Les noms d’utilisateur et mots de passe deviennent-ils obsolètes ?

De nouvelles règles de cybersécurité pourraient remplacer la simple identification par nom d'utilisateur et mot de passe dans la plupart des secteurs des banques et des assurances du système financier américain.

Les options pour les nouvelles réglementations de sécurité incluent l'envoi d'un numéro de confirmation au téléphone portable d'un individu, l'utilisation d'une empreinte digitale ou d'une autre authentification biométrique, l'utilisation d'une source d'identification distincte, comme une carte magnétique, ou de nouvelles exigences pour les fournisseurs tiers ayant accès aux bases de données des compagnies d'assurance. . Ces changements pourraient concerner les employés, les fournisseurs tiers et potentiellement également les consommateurs.

Récemment, des cyber-intrusions très médiatisées ont été signalées chez Anthem et JP Morgan Chase, respectivement une compagnie d'assurance maladie et une institution bancaire.

Les responsables de l'application des lois, enquêtant sur l'affaire Anthem, estiment que des pirates étrangers ont utilisé le nom d'utilisateur et le mot de passe d'un cadre pour accéder aux données personnelles de 80 millions de clients, notamment les noms, adresses et numéros de sécurité sociale. Fonctionnaires, relevant de , suggèrent que le vol « aurait pu être évité si l’entreprise avait adopté des méthodes plus strictes pour vérifier l’identité de ceux qui tentent d’accéder à ses systèmes ».

Lors de la récente violation chez JP Morgan Chase, les dossiers de 76 millions de foyers et de sept millions d'entreprises ont été compromis. Un autre incident très médiatisé s'est produit chez le détaillant Target, dont la violation a touché 110 millions de titulaires de cartes.

L'annonce de nouvelles règles de cybersécurité intervient après celle de l'Etat de New York Département des services financiers (DFS) a mené une étude sur la cybersécurité auprès de 43 compagnies d’assurance réglementées.

Le DFS conclut que « même si l’on peut s’attendre à ce que les plus grands assureurs disposent des cyberdéfenses les plus robustes et les plus sophistiquées », l’étude conclut que ce n’est pas nécessairement le cas. Les résultats reflètent un excès de confiance parmi les responsables du secteur de l’assurance, 95 pour cent des entreprises interrogées estimant « qu’elles disposent de suffisamment de personnel pour assurer la sécurité de l’information ». De plus, l'étude du DFS affirme que seulement 14 pour cent des dirigeants reçoivent des séances d'information mensuelles sur la sécurité de l'information.

Selon Benjamin Lawsky, le surintendant du DFS, il existe « ici une énorme vulnérabilité potentielle » et que « le système de mots de passe aurait dû être enterré depuis longtemps ». Lui et le DFS recommandent que « les régulateurs et les entreprises du secteur privé doivent à la fois redoubler d’efforts et agir de manière agressive pour contribuer à protéger les données des consommateurs ». En outre, « les récentes violations de la cybersécurité devraient servir de signal d’alarme sévère aux assureurs et autres institutions financières pour qu’ils renforcent leurs cyberdéfenses ».

Le rapport complet, trouvé ici, souligne que « même si de nombreuses grandes compagnies d’assurance maladie, vie et biens disposent de cyberdéfenses robustes, notamment le cryptage des transferts de données, des pare-feu et des logiciels antivirus, nombre d’entre elles s’appuient encore sur des méthodes de vérification relativement faibles pour les employés et les consommateurs, et ont des contrôles laxistes. par rapport aux fournisseurs tiers qui ont accès à leurs systèmes et aux données personnelles qu’ils contiennent ».

À la fin de l'année dernière, un examen de secteur bancaire trouvé des résultats similaires.

Le banquier américain rapports que « la plupart des failles de sécurité qui se produisent aujourd’hui dans le secteur bancaire utilisent des informations d’identification compromises. [En 2014,] plus de 900 millions de dossiers de consommateurs ont été volés à eux seuls, selon Risk Based Security ; 66.3 % incluaient des mots de passe et 56.9 % des noms d’utilisateur. »

Comment les consommateurs seront-ils affectés ?

L’inadéquation des noms d’utilisateur et des mots de passe n’est pas nouvelle ; les débats durent depuis plus d’une décennie maintenant. Le Conseil d'examen des institutions financières fédérales, en 2005, a reconnu que « de simples systèmes de nom d’utilisateur et de mot de passe étaient inadéquats pour les transactions impliquant l’accès aux informations client ou les mouvements de fonds vers d’autres parties ». Des mesures plus strictes n’ont pas été recommandées ni effectuées.

Les cyber-vulnérabilités des banques et des assurances préoccupent non seulement les entreprises elles-mêmes, mais aussi les particuliers.

De nouvelles techniques de piratage apparaissent à un rythme alarmant, rendant désormais beaucoup plus facile l’accès aux noms d’utilisateur et aux mots de passe.

Les cybercriminels peuvent facilement voler des identités grâce à des méthodes telles que le « honey potting », dans lesquelles les individus tapent leur nom d'utilisateur et leur mot de passe sur des sites Web prétendant vérifier si leur nom a été compromis – « distribuant des messages de phishing sous couvert d'offrir de l'aide ».

Les utilisateurs de Gmail ont subi un tel incident en septembre 2014. Selon le International Business Times, 5 millions de noms d'utilisateur et de mots de passe Gmail ont été publiés sur un forum russe de pièces de monnaie ; environ 60 pour cent étaient des comptes actifs. Peu de temps auparavant, 4.6 millions de comptes Mail.ru et 1.25 million de comptes de messagerie Yandex avaient également été consultés illégalement.

Les comptes de jeu sont également sensibles aux pirates. En janvier, Noms d'utilisateur et mots de passe du compte Mine Craft ont été divulgués en ligne.

De tels cas mettent simplement en lumière le fait déjà connu que le piratage informatique touche plus près de chez nous, potentiellement nos maisons. Le vrai danger, comme Les nouvelles de Hacker Le souligne, ce sont « les utilisateurs concernés qui utilisent la même combinaison de nom d’utilisateur et de mot de passe pour de nombreux services en ligne, comme les sites d’achat, les services bancaires, les services de messagerie et tout réseau social ». La plupart du temps, les noms d’utilisateur et les mots de passe sont cohérents dans tous les services en ligne.