L’insuffisance de l’identité : vers une sécurité centrée sur le terminal

La cybersécurité moderne ne peut plus reposer uniquement sur la vérification de l’identité (IAM). Face à l’essor des techniques de contournement du MFA et à la prolifération des environnements de travail hybrides, l’authentification seule ne garantit plus l’intégrité d’une session.

Points clés

• Obsolescence du modèle “Identité unique” : L’authentification est souvent traitée comme une vérification ponctuelle, créant une vulnérabilité où le jeton de session est valide indépendamment de la machine utilisée.
• Le leurre du MFA : Les kits de phishing actuels permettent aux attaquants d’intercepter les jetons de session (cookies) après une authentification légitime, rendant le MFA inefficace.
• L’angle mort post-authentification : Une fois connecté, le niveau de confiance est rarement réévalué. Si la posture de sécurité d’un terminal se dégrade en cours de session, l’accès reste pourtant maintenu.
• Nécessité de la continuité : La vérification doit être dynamique et persistante pour détecter les changements d’état du terminal en temps réel.

Vulnérabilités

• Vol de jetons de session (Session Hijacking) : Les attaquants proxyfient les portails de connexion pour capturer le cookie de session, contournant ainsi le MFA.
• Dérive de la posture (Configuration Drift) : Désactivation de la protection antivirus, absence de correctifs ou chiffrement désactivé sur un terminal, rendant celui-ci compromis sans que l’identité ne soit remise en cause.
• Absence de vérification des terminaux non gérés : Les accès via des appareils personnels ou non conformes héritent d’une confiance implicite dès lors que les identifiants sont corrects.
• Note : Bien que l’article mentionne le NIST SP 800-207, aucune CVE spécifique n’est associée, car le problème réside dans la conception architecturale et non dans une faille logicielle isolée.

Recommandations

1. Vérification continue : Maintenir une surveillance active de la santé du terminal (chiffrement, antivirus, patchs) tout au long de la session, et non uniquement lors du login.
2. Lier l’accès au matériel approuvé : Restreindre l’accès aux appareils répertoriés et conformes, en rejetant les connexions provenant d’équipements inconnus, même avec des identifiants valides.
3. Appliquer une politique proportionnelle : Mettre en place des mesures graduelles (réduction des privilèges, blocage temporaire, demande de remédiation) plutôt que des blocages brutaux.
4. Remédiation en libre-service : Guider les utilisateurs pour corriger eux-mêmes les problèmes de sécurité de leur terminal afin de restaurer leur accès rapidement.

Source