Information Security

CISSP: Passed, and One More Milestone Completed

CISSP: Passed, and One More Milestone Completed 150 150 Jean-Philippe Rivard Lauzier

CISSP By (ISC)² [Public domain], via Wikimedia Commons

Done. The 6-hour exam with its 250 questions is finally in the past. Yes, I am talking about the famous CISSP or the “Certified Information Systems Security Professional” exam from ISC2. This is the certification that most information security professionals will try to obtain at one point in their career. Why? For most recruiters and companies that are looking for a professional in information security, the CISSP is now the golden ticket for employment in this field.

Studying

I would say that it all started in 2015. Back then, I decided to pursue the SSCP or the “System Security Certified Practitioner” from the same organization. This was a shorter exam, which is a little more technical, but not deeply technical either. It helped me have a first experience with an ISC2 exam before pursuing the CISSP. Both exams share some similar domains, but not necessarily at the same level.

For studying, I only bought the official study guide, the CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, which I think is really well written. Knowing that I perform much better when I have the occasion to practice beforehand, I used the official practice tests, the CISSP Official (ISC)2 Practice Tests and even the mobile application (the mobile application doesn’t exist anymore), which is really great to use during daily transit. There are many resources available with thousands of questions.

The exam itself is as with any exam, just longer and more expensive. What about the duration? In about 4 hours, I was able to answer the questions and review a few trickier ones.

Criticisms

There are some criticisms on this certification among professionals in information security. There seems to be a misconception about the knowledge and experience obtained with this certification. These days, a company will look first for a candidate with a CISSP for any kind of role related to the world of information security. It could be from the typical information security analyst to any technical role such as penetration testers, security architect, encryption specialists, security cloud specialists, etc. This is the biggest mistake.

In my opinion, this certificate is a management level certification giving better insight into policies and standards. The CISSP will be able to guide and manage the information security objectives of an organization. However, the person in this role will be supported by people with technical know-how. It is not a technical certification. Obviously, it depends on the person’s professional background since it is possible to have a CISSP holder with a deep understanding of the technical concepts.

Certification

Well, it is now the waiting period. I will hopefully obtain the CISSP certification some time in 2019 after I have completed the required experience. Every holder must have 4 to 5 years of direct information security experience in at least 2 of the 8 domains. However, I must admit that this is a great advantage for this certification. There is a one year waiver possible depending on previous academic experience and other certifications. I also had a similar situation with the CISA where there is a 2 to 5 year requirement.

What’s next after the CISSP?

I am still unsure about the next step. I think I have completed the majority of relevant certifications. On the other hand, I am always curious in privacy matters and I would like to be more proficient in questions related to privacy law. There is indeed a certification that piqued my interest from the International Association of Privacy Professionals but it will be for a different post…

Pourquoi avoir fait la certification OSCP?

Pourquoi avoir fait la certification OSCP? 150 150 Jean-Philippe Rivard Lauzier

This post was published when this blog was also in French. This post is available in English.

Depuis les dernières années, je suis de plus en plus du côté de l’audit TI et de la sécurité de l’information. Du moins, en théorie, j’ai encore plusieurs projets techniques… Toutefois, ça faisait déjà quelque temps que je voulais poursuivre la certification « Offensive Security Certified Professional » (OSCP). Au début, c’était un défi intéressant et surtout, je voulais valider mon intérêt à poursuivre une carrière dans le domaine des tests d’intrusion et c’était définitivement une bonne façon de confirmer, ou non, mon intérêt.

La certification OSCP est unique parmi les autres certifications TI. Les étudiants doivent faire un effort considérable et surtout faire beaucoup plus que « seulement » apprendre les théories et réussir un examen à choix multiples. Pour obtenir la certification, les étudiants ont 24 heures pour obtenir les accès privilégiés de 5 serveurs. Par la suite, un autre 24 heures pour rédiger un rapport. En fait, c’est une simulation d’un mandat qui serait possible de réaliser en entreprise ou pour un client.

