Dernières actualités avec #authentification
La Presse
7 days ago
- Business
- La Presse
L'authentification adaptative, vous connaissez ?
Les questions de sécurité seront prochainement retirées des façons de s'identifier en ligne par le Mouvement Desjardins, mais en attendant, elles ont une certaine tolérance. Même avec certaines erreurs, il se peut que votre institution financière vous laisse accéder à vos données. Vous désirez accéder à votre compte bancaire. Vous entrez le mot de passe, puis passez à la question de sécurité. Vous vous trompez dans la réponse. Le site vous laisse quand même entrer. C'est étrange ? C'est en tout cas une pratique adoptée notamment par le service AccèsD de Desjardins. Des clients du Mouvement Desjardins ont effectivement pu accéder à leur compte bancaire même s'ils n'avaient pas tout à fait la bonne réponse à la question de sécurité requise pour une authentification à deux facteurs, laquelle, pourrait-on croire, devrait être assez stricte dans son application. « Une faible tolérance est prévue dans les réponses aux questions de sécurité afin d'offrir une expérience plus fluide, sans compromettre la sécurité », explique dans un échange électronique Jean-Benoît Turcotti, porte-parole de Desjardins. Cette faible tolérance est une pratique connue en sécurité informatique sous le nom d'authentification adaptative. « Elle permet de reconnaître une erreur de frappe, par exemple un accent oublié », poursuit le porte-parole de Desjardins, qui précise que cette tolérance « ne s'applique pas au mot de passe d'AccèsD, mais uniquement dans des contextes très spécifiques », une façon de trouver le juste équilibre pour ses utilisateurs entre un accès rapide et un accès dûment protégé. « En tout temps, plusieurs couches de sécurité demeurent en place pour assurer la protection des informations et éviter les accès non autorisés aux comptes des membres », ajoute M. Turcotti, qui ne divulgue pas la nature de ces couches, mais cela pourrait être une combinaison de facteurs techniques, comme une adresse internet déjà connue, un appareil informatique qui a été approuvé dans le passé, ou autre. Le Mouvement Desjardins ajoute que cette méthode d'authentification est sur la voie de sortie de ses services numériques, puisque les questions de sécurité seront prochainement retirées des façons de s'identifier en ligne. Desjardins n'est pas la seule institution financière au Canada à jongler avec différentes méthodes d'authentification. L'Association des banquiers canadiens (ABC) fait la promotion auprès de la vingtaine de membres qui la composent de l'authentification multifacteur et d'autres techniques de détection des fraudes, dont la biométrie, l'analyse des données et le suivi des transactions en temps réel. Authentification adaptative La sécurité informatique est un jeu du chat et de la souris entre les outils sans cesse renouvelés de protection des données, et les moyens de contourner ces outils. Ça explique pourquoi certaines entreprises qui gèrent des données sensibles, comme les banques, jonglent avec des systèmes d'authentification dont les critères d'identification varient selon le contexte. « En sécurité de l'information, l'authentification des utilisateurs est basée sur trois éléments », explique l'expert en sécurité et président de l'organisme de cybersécurité Crypto-Québec Luc Lefebvre. Le premier élément est quelque chose que l'utilisateur connaît, comme son mot de passe. Le deuxième est quelque chose qu'il possède, par exemple, son ordinateur ou son navigateur. Le troisième élément permet de l'identifier. Cela prend généralement la forme d'une empreinte biométrique. Les systèmes de sécurité ont évolué ces dernières années pour tenir compte de facteurs que l'utilisateur n'a pas à mémoriser. L'analyse comportementale, qui est améliorée par le recours à l'intelligence artificielle, et l'évaluation contextuelle en temps réel sont donc prises en compte. Cela permet aux systèmes sécurisés de trouver le juste équilibre entre la protection des données et l'expérience utilisateur. Ainsi, l'utilisateur d'une application web sécurisée qui aurait le bon mot de passe et la bonne réponse à une question de sécurité, mais qui se trouverait soudainement dans un autre pays que l'habituel, ou qui utiliserait un appareil informatique non reconnu, pourrait ne pas être autorisé immédiatement à accéder à son compte. En revanche, un utilisateur qui va toujours consulter son compte bancaire à partir du même ordinateur, à partir du même lieu physique et de la même adresse internet, pourrait passer la sécurité même s'il a oublié un caractère accentué ou s'il a inversé deux caractères dans la réponse à la question de sécurité. Le facteur humain « Ce n'est pas unidimensionnel. Si quelqu'un se trompe d'une lettre, ce n'est pas juste la question de sécurité qui est évaluée pour accepter la connexion. Il y a l'adresse internet, l'information du navigateur, la localisation, etc. », dit Luc Lefebvre. PHOTO MARCO CAMPANOZZI, ARCHIVES LA PRESSE Le président de l'organisme de cybersécurité Crypto-Québec, Luc Lefebvre Tout ça est conçu pour éviter que le mot de passe soit le seul facteur de sécurité. Luc Lefebvre, expert en sécurité Il a été prouvé maintes et maintes fois que le mot de passe n'était pas une mesure de protection à toute épreuve. Les arnaques en ligne, les faux questionnaires sur les réseaux sociaux, les courriels d'hameçonnage… Pour les gens désireux de voler l'identité d'une personne, il existe des tonnes de moyens de tenter de s'approprier le mot de passe et les réponses à des questions de sécurité. Et souvent, ça marche. Surtout si votre mot de passe est « 123456 » et que votre couleur préférée est le rouge…
Le Figaro
09-07-2025
- Business
- Le Figaro
Agirc-Arrco : gare aux nouvelles règles pour accéder à son compte et gérer sa retraite
À partir du 16 juillet 2025, le régime de retraites complémentaires Agirc-Arrco change les règles d'authentification pour renforcer la sécurité des comptes de bénéficiaires. Afin d'éviter que des personnes malveillantes se connectent à des comptes de retraités avec via des mots de passe usurpés, le régime des retraites complémentaire Agirc-Arrco a décidé de renforcer la sécurité de l'Espace personnel de son site internet à partir du mercredi 16 juillet 2025. Un code envoyé par mail Lors de la connexion (hors France Connect), les internautes seront soumis à une double authentification. Celle-ci vise à renforcer la sécurité des informations personnelles des bénéficiaires de l'Agirc-Arrco et à répondre aux nouvelles exigences européennes en matière de cybersécurité. Ainsi, au moment de la connexion à leur espace personnel, les allocataires devront saisir un code à usage unique envoyé par mail en plus de leur numéro de sécurité sociale et de leur mot de passe habituel. Publicité Un système déjà bien répandu pour se connecter sur l'application de sa banque ou, depuis fin 2024, au site internet de la CAF (Caisse des allocations familiales). Mettre à jour ses coordonnées Pour être sûr de recevoir ce code, les bénéficiaires de l'Agirc-Arrco doivent vérifier et, si besoin, mettre à jour leur adresse email dans leur espace personnel Agirc-Arrco depuis la rubrique « Mon profil » puis « Mes informations personnelles ».
