Il est 17h30 un vendredi veille de week-end prolongé. Le téléphone du Helpdesk sonne. Au bout du fil, un collaborateur paniqué, ou peut-être un nouveau cadre en poste depuis quelques jours, qui affirme être bloqué : il ne peut pas accéder à son compte. Il a un besoin urgent d’accéder à ses e-mails ou au VPN de l’entreprise. Le technicien, soucieux de bien faire et de débloquer la situation, procède à une réinitialisation du mot de passe. Il part en week-end avec la sensation du devoir accompli.
Le problème ? La personne au bout du fil n’était pas le collaborateur, mais un cybercriminel bien préparé.
Cette introduction est l’occasion de rappeler que le pare-feu le plus vulnérable de votre entreprise n’est pas matériel ou logiciel : c’est l’humain. Face à la professionnalisation des cyberattaques, les workflows sensibles comme la réinitialisation de mot de passe, la récupération de compte ou l’onboarding représentent un risque majeur. Alors, comment s’assurer avec une certitude absolue que l’utilisateur qui fait la demande est bien celui qu’il prétend être ? Ne me dites pas que vous avez reconnu sa voix au téléphone…
Cet article inclut une communication commerciale pour Specops Software.
Pourquoi les workflows sensibles sont-ils devenus une cible privilégiée ?
En matière de cybersécurité, beaucoup d’entreprises ont concentré leurs efforts sur la protection des infrastructures, que ce soit au niveau des réseaux, des serveurs ou des endpoints. Les attaquants ont donc logiquement pivoté vers le chemin d’attaque le plus vulnérable : l’humain, et donc vers celui de l’usurpation d’identité.
Au-delà de la compromission de comptes, les pirates peuvent cibler plusieurs processus pour prendre le contrôle de comptes :
La réinitialisation de mot de passe : un attaquant qui parvient à convaincre le support IT de réinitialiser un mot de passe (et potentiellement de contourner le MFA) obtient un accès immédiat et légitime au système d’information.
La récupération de compte : suite à la perte d’un appareil (smartphone volé, token perdu), l’utilisateur doit réenregistrer ses méthodes d’authentification. Si un attaquant détourne ce processus, il s’arroge l’identité numérique de la cible.
L’onboarding de nouveaux collaborateurs : avec la banalisation du télétravail complet ou hybride, de nombreux employés ne mettent jamais les pieds dans les locaux avant leur premier jour de connexion. Le service informatique doit leur fournir des accès initiaux à distance. Sans vérification d’identité en face à face, comment garantir que l’ordinateur portable et les identifiants ont été remis à la bonne personne ?
Si ces processus ne sont pas blindés, ils annulent tous les efforts déployés en aval sur les mécanismes d’authentification. Autrement dit, le MFA perd de son intérêt si un attaquant bien préparé peut appeler le Helpdesk pour faire sauter cette barrière.
Les méthodes de vérification classiques sont vulnérables
Les questions de sécurité personnelles
« Quel est le nom de jeune fille de votre mère ? » ou « Quel est le nom de votre premier animal de compagnie ? », ce sont des choix que vous pouvez faire au sein des mécanismes de vérification basés sur des questions.
Grâce à l’OSINT (Open Source Intelligence), à l’intelligence artificielle et aux nombreux outils disponibles sur le Web, un attaquant peut parvenir à obtenir des réponses à ces questions. C’est d’autant plus vrai si la cible est présente sur les réseaux sociaux puisqu’elle est susceptible d’y laisser des brides de sa vie personnelle.
Pire, ces questions ne sont pas toujours appréciées par les utilisateurs qui oublieront souvent les réponses qu’ils avaient renseignées.
La validation par SMS
Envoyer un code OTP par SMS semble sécurisé, mais cela fait plusieurs années que cette méthode de vérification est déconseillée. En tout cas, elle ne doit pas être privilégiée, la faute notamment à une technique d’attaque bien connue : le SIM Swapping. Les attaquants usurpent l’identité de la victime auprès de son opérateur téléphonique pour transférer son numéro vers une carte SIM qu’ils contrôlent. Dès lors, ils interceptent tous les codes de validation.