Les étudiants peuvent se préparer à l’examen par l’étude du “Penetration Testing with Kali” (PWK) qui présente, à haut niveau, les différentes techniques afin de compromettre des serveurs. Il y a le livre électronique et aussi de très bons vidéos. Le matériel permet aux étudiants d’avoir une introduction aux différentes méthodes. Kali, c’est la distribution Linux maintenue par l’Offensive-Security, précédemment connu sous le nom de BackTrack. Dans tous les cas, la partie la plus importante, c’est définitivement l’accès au laboratoire virtuel, “Offensive Security Penetration Testing Labs”. Le laboratoire est l’endroit où les étudiants peuvent exploiter plusieurs machines avec différents types d’attaque. C’est quasiment impossible d’être en mesure de réussir l’examen final sans passer un nombre d’heures impressionnant dans le laboratoire.

Avant de commencer mon expérience dans le lab, je dois admettre que le tout me semblait beaucoup plus simple et que ça serait tout de même facile de passer au travers la formation. Oh que non! Une formation beaucoup plus intensive que prévu. Si vous êtes intéressé par la certification et le domaine des tests d’intrusion, c’est une excellente expérience et je recommande fortement la certification. Par contre, il faut avoir une très bonne détermination. Tout étudiant sera frustré à plusieurs reprises et bloqué sur plusieurs serveurs dans le lab. Pas seulement une heure ou deux, mais probablement pendant plusieurs jours. Il y a une solution pour toutes les machines; du moins, presque tous les serveurs… La solution pour compromettre un serveur est souvent bien simple, mais il faut trouver le vecteur d’attaque et c’est pas toujours évident. Par contre, après les premiers serveurs, il y a une certaine fierté à vouloir trouver la faille d’une autre machine et on veut toujours continuer plus loin.

C’est toujours possible de demander de l’aide sur le canal IRC, mais impossible d’obtenir une solution ou la réponse sera simplement… « Try Harder! ». Et, oui, ils sont réellement sérieux sur ça. Avant de commencer, je ne connaissais pas encore la signification de ces deux mots, mais on l’apprend assez vite. En classe, je n’ai jamais été l’étudiant à poser des questions et je me débrouillais souvent par moi-même; plus simple et réponses disponibles en ligne. Avec la certification OSCP, c’est bien différent. L’équipe à Offensive-Security est tout de même bien heureuse de guider les étudiants et il y a aussi un forum dédié pour les étudiants. Par contre, il faut vous attendre à des réponses bien vagues, même si vous avez une partie de la solution. Vous devez être prêt à apprendre par vous-même. Si vous avez besoin d’un formateur qui vous explique les théories avec des exemples, bien, ce n’est pas pour vous. Les solutions ne sont pas dans le PWK, et c’est seulement un outil pour aider les étudiants après dans le lab.

Même avec un examen réussi en janvier 2016, j’ai l’impression que c’était cette année. Probablement plus difficile que la plupart de mes examens à l’université ou des autres certifications professionnelles. Quand je vois quelqu’un avec une certification de l’Offensive-Security, je sais très bien que la personne a mis les efforts nécessaires. Au final, je ne vais pas poursuivre une carrière en tests d’intrusion, mais c’est définitivement un atout important pour n’importe qui en sécurité de l’information.

Why did I do the OSCP certification?

Why did I do the OSCP certification? 150 150 Jean-Philippe Rivard Lauzier

I am more an IT auditor, and on the business side of information security (at least, in theory, I still like doing many technical projects). However, it was still important for me to pursue the Offensive Security Certified Professional (OSCP) certification. At first, I was maybe interested in a career as a penetration tester (pentester) and it was indeed a good way to confirm, or not, my interest.

