Vous en faites un usage quotidien avec l’authentification multifactorielle et autres méthodes de vérification. Il s’agit de ces codes qui confirment votre identité pour accéder à un compte. Les mots de passe à usage unique, ou codes OTP, ont longtemps été perçus comme une solution optimale pour sécuriser nos comptes en ligne. Cependant, face à des cybermenaces de plus en plus élaborées, ils révèlent aujourd’hui leurs faiblesses, à tel point que l’Inde recommande de les abandonner. Heureusement, des options existent pour renforcer l’authentification sans nuire à l’expérience utilisateur.
Que signifie exactement les codes OTP ?
Les mots de passe à usage unique, ou One-Time Passwords, sont pratiquement omniprésents dans notre vie numérique actuelle. Ils sécurisent nos accès à diverses plateformes en ligne, comme les banques, les réseaux sociaux, les sites de commerce en ligne, les assurances santé et bien d’autres.
Ces codes sont générés automatiquement et peuvent être composés de chiffres et/ou de lettres. Comme leur nom l’indique, un mot de passe à usage unique est valable pour une seule session de connexion. À l’origine, ils avaient pour but de fournir une authentification basée sur le risque. Lorsqu’une tentative de connexion semblait risquée, un OTP venait renforcer les identifiants habituels pour améliorer la sécurité. Cependant, cette méthode pratique présente aussi des failles.
Les OTP face aux cybermenaces contemporaines
Les OTP sont difficiles à deviner, mais cela ne les empêche pas d’être très sensibles à l’ingénierie sociale. En effet, les cybercriminels ne cessent de trouver de nouvelles techniques pour contourner la barrière des mots de passe à usage unique.
Parmi ces techniques de cyberattaque, le smishing (hameçonnage par SMS) et le phishing (hameçonnage par e-mail) sont les plus courants. Les pirates envoient des messages qui imitent ceux des banques de leurs victimes. Ces faux messages demandent aux utilisateurs de partager leurs codes OTP sous de faux prétextes. Certains logiciels malveillants sophistiqués parviennent même à copier les communications officielles, volant ainsi des données sensibles.
Le pire dans tout cela, c’est que l’intelligence artificielle amplifie ces attaques, les rendant plus convaincantes et difficiles à détecter. Avec l’automatisation via l’intelligence artificielle, les attaques de phishing produisent des messages très réalistes, quasi identiques aux vraies notifications des banques. Cette sophistication trompe plus facilement les utilisateurs pour qu’ils partagent leurs codes d’authentification.
De plus, l’intelligence artificielle permet aux arnaqueurs d’intercepter les communications entre l’utilisateur et le fournisseur d’OTP. Cette méthode est appelée « attaque de l’homme du milieu ». Elle permet aux cybercriminels de détourner et de voler les mots de passe OTP lors de leur transmission.
Lorsqu’un escroc obtient votre code OTP, les conséquences peuvent être désastreuses. Pour un particulier, cela peut signifier la prise de contrôle totale de votre compte bancaire, allant jusqu’au vidage de votre solde. Même les transactions en ligne sont à risque. Personne n’est épargné, même les grandes enseignes comme Amazon, qui divisent ces codes pour sécuriser des livraisons coûteuses. Il semblerait que récemment, des cybercriminels ont réussi à voler des colis en contournant la protection par OTP.
Vers une authentification plus sûre et équilibrée
Face aux nombreuses menaces pesant sur les OTP, les experts en cybersécurité sont formels. Ces codes ne sont plus suffisants pour nous protéger contre la cybercriminalité. C’est pour cela que la Reserve Bank of India (RBI) a demandé aux institutions financières d’abandonner les mots de passe à usage unique. Cette méthode est devenue trop vulnérable.
Pour davantage de sécurité, la solution la plus efficace est d’utiliser différentes méthodes d’authentification combinées. Plutôt que de se reposer uniquement sur les OTP, il est conseillé de vérifier l’identité des utilisateurs par des méthodes d’authentification multifactorielles, connue sous le nom de MFA. L’intégration des biométries comportementales semble être une piste prometteuse. En surveillant les interactions en temps réel, on peut détecter des activités suspectes pouvant indiquer une intrusion.
D’autres facteurs tels que la possession d’un objet physique ou la saisie d’un code PIN peuvent également renforcer la sécurité des transactions. Il est néanmoins crucial de trouver un juste milieu entre une sécurité accrue et une facilité d’accès pour les utilisateurs. Une étude de Ping a révélé que 66 % des Britanniques avaient déjà renoncé à des services en ligne, jugeant le processus de connexion trop compliqué.
L’innovation est essentielle. En restant attentif aux nouvelles technologies et en collaborant avec des experts, il est possible de développer les solutions d’authentification de demain. Pour l’instant, il n’existe pas de solution parfaite. La meilleure approche consiste à combiner plusieurs méthodes de manière intelligente et flexible. Par exemple, on pourrait envisager de combiner la biométrie comportementale avec d’autres systèmes d’authentification et l’intelligence artificielle.