valoir l’investissement.

Qu'est-ce que le Smartphoneless ?
On parle de Smartphoneless pour désigner un moyen d’authentification, c’est à dire vérifier l’identité d’un utilisateur, sans avoir recours à un smartphone. C’est une façon alternative d’utiliser l’authentification multifacteur (MFA).
Comment réaliser une authentification Smartphoneless ?
L’authentification Smartphoneless se fait par un MFA faisant appel à un facteur de connaissance (code PIN) ou à un facteur d’inhérence (empreinte digitale) combiné à un facteur de possession autre que le mobile. La plupart du temps, il s’agira d’un token desktop ou laptop. Mais il existe aussi une technologie permettant une authentification avec un token navigateur.
Comment éviter le SMS phishing, ou "smishing" ?
Dans le cas de l’authentification par OTP SMS, la suppression du recours au téléphone portable, grâce notamment à Smartphoneless, permet d’éviter les risques d’attaques de phishing par SMS, ou « smishing ».

L'authentification forte MFA sans compromis

Contactez-nous pour une démo ou pour demander l'ouverture de votre compte de test

Très haut niveau de sécurité

inWebo MFA détient la technologie unique et brevetée des clés dynamiques aléatoires qui lui permet de proposer le plus haut niveau de sécurité du marché. Solution certifiée par l’ANSSI.

Intégration et déploiement facile

Accessible en Saas, riche en connecteurs, API et SDK, inWebo MFA s’adapte à vos contraintes techniques, sans vous en imposer de nouvelles. Déployez un MFA rapidement et à grande échelle, sans contact humain et sans logistique.

Expérience utilisateur passwordless et deviceless

inWebo vous permet d’offrir une expérience utilisateur simplifiée, étendue à toutes les dimensions de l’authentification, de l’enrôlement à la connexion grâce à ses tokens universels, passwordless et deviceless.

Recevez toute l'actualité de l'authentification forte

Nos dernières actualités

Demandez une demo