The OSCP certification is unique among other IT certifications. Students don’t have to “simply” learn theories and pass a multiple choices exam. To obtain the certification, students have 24 hours to gain privilege accesses to 5 servers. After that, a second 24 hours to write a report. Basically, it is a simulation of a client engagement to perform a penetration testing.

Students will learn by studying the Penetration Testing with Kali (PWK) which will introduce different methods on how to compromise servers. There is an electronic book and also really good videos. The material with allows students to have an overview of each concept. Kali is the Linux distribution maintained by Offensive-Security, previously known as BackTrack. In any case, the most important part is definitely having access to the virtual lab, Offensive Security Penetration Testing Labs. The lab is where students can exploit many machines with different types of attack. It is almost impossible to be able to pass the final exam without an impressive amount of time in the lab.

I must admit that I thought at first that it would have been easier to get through that intensive training. If you are interested in this certification, and the field of penetration testing, this is an amazing experience. However, you will need a lot of determination. You will get frustrated many times, and be stuck on many servers in the lab. Not just an hour or two, but probably for many days. It is possible to get through all servers, well, most of them… The solution is often kind of simple enough when the attack vector is discovered. After the first few servers, it is more and more an addiction to find out a way to get into a new machine.

You can always ask for help on their IRC channel, but they will never give out the solution or simply respond to… “Try Harder!”. And, yes, they are serious about it. I was not sure to really understand the meaning of those two words at first. I never really ask questions in class since I prefer to figure out things on my own. Most of the time, it is simpler and resources are available online. With the OSCP, it was not the case at all. They will be happy to guide you, but their responses are still vague, even if you have solved part of the problem. You will need to be ready to learn by yourself. The PWK will not give you the solution, it is just some tools to help you after in the lab.

I did the exam in January 2016, more than 1 year ago, and I still remember the exam. Probably more difficult than most exams during my university or other certifications. When I see someone with a certification from Offensive-Security, I know that they have gone through a lot. I don’t think that I would become a pentester in my professional life. However, it is definitely an important asset to anyone working in information security. I would recommend it without hesitation.

Email Security and S/MIME

Email Security and S/MIME 150 150 Jean-Philippe Rivard Lauzier

smime_exampleAs I wrote in one of my previous posts, emails are not a secure way to communicate and exchange confidential information but this is not all. In information security, the CIA triad (confidentiality, integrity and availability) is often cited alongside with other key elements such as authenticity and non-repudiation. It is important to keep in mind these elements in order to protect our information. Unfortunately, email structure is not designed to provide these concepts out of the box.

Often, we do not ask questions about an email received from a known contact. Nevertheless, the sender email address is not enough to authenticate the correspondent and the email address could be easily spoofed by someone else. There are technical measures available to prevent these situations often used by spammers and mainly to produce a phishing attack. Problem solved? Not quite. These preventive measures have to be implemented by the domain owner but are not mandatory for each domain. Popular email services have configured these protections but it is not the case with email addresses from many Internet service providers or organizations. However, these antispam measures only validate that an email was sent from a legitimate server. Nothing about authenticating the real person behind the email address. A malicious person could create anytime an email address looking just like yours with a free email service and try to send emails on your behalf. So we never can’t be sure that our correspondent is really the person that we think he is. In many ways, an email could also be intercepted and the content read by someone else than the receiver. Therefore it could be altered between the sender and original receiver. Same without encryption, your receiver should have the assurance that all information stays valid during transmission.

In order to fix these problems, a user could obtain an S/MIME certificate that works under the principle of public and private keys. Other than S/MIME, PGP is also a free alternative. Most users think that these technologies are only for encryption between sender and receiver but this is not the only advantage. In fact, a user will have the possibility to digitally sign all outgoing emails with an installed certificate. The objectives are to maintain integrity, authenticity and non-repudiation. Unlike encryption, the receiver doesn’t need a certificate to verify the digital signature. The receiver will be able to consult your public certificate with information validated by a Certification Authority (CA). Depending on your CA choice, your identity will be verified according to your email address (Class 1) or a complete verification with official IDs such as a license driver or passport (Class 2). Personally, I use the “Secure Email Digital Certificates” from Comodo which is a class 2 verification and only 12$ per year. In my case, when I send an email to someone, this person can look at my certificate and confirm that my identity was verified by Comodo.

