Amazon Web Services (AWS) a introduit les clés d’authentification FIDO2 en tant que nouvelle méthode d’authentification multifacteur (MFA) pour améliorer la sécurité et la convivialité des comptes.
De plus, comme annoncé en octobre dernier, la société Internet nous rappelle que les comptes AWS « root » doivent activer l’authentification multifacteur d’ici la fin du mois de juillet 2024.
Clés d’accès sur AWS
Les clés d’authentification FIDO2 sont des solutions d’authentification physiques (clés matérielles) ou logicielles qui exploitent la cryptographie à clé publique (paire publique + privée) pour signer un défi envoyé par le serveur utilisé pour vérifier la tentative d’authentification.
Contrairement aux mots de passe à usage unique, les mots de passe résistent au phishing et aux attaques de l’homme du milieu, sont synchronisables, prennent en charge plusieurs architectures d’appareils et de systèmes d’exploitation et fournissent une authentification forte grâce à leur cryptage (généralement) incassable.
Amazon affirme que sa mise en œuvre permet la flexibilité de créer des mots de passe logiciels synchronisables à ajouter en tant que méthode MFA pour les comptes AWS, de les déverrouiller via Apple Touch ID sur l’iPhone, Windows Hello sur l’ordinateur portable, etc.
La société Internet affirme que les personnes vulnérables aux attaques de phishing et d’ingénierie sociale devraient envisager d’utiliser des mots de passe pour accéder aux consoles AWS, mais note qu’en fin de compte, toute forme d’AMF vaut mieux que rien.
Amazon indique aux clients que lors du choix de l’authentification multifacteur, il est important de prendre en compte le modèle de sécurité des fournisseurs de clés d’accès, y compris la manière dont ils gèrent l’accès et la récupération du coffre-fort de clés.
Pousser à l’adoption de l’AMF
L’utilisation obligatoire de la MFA commencera avec les utilisateurs de comptes root autonomes à partir de juillet 2024, le déploiement affectant initialement un petit nombre de clients et s’étendant progressivement sur plusieurs mois pour donner aux utilisateurs une période de grâce.
Initialement, l’exigence ne s’appliquera qu’aux utilisateurs root, qui disposent du niveau d’accès le plus élevé et peuvent apporter des modifications importantes à l’environnement AWS, car ceux-ci sont plus sensibles aux attaques dommageables.
Une alerte contextuelle s’affichera à la connexion pour rappeler aux titulaires de compte concernés la nouvelle exigence.
Les utilisateurs root des comptes membres dans les organisations AWS et les comptes d’utilisateurs généraux ne seront pas immédiatement tenus d’activer une étape MFA, bien qu’ils soient fortement encouragés à le faire pour une sécurité optimale.
L’exigence d’AMF devrait être étendue à d’autres catégories d’utilisateurs, mais des plans à ce sujet seront communiqués plus tard dans l’année.
Amazon dit qu’il s’est récemment engagé à améliorer l’adoption de l’AMF en signant l’engagement Secure by Design de CISA, de sorte que l’entreprise travaille activement à cet objectif.