L’autorité fédérale allemande de cybersécurité exhorte les principaux fournisseurs de messagerie web à activer l’authentification à deux facteurs par défaut. Les recommandations proviennent du Bundesamt für Sicherheit in der Informationstechnik, qui a publié un nouveau livre blanc décrivant les lacunes étendues dans la protection des comptes consommateurs. Selon l’agence, de nombreuses fonctionnalités d’authentification ne sont visibles qu’après avoir navigué dans plusieurs menus, et la plupart restent désactivées à moins que les utilisateurs ne les activent activement.
Des données d’enquête récentes citées par le BSI montrent qu’environ 34 % seulement des utilisateurs ont une authentification à deux facteurs activée sur leur compte email. L’agence considère ce chiffre comme trop bas compte tenu de la fréquence des incidents de prise de contrôle de comptes liés au phishing, à la réutilisation de crédences et à des mots de passe faibles. Les comptes webmail restent une cible principale pour les attaquants car ils servent souvent de canaux de récupération pour un large éventail de services en ligne.
Recommandations BSI pour la protection par défaut
Dans le livre blanc, la BSI recommande aux fournisseurs d’activer par défaut des méthodes d’authentification fortes plutôt que de s’appuyer sur l’action de l’utilisateur. Les méthodes suggérées incluent l’authentification à deux facteurs, les clés d’accès et les options de connexion biométriques. Les fournisseurs sont également invités à s’assurer que les règles de mot de passe respectent les normes de sécurité actuelles et que les mécanismes de récupération résistent aux tentatives des attaquants de manipuler les informations stockées. L’agence souligne la nécessité d’instructions claires, d’étapes prévisibles et de multiples canaux de récupération.
Le BSI a noté que les processus de récupération échouent fréquemment lorsque les attaquants modifient les coordonnées ou les informations liées. Pour faire face à ce risque, l’agence conseille aux prestataires de concevoir des flux de récupération qui vérifient l’identité par des signaux fiables et ne se fient pas uniquement à des informations de contact obsolètes. L’objectif est d’éviter à la fois le verrouillage des comptes et l’accès non autorisé.
Caroline Krohn, responsable de la protection numérique des consommateurs à la BSI, a déclaré que les systèmes de messagerie sécurisés sont fondamentaux pour la participation numérique. Elle a déclaré que les mesures de protection ne sont efficaces que lorsqu’elles sont compréhensibles, interopérables et adaptées à un usage quotidien.
L’appel à des protections contre le défaut s’inscrit dans les efforts plus larges en Allemagne pour renforcer les exigences en cybersécurité dans l’ensemble des services numériques. Le BSI a noté que les dispositifs de sécurité visibles contribuent à instaurer la confiance et à soutenir ce que les responsables décrivent comme la souveraineté numérique. Les chercheurs en sécurité ont indiqué que les comptes email compromis permettent aux attaquants de lancer d’autres intrusions en réinitialisant les mots de passe, en répandant le spam ou en réutilisant les identifiants capturés sur plusieurs plateformes.
L’agence a reconnu que l’activation par défaut d’une authentification forte pourrait poser des défis aux prestataires qui doivent équilibrer sécurité et facilité d’utilisation. Certains utilisateurs pourraient considérer les étapes de connexion supplémentaires comme un inconvénient. Les analystes de la sécurité soutiennent que ces préoccupations sont compensées par les avantages d’augmenter la protection de base pour tous les utilisateurs. Les attaquants continuent de cibler les comptes email car ils restent des passerelles précieuses vers les données personnelles et financières.
Les consommateurs sont encouragés à activer l’authentification à deux facteurs sur tous les comptes importants, avant même que les fournisseurs n’ajustent leurs paramètres par défaut. Il est également conseillé aux utilisateurs de vérifier que les coordonnées de récupération sont exactes, de surveiller les comptes pour des règles de transfert inhabituelles et d’éviter de se fier uniquement aux codes SMS, qui peuvent être interceptés.
Les recommandations de la BSI serviront de point de référence pour les discussions en cours sur les dispositifs de sécurité obligatoires en Europe. La façon dont les fournisseurs réagiront déterminera si l’authentification par défaut à deux facteurs deviendra une attente standard pour les services de messagerie dans la région.