Of course, there are some drawbacks with the use of S/MIME certificates. Some free webmail services such as Outlook.com or Gmail doesn’t recognize the signature and will simply attach a “smime.p7s” file. This file could be confusing for some users. However, most recent email softwares have this functionality embedded by default.

Shared Passwords and Accountability

Shared Passwords and Accountability 150 150 Jean-Philippe Rivard Lauzier

loginboxAccountability is one principle often forgotten in daily business and many employees don’t take seriously their credentials e.g. usernames and passwords. What would be your reaction if an auditor or a person from a law enforcement agency would like to ask you some questions regarding a fraud in your organization? This is probably the worst case scenario but always possible if you share your information to someone else. Indeed. If you give your credentials to your colleagues and they use it to commit illegal activities, it’s your name that will show up in the transaction logs. This person can act on your behalf in the systems without any indices. Of course, you will be the first one to be investigated because at first, you look just as guilty. You will have to prove that you are not responsible for these transactions and this process could be an unnecessary stressful situation. The accountability’s goal is mainly to allow only one identity per transaction because an organization wants to know who do what and when in their systems. In most enterprises concerned about their accountability’s accesses, be sure that each action will be logged and kept a few months. Never forget that a username and password are like your identity in your organization. The same thing is applicable for other credentials such as an access card. Each time that a reader scans an access card, this event is logged with information about the owner, reader’s place, date and time whether it is really the right owner or not. The only way to reduce credentials shared among employees is awareness. In certain organizations where detection controls are correctly established, accesses will be temporarily suspended if unusual utilizations are detected. In order to reactivate accesses, the employee must have a meeting with organization’s stakeholders concerning this issue.

There are many reasons where you would be tempted to give one of your access to someone else or use common credentials. It’s true. This is often faster than creating a request to the IT department and waiting for a response during a few days. However, sharing accounts are never the solution whether you need new accesses for an ad hoc employee or an intern only for a short period of time. Someone in the organization has the responsibility to authorize new accesses for the resource requested and will verify if accesses should be granted or not. You are probably not the resource’s data owner and you can not make this judgement call. If you don’t have an access to a specific resource perhaps you are simply not authorized to access it and the use of other access will probably cause a security breach. In a large organization, accesses are often granted per role in the way that you will have your own credential but the same permissions that your colleagues at the same level. In an SMB where central identity management is not always in place such as an Active Directory, accesses are managed per application or system basis. This doesn’t mean to create general accesses per role like “administrator” or “staff“. Take the time to create an account for each employee because accountability is always important whatever the resource. Finally, don’t forget to review accesses created and their permissions. If an employee doesn’t need an access anymore, simply revoke it.

Téléphones intelligents et aperçu des notifications

Téléphones intelligents et aperçu des notifications 150 150 Jean-Philippe Rivard Lauzier

This post was published when this blog was only in French. At the moment, there is no translation available for this post.