L’appel téléphonique de confirmation
Le technicien IT décide de rappeler le collaborateur sur son numéro connu, ou de se fier au son de sa voix. Cela part d’une intention pour vérifier l’identité d’un utilisateur, et c’était en quelque sorte la méthode reine… jusqu’à l’arrivée de l’IA générative.
Aujourd’hui, l’AI vishing (hameçonnage vocal assisté par IA) et les deepfakes vocaux permettent de cloner la voix d’un collaborateur ou d’un dirigeant (fraude au président) à partir d’un simple extrait de quelques secondes récupéré sur une vidéo d’entreprise ou les réseaux sociaux. L’attaquant clone la voix en temps réel, trompant même les collègues les plus proches de la victime. Le social engineering atteint ici son paroxysme grâce à l’IA, et plus particulièrement, ce que l’on appelle le text-to-speech (l’une des méthodes possibles).
Puisque nous parlons de vishing, c’est l’occasion de glisser ce tableau comparatif proposé par Specops entre les différentes méthodes d’hameçonnage :
Type d’attaqueMéthodeTactiques courantesCible principaleNiveau de risqueVishingAppels vocauxUsurpation d’identité d’entités de confiance pour extraire des informations sensiblesParticuliers et entreprisesÉlevéPhishingE-mailE-mails frauduleux avec pièces jointes malveillantes ou fausses pages de connexionParticuliers et organisationsÉlevéSmishingSMS (Messages)Liens vers de faux sites ou téléchargements de logiciels malveillantsUtilisateurs mobilesMoyen-ÉlevéQuishingCodes QRCodes QR malveillants menant à des sites de phishingPublic et entreprisesMoyen
La clé : la vérification d’identité forte
Puisque nous ne pouvons plus faire confiance aux secrets partagés (ce que l’utilisateur sait) ni aux canaux de communication non sécurisés, il faut se tourner vers la preuve irréfutable de l’identité : ce que l’utilisateur est, couplé à ce qu’il possède légalement.
La réponse moderne à cette menace est la vérification d’identité forte (appelée en anglais Identity Proofing), basée sur la combinaison de deux éléments indéfectibles :
Une pièce d’identité officielle (document ID) : carte d’identité, passeport, permis de conduire.
Un contrôle biométrique de présence (principe de Liveness Detection) : pour prouver que la personne sur le document est bien celle qui fait la demande, et qu’elle est physiquement présente derrière l’écran. Autrement dit, on s’assure que c’est bien la bonne personne et qu’elle est vivante.
Cette approche déplace la charge de la preuve. Ce n’est plus au technicien IT de “deviner” ou d’évaluer la bonne foi de l’interlocuteur à travers un interrogatoire improvisé. C’est un système cryptographique et biométrique fiable qui se charge d’effectuer cette vérification.
Specops Verified ID : la réponse technique
Pour sécuriser ces workflows, les entreprises doivent s’équiper de solutions adaptées. C’est exactement la proposition de valeur de Specops Verified ID, un outil conçu spécifiquement pour le support informatique et les équipes Helpdesk.
Specops Verified ID permet aux techniciens du service support de lancer une procédure de vérification d’identité avant d’accorder un accès, de réinitialiser un mot de passe ou d’effectuer toute autre action sensible.
Comment fonctionne le workflow Specops Verified ID en pratique ? L’éditeur a conçu un processus de vérification en 5 étapes que je vous propose de découvrir ci-dessous.
1. Invitation à la vérification : l’utilisateur a besoin d’aide et sollicite le service support. Cela peut être pour une réinitialisation de mots de passe ou n’importe quelle demande, peu importe, le point de départ sera le même. Il sera invité à prouver son identité via l’application mobile Specops:ID. Elle est gratuite et disponible sur iOS et Android.
