Les clés physiques proposent la meilleure sécurité des procédures d'authentification et sont à l'abri du phishing. Toutefois, nos clients nous demandent des conseils sur la procédure à suivre pour les mettre en œuvre et les clés de sécurité qu'ils devraient acheter. Nous lançons donc aujourd'hui un programme exclusif aux clients Cloudflare qui rend les clés physiques plus accessibles et économiques que jamais. Ce programme est rendu possible par l'établissement d'une nouvelle collaboration avec Yubico, le premier fournisseur de clés de sécurité physiques du secteur, et assure aux clients Cloudflare une tarification « bonne pour l'Internet ».
Désormais disponibles pour n'importe lequel de nos clients, les Security Keys de Yubico s'intègrent facilement au service Zero Trust de Cloudflare. Ce service est ouvert aux organisations de toutes les tailles, d'une famille cherchant à protéger un réseau domestique aux plus grands employeurs du monde. N'importe quel client Cloudflare peut se connecter au tableau de bord Cloudflare dès aujourd'hui et commander des clés de sécurité physiques, à partir de 10 USD la clé.
Grâce à l'utilisation couplée de notre solution Cloudflare Zero Trust et des clés de sécurité physiques, nous avons, au cours du mois de juillet 2022, prévenu une violation résultant d'une attaque de phishing véhiculée par SMS qui a ciblé plus de 130 entreprises. Ces clés étaient des YubiKeys et cette nouvelle collaboration avec Yubico, le fabricant des YubiKeys, permet d'éliminer les obstacles rencontrés par les entreprises de toutes tailles à l'égard du déploiement de clés physiques.
Pourquoi des clés de sécurité physiques ?
Les entreprises doivent s'assurer que seuls les utilisateurs autorisés se connectent à leurs ressources sensibles, que ces destinations soient des applications web auto-hébergées, des outils SaaS ou des services reposant sur des connexions TCP et des flux UDP arbitraires. Traditionnellement, les utilisateurs prouvaient leur identité à l'aide d'un nom d'utilisateur et d'un mot de passe, mais les attaques par phishing peuvent tromper ces derniers et dérober ces deux informations.
En réponse, les équipes ont commencé à déployer des outils d'authentification multifacteurs (MultiFactor Authentication, MFA) afin d'ajouter une couche supplémentaire de sécurité. Les utilisateurs devaient alors saisir leur nom d'utilisateur, leur mot de passe et une autre valeur. Un utilisateur pourrait, par exemple, exécuter une application générant des nombres aléatoires sur son appareil ou inscrire son numéro de téléphone auprès d'un service afin de recevoir un code via SMS. Ces options MFA permettent effectivement d'accroître la sécurité, mais elles restent vulnérables aux attaques par phishing. Les sites web de phishing ont évolué et peuvent inviter l'utilisateur à saisir leurs codes MFA. Les pirates peuvent également dérober le numéro de téléphone de l'utilisateur au cours d'une attaque par échange de SIM.
Les clés de sécurité physiques proposent aux entreprises une option MFA invulnérable au phishing. Ces clés s'appuient sur la norme WebAuthN pour présenter un certificat au service d'authentification afin de valider la clé lors d'un échange sécurisé et chiffré, soit un élément qu'un site de phishing ne peut obtenir et usurper par la suite.
Les utilisateurs inscrivent une ou plusieurs clés auprès de leur fournisseur d'identité et, en plus de présenter leur nom d'utilisateur et leur mot de passe, se voient proposer par le fournisseur une option MFA susceptible d'inclure la clé physique. Chaque membre de l'équipe profite d'une procédure moins abrasive en faisant appel à la clé lorsqu'il se connecte plutôt que de perdre du temps à obtenir et saisir un code dans l'application. Les équipes de sécurité peuvent alors mieux dormir la nuit en sachant que leurs services sont protégés contre le phishing.
Étendre les fonctionnalités des clés de sécurité physiques grâce aux produits Zero Trust de Cloudflare
Si la plupart des fournisseurs d'identité permettent désormais aux utilisateurs d'enregistrer des clés physiques en tant qu'option MFA, les administrateurs ne disposent toujours pas du contrôle nécessaire pour exiger l'utilisation de ces clés. S'ils ne peuvent présenter la clé de sécurité elle-même, les utilisateurs individuels peuvent s'en remettre à une option moins sécurisée, comme un code basé sur une application.
Nous avons rencontré ce cas de figure lorsque nous avons déployé pour la première fois les clés de sécurité chez Cloudflare. Si les utilisateurs sont en mesure de recourir à une option moins sécurisée et plus facilement vulnérable au phishing, tel qu'un code communiqué par une application, les acteurs malveillants pourraient faire de même. Nous utilisons donc en interne, nous et plus de 10 000 autres entreprises, les produits Zero Trust de Cloudflare, afin de sécuriser, en partie, la manière dont les utilisateurs se connectent aux ressources et aux outils dont ils ont besoin.