Pour protéger ses informations, il ne s’agit pas toujours de mettre en place des solutions avancées. En fait, c’est souvent l’ensemble de plusieurs mesures de sécurité qui permettent de protéger globalement l’information. Le cas de cet article, les téléphones intelligents. Première mesure simple, c’est bien sûr de configurer un mot de passe pour éviter que n’importe qui puisse fouiller dans vos données. Par contre, il est très rare que les utilisateurs personnalisent l’affichage des notifications sur l’écran verrouillé. Ces notifications peuvent sembler bien banales, mais au contraire, pourraient afficher plusieurs informations intéressantes. En plus d’indiquer l’expéditeur, les notifications affichent souvent un aperçu des messages reçus et c’est surtout à ce niveau, à mon avis, qu’il faut faire attention. Dernièrement, j’ai publié l’article “Principe de base de l’authentification à deux facteurs” et une méthode pour recevoir un code temporaire est souvent par messagerie texte (SMS). Qu’est-ce qui arrive lorsque l’aperçu des notifications est activé? Le code temporaire est tout simplement affiché sur l’écran verrouillé du téléphone intelligent. Seulement quelques minutes loin de votre téléphone sont nécessaires pour qu’une personne profite de l’occasion. Autre situation. On a souvent une tendance à laisser notre téléphone un peu à la vue de tous que ce soit chez un client, au restaurant ou même sur notre propre bureau. Donc, sans laisser votre téléphone, il est facile pour une autre personne de voir vos notifications reçues sans stratagème complexe. En exemple, vous recevez un courriel de votre comptable. Les premiers caractères de l’aperçu pourraient très bien mentionner un chiffre important ou encore, une transaction en cours que vous voulez garder privée. Un rappel provenant de votre agenda concernant un rendez-vous? Information intéressante pour connaitre vos habitudes. Même l’affichage de l’expéditeur pourrait être dans certains cas une information pertinente. Vous recevez un appel d’un bureau d’avocats spécialisés en fusions et acquisitions d’entreprises? Vous êtes surement en train de travailler sur un dossier important. Il ne faut pas oublier que c’est l’ensemble des informations acquises sur une personne provenant de plusieurs sources qui permettront de connaitre ses habitudes et activités. Dans la plupart des cas, une simple notification indiquant la réception de nouveaux messages ou autres est amplement suffisante et protège vos informations. De toute façon, il est nécessaire de déverrouiller l’appareil afin de consulter au complet la nouvelle communication et pour y répondre…

Les courriels et la sécurité : quelques notions à savoir

Les courriels et la sécurité : quelques notions à savoir 150 150 Jean-Philippe Rivard Lauzier

This post was published when this blog was only in French. At the moment, there is no translation available for this post.

Que ce soit dans nos vies personnelles ou professionnelles, la gestion des courriels est bien souvent un des premiers services maitrisés sur un ordinateur. Malgré tout, peu de personnes prennent le temps d’analyser le chemin parcouru par un message de l’expéditeur jusqu’au destinataire. Il est important de porter une attention particulière aux informations transmises par courrier électronique et d’évaluer les risques d’utiliser cette méthode de communication lors de certaines situations. Plusieurs utilisateurs pourraient être étonnés de constater que la transmission des courriels n’est aucunement sécurisée; le contenu brut des courriels est disponible à une tierce partie à un moment ou un autre. Toutefois, j’ai souvent l’occasion d’être témoin de l’utilisation téméraire de certains utilisateurs qui indiquent des numéros de carte de crédit, numéros d’assurance sociale, informations bancaires, etc.

En version simplifiée, il est possible de déterminer 3 étapes lors de la transmission d’un courriel:

De votre ordinateur au serveur de courriels : Vous aimez travailler dans un café, bibliothèque ou à l’université? Les informations transmises sur un réseau public vous permettant d’accéder à Internet sont vulnérables et pourraient être facilement interceptées si vous ne prenez pas les précautions nécessaires. En fait, il est tout simplement très important d’utiliser le protocole TLS/SSL avec toutes les connexions vers un serveur; TLS/SSL permet d’obtenir une connexion sécurisée entre votre ordinateur et le serveur de courriels. Vous utilisez déjà ce protocole au quotidien; c’est le fameux HTTPS que vous utilisez pour vous connecter à plusieurs sites, dont celui-ci. Les services populaires tels que Gmail, Outlook ou Yahoo offrent déjà depuis plusieurs années la possibilité d’utiliser une connexion sécurisée pour consulter vos courriels en ligne. Toutefois, cette option n’est pas toujours activée par défaut et vous devez vérifier vos paramètres; vous pouvez aussi essayer tout simplement d’ajouter le HTTPS. Si vous utilisez toujours un logiciel de courriels tels que Thunderbird ou Outlook pour récupérer vos courriels, vous n’êtes pas forcément protégés. Ces logiciels doivent également se connecter à un serveur de courriels pour récupérer et/ou recevoir vos messages. D’autres protocoles sont utilisés (IMAP/POP3/SMTP), mais il est tout aussi important d’utiliser une connexion sécurisée avec TLS/SSL. Il ne faut pas oublier que TLS/SSL ne permet aucunement le cryptage de vos messages jusqu’à votre destinataire, mais bien seulement une connexion sécurisée entre votre ordinateur et votre serveur. Advenant le cas où vous avez accès à un VPN, c’est bien sûr la meilleure des solutions pour sécuriser l’échange de vos données de votre ordinateur à un serveur externe via un réseau public, mais un peu plus compliqué.

