L’arrêt de la Cour de cassation (lien payant) met en avant l’importance de l’authentification forte dans les transactions financières. L’authentification forte est un mécanisme de sécurité qui exige des utilisateurs qu’ils fournissent plus qu’un simple mot de passe ou code secret pour accéder à leur compte ou valider des paiements. Cela peut inclure des éléments tels que la biométrie (empreintes digitales, reconnaissance faciale) ou des codes générés dynamiquement. Selon l’arrêt, sauf en cas d’acte frauduleux délibéré de la part d’un client, celui-ci ne supporte aucune conséquence financière si une opération de paiement non autorisée est effectuée sans que la banque ne demande une authentification forte. Cette exigence est énoncée dans l’article L. 133-44 du code monétaire et financier.

C’est une vérité incontestable : l’authentification multifacteur (MFA) renforce la sécurité, dans tous les cas. Pourtant, cette technologie reste complexe et exige souvent de faire un compromis entre sécurité et facilité d’utilisation. Les hackers malveillants le savent et ils font le pari que les défenseurs n’appliqueront pas la MFA de façon suffisamment étendue, ou qu’ils commettront des erreurs ce faisant.

Intégrer la 2FA dans un coffre-fort KeePass et se faire pirater son mot de passe maître, revient à désactiver la 2FA ...

Tiens, ça tombe à point :-)

Selon l'étude, les cybercriminels utilisent désormais des outils automatisés pour contacter les utilisateurs en leur faisant croire qu'ils sont contactés par l'entreprise. À l'aide de scripts automatisés transmis par la voix ou le texte, le bot OTP demande à l'utilisateur de partager le mot de passe à usage unique qui lui a été envoyé pour vérifier la sécurité de son compte - au lieu de cela, le bot OT l'utilise pour accéder au compte de l'utilisateur et en prendre le contrôle. Voici un exemple typique qui a été repéré par l'équipe de recherche.

Un mot de passe, qu'il soit à usage unique ou non, NE PARTAGE PAS !
PEBCAK

Une alternative à YubiKey.