Lorsqu'un utilisateur a besoin de joindre une application ou un service interne, le réseau de Cloudflare évalue chaque requête ou connexion à la recherche de divers signaux, comme l'identité, le niveau de sécurité de l'appareil et le pays. Les administrateurs peuvent également concevoir des règles précises qui ne s'appliquent qu'à certaines destinations. Un outil d'administration interne doté de la capacité de consulter les données d'un client pourrait nécessiter un appareil d'entreprise sain, se connectant depuis un certain pays et appartenant à un utilisateur figurant dans un groupe particulier chez le fournisseur d'identité. Parallèlement, une splash page marketing partagée à des fins de retours pourrait ne nécessiter que l'identité. Si nous pouvions obtenir la présence d'une clé de sécurité, contrairement à une option MFA différente, moins sécurisée, dans le cadre de l'authentification de l'utilisateur, nous pourrions alors également intégrer ce signal à la procédure.
Il y a plusieurs années, des fournisseurs d'identité, des entreprises d'équipements physiques et des prestataires de sécurité se sont associés pour développer une nouvelle norme, l'Authentication Method Reference (AMR, référence de méthode d'authentification), afin de partager très exactement ce type de données. Grâce à l'AMR, les fournisseurs d'identité peuvent partager plusieurs informations sur la tentative de connexion, notamment le type d'option MFA utilisé. Peu après cette annonce, nous avons communiqué sur la capacité de concevoir des règles au sein de la plateforme Zero Trust de Cloudflare afin de rechercher et d'appliquer ce signal. Désormais, les équipes de toutes les tailles peuvent développer des règles basées sur les ressources, conçues pour s'assurer que les membres de l'équipe se servent toujours de leur clé physique.
Quels sont les obstacles liés au déploiement des clés de sécurité physiques ?
La sécurité établie par le fait d'exiger un élément que vous contrôlez physiquement constitue la raison même pour laquelle le déploiement de clés physiques ajoute une couche de complexité. Vous devez trouver un moyen de placer cette clé entre les mains de vos utilisateurs, à l'échelle de votre entreprise, tout en vous assurant que chaque membre de votre équipe peut l'enregistrer auprès de l'organisme adéquat.
Dans chaque cas, ce déploiement commence par l'achat de clés de sécurité physiques. Or, ces clés présentent un coût bien réel par rapport aux codes basés sur applications, qui peuvent être gratuits. Pour certaines entreprises, ce coût constitue un élément dissuasif et elles restent donc moins sécurisées du fait de cet obstacle. Toutefois, il reste important de noter que toutes les options MFA ne se valent pas.
Pour les autres équipes, en particulier celles qui sont partiellement ou totalement en télétravail, la fourniture de ces clés à des utilisateurs finaux qui ne poseront jamais un pied au sein d'un bureau physique peut représenter un véritable défi pour les services informatiques. Lorsque nous avons déployé les clés physiques pour la première fois chez Cloudflare, nous l'avons fait lors d'un séminaire rassemblant l'intégralité de l'entreprise. De nombreuses entreprises n'ont plus la possibilité de transmettre physiquement les clés lors d'un événement hébergé dans un lieu unique, voire dans leurs bureaux à travers le monde.
Collaboration avec Yubico
La Semaine anniversaire chez Cloudflare s'est toujours articulée autour du fait d'abattre les barrières et les obstacles qui empêchent les utilisateurs et les équipes d'être plus sécurisées ou plus rapides sur Internet. Dans le cadre de cet objectif, nous nous sommes associés à Yubico pour continuer à éliminer les sources de frictions liées à l'adoption d'un modèle de sécurité basé sur des clés physiques.
- L'offre est ouverte à tous les clients Cloudflare. Ces derniers peuvent commander les Security Keys de Yubico directement dans le tableau de bord Cloudflare.
- La société Yubico propose ses Security Keys à une tarification « bonne pour l'Internet », soit à partir de 10 USD la clé. Elle expédiera directement les clés aux clients.
- Les documents pour développeurs et les organisations de soutien de Cloudflare et de Yubico guideront les clients dans le processus de configuration des clés et d'intégration de ces dernières à leurs fournisseurs d'identité, ainsi qu'au service Zero Trust de Cloudflare.
Premiers pas
Vous pouvez demander vos propres clés physiques en vous rendant dans le tableau de bord et en suivant la procédure de notification dans le bandeau. Yubico vous répondra directement par e-mail à l'adresse de l'administrateur que vous avez renseignée dans votre compte Cloudflare. Pour les entreprises plus vastes qui cherchent à déployer des YubiKeys à leur échelle, vous pouvez explorer l'offre d'abonnement YubiEnterprise de Yubico et ainsi bénéficier d'une remise de 50 % sur la première année d'un plan d'abonnement de trois ans minimum.
Vous disposez déjà de clés de sécurité physiques ? Si vous disposez de clés de sécurité physiques, vous pouvez commencer à développer des règles dans Cloudflare Access afin de faire respecter leur utilisation en les enregistrant auprès d'un fournisseur d'identité prenant en charge l'AMR, comme Okta ou Azure AD.
Enfin, si vous êtes intéressés par notre propre parcours concernant le déploiement des Yubikeys en même temps que notre produit Zero Trust, consultez cet article de blog rédigé par notre Director of Security, Evan Johnson, qui récapitule l'expérience de Cloudflare et les étapes que nous recommandons, issues des leçons que nous avons apprises.