Transmission de votre courriel entre serveurs : Votre message sera transmis directement sur Internet et sera traité par plusieurs réseaux, serveurs, routeurs, fournisseurs d’accès Internet, etc. avant d’arriver au serveur de courriels de votre destinataire. Il est tout de même moins évident d’intercepter un courriel sur le grand réseau Internet, mais votre message pourrait très bien être redirigé vers un autre serveur en utilisant un des nombreux routeurs ou encore, peu importe les serveurs utilisés, un administrateur d’un de ces serveurs pourrait facilement récupérer les messages reçus et/ou envoyés. Également, lorsqu’il est question de l’interception de nos informations par plusieurs gouvernements, c’est justement lors de la transmission, par exemple, de vos messages entre serveurs directement sur Internet. Il ne faut pas oublier que le réseau Internet est immense et c’est une interconnexion de plusieurs réseaux qui permet à nos communications d’être partagées partout dans le monde en quelques secondes; plusieurs réseaux pour lesquels nous n’avons aucun contrôle.

Du serveur de destination vers l’ordinateur de votre destinataire : Malheureusement, ici, il est impossible de contrôler les actions de votre destinataire; celui-ci devrait également utiliser les bonnes pratiques de base avec TLS/SSL.

Pretty Good Privacy (PGP)
La seule et unique méthode pour vous assurer que vos courriels ne pourront pas être lus, même dans l’éventualité d’une interception, est l’utilisation d’une solution permettant le cryptage. Une possibilité est PGP, soit une technologie qui existe depuis plus de 20 ans et qui permet de crypter rapidement vos messages. PGP sera le sujet d’un prochain article, mais vous pouvez l’essayer facilement avec l’extension Chrome Mailvelope. Pour partager votre clé publique, je vous suggère d’utiliser le service PGPserver.com.

En résumé
Il ne faut pas devenir paranoïaque, mais il faut savoir partager l’information intelligemment par courriel et connaitre les risques. Personnellement, j’utilise toujours une connexion sécurisée sur un réseau local public et je n’envoie aucune information confidentielle ce qui correspond surement à au moins 90% de mes courriels. Pour l’autre 10%, j’utilise les possibilités de cryptage avec PGP lorsque possible ou j’utilise tout simplement un autre moyen de communication. Vous savez… les télécopieurs (les bons vieux “fax”) restent toujours populaires dans les entreprises et organisations financières; tout simplement parce que la transmission d’un fax est beaucoup plus sécuritaire qu’un courriel!

Banques canadiennes et authentification multifacteurs

Banques canadiennes et authentification multifacteurs 150 150 Jean-Philippe Rivard Lauzier

This post was published when this blog was only in French. At the moment, there is no translation available for this post.

Suite à mon dernier article concernant l’authentification à deux facteurs, j’ai contacté les principales banques canadiennes pour vérifier s’il était possible d’activer une solution d’authentification à multifacteurs avec leurs services bancaires en ligne. Après tout, s’il est maintenant possible d’augmenter considérablement la protection de nos services en ligne tels que Google et Facebook; pourquoi pas notre accès utilisé quotidiennement où les répercussions monétaires pourraient être majeures? La réponse est plutôt unanime: aucune solution n’est disponible. Rien! Je dois avouer que j’espérais au moins une solution disponible pour certains types de comptes comme ceux pour les entreprises. Toutefois, je n’avais aucune attente pour les particuliers et j’aurais été agréablement surpris si une option avait été disponible. Néanmoins, il reste que plusieurs banques américaines ont déployé des solutions à multifacteurs depuis déjà plusieurs années selon les recommandations du Federal Financial Institutions Examination Council (FFIEC).

Évidemment, tous les représentants des banques m’ont gentiment rassuré sur la sécurité des infrastructures et des mesures en place lors de l’authentification pour éviter les fraudes. Par contre, à mon avis, je crois que nous sommes rendus à une autre étape en ce qui concerne les infrastructures bancaires et ça devrait être tout simplement un acquis; c’est la moindre des choses que les banques mettent les efforts nécessaires dans la protection des informations. En fait, je demande la même chose de la part des autres fournisseurs de services Internet qui doivent suivre différentes normes. Il ne faut pas oublier que la majorité des mesures de sécurité appliquées par les banques sont maintenant utilisées par les sites populaires.

Questions secrètes
Plusieurs organisations financières demandent la réponse à une question secrète préalablement déterminée afin de compléter une connexion. Une couche de sécurité supplémentaire et souvent une solution publicisée comme étant l’authentification à deux facteurs. En rappel:

By definition true multifactor authentication requires the use of solutions from two or more of the three categories of factors. Using multiple solutions from the same category at different points in the process may be part of a layered security or other compensating control approach, but it would not constitute multifactor authentication. – FAQ on FFIEC Guidance on Authentication in an Internet Banking Environment

La recherche d’une réponse à une question représente une action du premier facteur, soit celui des connaissances. Lors de l’authentification, la demande d’une réponse secrète ainsi qu’un mot de passe constituent une authentification forte, mais unifacteur. De plus, les questions demandées sont souvent en lien avec des informations qui sont relativement simples à obtenir (nom de la mère, première voiture, etc.). Les guichets automatiques sont un exemple réel d’une authentification à deux facteurs: une carte (quelque chose que l’utilisateur possède) et un NIP (quelque chose que l’utilisateur connait) sont nécessaires pour effectuer des transactions.

Image et/ou phrase personnelle
La sélection d’une image et/ou une phrase personnelle qui seront affichées lors du processus de connexion est une autre protection possible. Si un client ne voit pas ces informations lors d’une connexion, il n’est pas sur le site de l’institution bancaire et surement en présence d’un site frauduleux. Cependant, le but principal de cette protection est de rassurer l’utilisateur qu’il est bien en présence du site officiel de l’organisation et non, un site frauduleux.

Localisation par l’adresse IP
Habituellement, les institutions financières vérifient la provenance de la requête via l’adresse IP lors d’une connexion. Si la requête provient d’une adresse IP inconnue et/ou d’un nouvel ordinateur (vérification des cookies), le site demandera une information supplémentaire, telle qu’une question, pour confirmer l’identité de l’utilisateur. Avec l’adresse IP, il est également possible de déterminer la région… Si le système détecte une tentative de connexion provenant d’une adresse de la Chine, une alerte sera fort probablement envoyée… Néanmoins, l’utilisation des téléphones mobiles pour accéder à Internet complexifie cette mesure; le réseau de l’adresse IP appartient au fournisseur et sera fort probablement enregistré à son siège social (ex.: Rogers à Toronto même si client à Montréal).