2. Vérification des documents : depuis l’application, l’utilisateur scanne sa pièce d’identité officielle (passeport, permis de conduire ou carte d’identité nationale). La force de la solution réside dans sa capacité à prendre en charge un très large éventail de documents, que ce soit en France ou dans d’autres pays. En effet, plus de 16 000 documents d’identité officiels associés à 254 pays et territoires sont pris en charge. Les éléments de sécurité standardisés seront vérifiés (hologrammes ou les zones MRZ).
3. Validation biométrique de la personne : c’est l’étape clé pour bloquer le social engineering. L’application procède à une analyse biométrique en temps réel pour vérifier l’authenticité des mouvements faciaux, les indices de profondeur et d’autres indicateurs physiques. Cette liveness detection permet au système de faire la distinction formelle entre le véritable utilisateur et une tentative de fraude qui utiliserait une photo, une vidéo préenregistrée, ou même un masque.
4. Validation du répertoire (Active Directory / Entra ID) : si vous lisez régulièrement IT-Connect, vous savez que les solutions de Specops sont très ancrées avec l’Active Directory et Entra ID. Specops Verified ID va donc faire un lien entre le document d’identité et l’annuaire. En effet, les attributs clés extraits de la pièce d’identité (nom, prénom, etc.) sont automatiquement croisés et validés avec les informations de l’utilisateur provisionnées dans l’annuaire de l’entreprise. Cette vérification est effectuée auprès de l’Active Directory local ou de Microsoft Entra ID dans le Cloud. Cela garantit une correspondance entre l’identité physique et l’identité numérique.
5. Vérification réussie : si toutes les étapes de vérification ont réussi, le feu vert est donné. La réinitialisation du mot de passe ou la demande d’accès peut être effectuée.
Les bénéfices pour les équipes IT et sécurité
Intégrer une solution comme Specops Verified ID apporte plusieurs avantages :
Réduction drastique des risques d’usurpation en appliquant le principe du Zero Trust au niveau du service informatique.
Sécurisation des accès sensibles et des VIP : les dirigeants (Comex), les responsables financiers et les administrateurs systèmes sont des cibles privilégiées (notamment parce qu’ils ont des privilèges spécifiques sur le système d’information).
Allègement de la pression sur le Helpdesk : les techniciens n’ont plus à “jouer au policier” ou à prendre la responsabilité subjective d’authentifier une voix au téléphone.
Réglementation et conformité avec la directive NIS2 : les entreprises doivent prouver qu’elles maîtrisent les accès à leur système d’information. Conserver des pistes d’audit claires et des journaux d’événements vérifiables, attestant que l’identité de l’utilisateur a été formellement prouvée avant l’exécution d’une action sensible, est un atout en cas d’inspection ou d’analyse post-incident.
Si vous utilisez déjà des solutions de Specops Software, sachez que cette nouvelle solution s’intègre avec Specops uReset et Specops Secure Service Desk. Ceci permettra notamment d’automatiser la réinitialisation du mot de passe en libre-service en y ajoutant cette étape de vérification de l’identité.
Conclusion
Les méthodes d’authentification et de vérification d’hier ne font plus le poids face aux cyberattaques d’aujourd’hui, notamment avec l’intelligence artificielle. Tant que certains workflows sensibles reposeront sur de la simple “confiance” téléphonique, l’entreprise laissera une porte ouverte aux attaquants.
Dans les entreprises comptant des centaines ou des milliers de collaborateurs, il est impossible pour les techniciens de connaître chaque visage ou chaque voix. Ce fossé s’élargit encore davantage dans le cadre de l’infogérance ou du support externalisé : comment un prestataire tiers peut-il garantir l’identité d’un utilisateur qu’il n’a jamais rencontré physiquement ? Dans ces environnements complexes, la technologie doit venir en aide à l’humain.
Specops Verified ID permet de maintenir un niveau de confiance constant, peu importe la taille de la structure ou la distance entre l’agent et l’utilisateur.
Si vous souhaitez obtenir une démonstration ou simplement en savoir plus, suivez ce lien :
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.