« L'authentification à facteur unique est une méthode d'authentification courante à faible niveau de sécurité. Elle ne requiert que la correspondance d'un seul facteur - tel qu'un mot de passe - avec un nom d'utilisateur pour accéder à un système. Bien que ces mauvaises pratiques doivent être évitées par toutes les organisations, elles sont particulièrement dangereuses dans les organisations qui soutiennent les infrastructures critiques ou les fonctions critiques nationales », souligne l’annonce publiée par de la CISA.

L'agence fédérale a ajouté que les organisations devraient plutôt se référer à son guide sur la mise en place de méthodes d'authentification plus fortes et plus efficaces. Le guide de renforcement de la sécurité de la CISA, axé sur la mise en œuvre de méthodes d’authentification fortes, souligne les risques liés à l'utilisation de méthodes traditionnelles d'authentification unique, telles que l'utilisation d'un nom d'utilisateur combiné à un mot de passe.

Les attaquants peuvent voler les informations d'accès des utilisateurs par le biais de diverses tactiques éprouvées, allant de l’hameçonnage et des attaques d'ingénierie sociale à l'utilisation d'attaques par force brute et de logiciels malveillants d'enregistrement des touches. Une fois qu'ils ont mis la main sur les noms d'utilisateur et les mots de passe, il n'est pas très difficile de pénétrer dans un système. Le CISA recommande donc de passer à l'authentification multifactorielle (AMF), qui est une option bien plus sûre puisqu'elle ajoute une couche supplémentaire de sécurité et rend excessivement difficile pour les cybercriminels de pénétrer dans les comptes des utilisateurs.

Selon une étude menée conjointement par Google, l'université de New York et l'université de Californie à San Diego, les organisations qui ont adopté l'AMF pourraient voir leur résistance aux attaques malveillantes considérablement renforcée. L'étude citée par CISA a révélé que l'utilisation de l'AMF « bloquait 100 % des bots automatisés, 99 % des tentatives d’hameçonnage de masse et 66 % des attaques ciblées sur les comptes Google des utilisateurs. »

Au-delà de l'utilisation de l'authentification à facteur unique, le catalogue des mauvaises pratiques de la CISA comprend également :

  • L'utilisation de logiciels non pris en charge ou en fin de vie.
  • l'utilisation de mots de passe et d'informations d'identification connus, fixes ou par défaut.

« Bien que ces pratiques soient dangereuses pour les infrastructures critiques et les NCF, la CISA encourage toutes les organisations à s'engager dans les actions nécessaires et les conversations critiques pour traiter les mauvaises pratiques », ajoute la CISA.

L'agence fédérale a également ouvert la discussion sur les mauvaises pratiques sur son compte GitHub afin que les administrateurs système et les professionnels de l'informatique puissent apporter leurs suggestions et leurs contributions sur la manière de relever les défis de l'élimination de ces pratiques.