Il ne faut pas oublier que la majorité des failles de sécurité proviennent d’une erreur provenant de… l’utilisateur. Tous les mécanismes déployés par les institutions bancaires offrent certainement une authentification forte afin de protéger ses clients. Par contre, ces protections préventives n’empêchent malheureusement pas les utilisateurs de ne pas se préoccuper des bonnes pratiques en sécurité pour éviter de divulguer trop rapidement ses informations. En tant qu’organisation, il faut essayer de corriger les erreurs d’inattentions des utilisateurs (sites frauduleux, mots de passe simples, mots de passe écrits sur papier, etc.) tout en gardant un processus simple.

Principe de base de l’authentification à deux facteurs

Principe de base de l’authentification à deux facteurs 150 150 Jean-Philippe Rivard Lauzier

This post was published when this blog was only in French. At the moment, there is no translation available for this post.

Tout d’abord, il est important de mentionner que l’authentification à deux facteurs n’est aucunement un nouveau concept. Auparavant, les possibilités étaient simplement réservées aux grandes entreprises notamment avec la solution SecurID de RSA Security pour accéder à différents systèmes d’information. Par contre, en 2013, les entreprises peuvent implanter de plus en plus facilement une solution d’authentification forte surtout grâce aux possibilités des téléphones intelligents; ceux-ci étant de plus en plus disponibles à tous.

Il existe trois principaux types de facteurs permettant l’authentification:

  1. Connaissances : quelque chose que l’utilisateur connait » : un mot de passe ou le fait de répéter un modèle;
  2. Matériels : quelque chose que l’utilisateur possède » : téléphone mobile, jeton ou carte d’accès;
  3. Biométriques : quelque chose que l’utilisateur est » : empreintes digitales ou rétiniennes.Afin d’obtenir une authentification à multi-facteurs, il est nécessaire de sélectionner des solutions parmi au moins deux types de facteurs. Par exemple, une organisation qui demanderait à ses utilisateurs de s’authentifier avec un mot de passe et de reconstituer un modèle serait, certes, une authentification forte, mais aucunement à multi-facteurs.

En ce qui concerne la popularité actuelle sur le web autour du terme « authentification à deux facteurs », il faut surtout remercier les réseaux sociaux et l’augmentation importante des usurpations d’identité. Pour faire face à cette problématique, les entreprises telles que Google et Facebook offrent la possibilité à ses utilisateurs d’activer une protection supplémentaire. Eh oui, l’authentification à deux facteurs! L’utilisateur garde toujours son mot de passe pour respecter le premier type des facteurs et utilise le téléphone mobile pour implanter le deuxième type de facteurs.

En fait, le téléphone mobile est seulement utilisé pour obtenir et/ou générer un code temporaire à usage unique. Habituellement, les services en ligne vont simplement envoyer un SMS avec un code numérique à indiquer lors du processus de connexion. L’autre méthode consiste à générer un code via une application installée sur votre téléphone intelligent. Avec cette mesure de sécurité supplémentaire, même si votre mot de passe est découvert par une personne tierce; elle ne peut pas se connecter à votre compte, car elle n’a aucun moyen de déterminer le code numérique temporaire. Donc, si une personne souhaite réellement obtenir un accès à votre compte, il faudrait qu’elle découvre votre mot de passe et un accès à votre téléphone mobile.

Par défaut, cette option est désactivée dans les comptes de services en ligne. Néanmoins, je vous recommande fortement de l’activer dès que possible; le processus est simple et nous sommes jamais trop prudents. Votre identité virtuelle est probablement consultée plus souvent que votre vie réelle / en personne. Toutefois, il est important de toujours rester vigilant: vous n’êtes pas à l’abri de plusieurs autres menaces telles que l’ingénierie sociale ou l’hameçonnage.

Voici quelques sites où vous pourriez activer l’authentification à deux facteurs:

Après les sites populaires, il serait intéressant de voir les banques canadiennes offrir les mêmes stratégies de sécurité pour les clients suite à l’intérêt des consommateurs envers l’authentification multi-facteurs, mais bon, je crois que nous pouvons attendre encore longtemps…!