En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

L’étude 2FA de Dashlane

Publication: 19 novembre

Partagez sur
 
Faiblesse des offres d’authentification à deux facteurs des sites populaires US...
 

Les équipes de Dashlane ont testées et notées chaque site en s’appuyant sur 3 critères essentiels du système d’authentification à deux facteurs. Dashlane a donc attribué 1 point aux sites proposant une authentification via SMS ou email, 1 point à ceux acceptant les solutions logicielles (type Google Authenticator) et 3 points lorsqu’il est possible d’utiliser un dispositif matériel (comme une clé YubiKey ou U2F). Ce système de notation permet d’atteindre la note maximale de 5/5. Les sites qui n’ont pas obtenus cette note ont donc échoués à ce test puisqu’ils n’offrent pas à leurs utilisateurs la palette complète des options de l’authentification 2FA.

Les équipes de Dashlane ont testées et notées chaque site en s’appuyant sur 3 critères essentiels du système d’authentification à deux facteurs. Dashlane a donc attribué 1 point aux sites proposant une authentification via SMS ou email, 1 point à ceux acceptant les solutions logicielles (type Google Authenticator) et 3 points lorsqu’il est possible d’utiliser un dispositif matériel (comme une clé YubiKey ou U2F). Ce système de notation permet d’atteindre la note maximale de 5/5. Les sites qui n’ont pas obtenus cette note ont donc échoués à ce test puisqu’ils n’offrent pas à leurs utilisateurs la palette complète des options de l’authentification 2FA.

Manque d’options 2FA sur la plupart des sites web

Seuls 8 sites (24%) sur les 34 examinés par Dashlane ont passé le test avec succès : Bank of America, Dropbox, E*TRADE, Facebook, Google, Stripe, Twitter et Wells Fargo. A l’opposé, 4 sites testés n’offraient aucune des options 2FA : Best Buy, NextDoor, TaskRabbit et ZocDoc.

« Au cours de nos recherches nous nous sommes rendu compte que les informations liées au système d’authentification à deux facteurs sont souvent présentées de façon floue ce qui rend difficile la confirmation de l’offre 2FA par le consommateur » explique Emmanuel Schalit, CEO de Dashlane. « En fait nos chercheurs ont été contraints d’évincer un bon nombre de sites populaires du test, pour la simple et bonne raison que ceux-ci n’offraient aucun accès direct et simple aux informations sur leur offre en matière d’authentification 2FA. Nous pouvons donc conclure que de nombreux consommateurs ne profitent pas pleinement des systèmes de sécurité s’offrant à eux à cause de ce manque de transparence. »

Couche de sécurité supplémentaire

Le système 2FA est l’un des meilleurs moyens pour mettre en place un niveau de sécurité supplémentaires à n’importe quel compte puisqu’il requiert de toute personne tentant d’y accéder un second moyen d’authentification tel qu’un code envoyé sur le téléphone. Même si aucune méthode d’authentification forte n’est infaillible, celles basées sur l’utilisation d’un dispositif matériel sont de loin les plus efficaces, puisqu’il faudrait que le pirate potentiel ait accès non seulement au mot de passe mais aussi à la clé matérielle, et ce au même moment. C’est précisément ce pour quoi Dashlane a été le premier gestionnaire de mot de passe à travailler avec les clés Universal 2nd Factor (U2F) soutenu par Yubico et l’Alliance FIDO.

« Nous voulons éduquer le public sur les avantages d’un ajout comme l’authentification à deux facteurs afin qu’il puisse exiger les dernières innovations en matière de sécurité des entreprises qu’ils servent » déclare Emmanuel Schalit.

Méthodologie

L’étude a été menée par les chercheurs Dashlane du 10 au 23 octobre 2018. Les chercheurs ont ainsi évalué trois critères 2FA sur 34 sites Web populaires auprès des consommateurs américains :

1. Solution 2FA par SMS et/ou email : le site a été crédité d’un point s’il offrait une forme d’authentification à deux facteur par SMS et/ou email.

2. Solution 2FA par solution logicielle : le site a été crédité d’un point s’il offrait une forme d’authentification à deux facteur acceptant un dispositif logiciel, comme Authy ou Google Authenticator. Dashlane a aussi favorisé les sites offrant leurs propres solutions logicielles.

3. Système d’authentification par dispositif matériel : le site a été crédité de 3 points s’il proposait une forme d’authentification à deux facteurs basé sur un dispositif matériel comme YubiKey, Google Titan et les clés d’authentification physique U2F. Les sites ont aussi été crédités s’ils proposaient leur propre dispositif matériel.

La note maximum est donc de 5/5. Toute site ayant eu une note inférieure à 5 est considérée comme avoir échoué car cela signifie que le site n’offre pas à ses utilisateurs la gamme complète des options d’authentification à deux facteurs.

Dashlane a évalué les options 2FA que les sites offrent pour les connexions sur les navigateurs. Leurs équipes ont évalué les informations publiques sur les options d’authentification forte sur les pages de sécurité et de confidentialité des sites web évalués en ouvrant une session sur les navigateurs Chrome et Safari. Dashlane n’a pas évalué les options 2FA pour les applications mobiles, les navigateurs mobiles ou les applications de bureau des sites. Dashlane n’a pas testé les options 2FA fournies pour les actions effectuées après qu’un utilisateur se soit connecté avec succès, telles que les achats en ligne, l’ajout d’un identifiant, etc.

http://www.dashlane.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: