L’authentification out-of-band (OOBA), c’est quoi ?

La sécurité des identités est devenue un sujet de première importance pendant la pandémie, car un nombre croissant de personnes ont travaillé, fait des achats et réalisé leurs opérations bancaires depuis leur domicile. Les entreprises ont dû mettre en place des barrières pour stopper les fraudeurs avant qu’ils puissent se livrer à une fraude par usurpation de compte dans le but de voler de l’argent, des biens et des points de fidélité, de voler des données et des ressources d’entreprise, d’installer des ransomwares et de commettre d’autres délits. Des données produites par le spécialiste de la cybersécurité Deduce, ont montré qu’« un tiers des usurpations de comptes ciblent des comptes bancaires, car un tiers des tentatives de connexion auprès d’entreprises de services financiers et de technologie financière (fintech) sont suspectées d’être des tentatives d’usurpation de compte ».

L’authentification multifacteur (MFA) et l’authentification à double facteur (2FA) sont des solutions extrêmement efficaces pour tenir les acteurs malveillants loin des réseaux. L’authentification out-of-band (OOBA), également connue comme authentification OOB, utilisée dans le cadre d’une solution de MFA ou de 2FA demande aux utilisateurs de vérifier leurs identités via deux canaux de communication. Il est alors plus difficile pour les fraudeurs de contourner ou de falsifier le processus d’authentification, en fournissant un niveau accru de sécurité.

Plusieurs canaux de communication différents peuvent être utilisés pour les transactions, notamment les connexions Internet, les réseaux sans fil, les lignes fixes et les rencontres en personne. L’authentification out-of-band (OOBA) requiert que le canal de communication utilisé pour authentifier un utilisateur soit séparé du canal utilisé pour se connecter ou réaliser une transaction. L’OOBA est souvent considérée comme une forme d’authentification à double facteur (2FA) ou d’authentification multifacteur (MFA).

Imaginons qu’un client souhaite réaliser une transaction bancaire sur son ordinateur fixe. Il se connecte au système bancaire en ligne à l’aide de son nom d’utilisateur et de son mot de passe. Le système envoie ensuite un mot de passe à usage unique (OTP), comme un SMS ou une notification push, sur son appareil portable. Deux canaux différents sont impliqués ici—l’Internet de l’utilisateur et son réseau sans fil.

Ou bien, le client a peut-être déjà un code PIN unique pour sa banque en ligne et devra le saisir à l’aide de son téléphone fixe ou portable. Cette étape supplémentaire empêche un fraudeur qui serait déjà en possession du nom d’utilisateur et du mot de passe d’un client d’accéder à son compte. Deux canaux différents sont utilisés pour vérifier l’identité de l’utilisateur en utilisant deux méthodes d’authentification différentes.

Les acteurs malveillants sont susceptibles d’avoir accès à des identifiants compromis et de se connecter pour faire un achat avec un ordinateur portable, mais ils ont rarement accès au smartphone de l’utilisateur pour recevoir le mot de passe à usage unique dont ils ont besoin pour l’autorisation, sauf si le transfert d’appel, le clonage, le vol du téléphone ou d’autres méthodes sont aussi impliquées. La transaction ne peut pas être finalisée sans l’OTP. Cela est également vrai pour d’autres méthodes d’OOBA que l’entreprise peut utiliser au lieu d’un OTP, comme le scan d’une empreinte digitale ou un QR code.

Les établissements financiers utilisent souvent l’authentification out-of-band pour vérifier l’identité de leurs utilisateurs ; certaines banques consacrent d’ailleurs des sections de leur site web à expliquer l’authentification OOB à leurs clients. Les établissements de services financiers sont une cible précieuse pour les acteurs malveillants, qui peuvent utiliser cet accès pour virer de l’argent, faire des achats et obtenir des informations supplémentaires sur l’utilisateur.

En savoir plus sur les mesures prises par les banques et les autres établissements financiers pour lutter contre la fraude.

Certains exemples d’authentification out-of-band (lorsqu’elle est associée à une connexion en ligne typique) incluent :

• Notifications en push envoyées sur un appareil mobile

• Codes QR avec des données de transactions chiffrées

• Lecteurs biométriques pour les scans d’empreintes digitales ou de reconnaissance faciale

• Appels téléphoniques pour l’authentification vocale