Renforcement de la protection des comptes clients

Temps de lecture estimé : 5 minute(s)

Depuis janvier 2017, l’équipe Sécurité d’OVH expérimente de nouvelles méthodes pour sécuriser les comptes de nos clients et détecter les tentatives de compromission. Après un an de recherche et de développement, nous avons commencé à déployer progressivement un nouvel algorithme. Quelques explications à propos de ce que nous avons mis en place.

 

Lors d’une connexion à l’espace client OVH, peut-être avez-vous déjà reçu un e-mail comportant un code à entrer pour valider votre demande de connexion. Félicitations, vous êtes parmi les chanceux à avoir pu expérimenter notre nouvel algorithme permettant de prévenir les compromissions de comptes ! En effet, depuis janvier 2017, nous travaillons à une plus grande sécurisation des comptes de nos clients, en complément des mesures déjà en place.

 

Pourquoi avoir mis en place ce nouvel algorithme ?

Une personne mal intentionnée réussissant à prendre le contrôle de l’espace personnel de l’un de nos clients est toujours une situation délicate. En premier lieu pour ce dernier qui peut voir son activité directement menacée, mais aussi pour nos équipes de Customer Advocates qui doivent réussir à discerner le vrai client du pirate. Fort heureusement, ce sont des scénarios exceptionnels. Dans un contexte où les fuites de données de grandes entreprises se multiplient et révèlent les mots de passe des comptes client et où 60 % de la population admet encore utiliser le même mot de passe partout, nous avons voulu prévenir d’éventuelles menaces et renforcer la sécurité de nos solutions.

Concrètement, ça donne quoi ?

Lorsque vous vous connectez à votre espace client, notre algorithme va essayer de déterminer si vous effectuez cette action en respectant vos habitudes, par exemple le navigateur que vous utilisez. Si c’est le cas, vous ne verrez aucun changement. Cependant, si notre algorithme considère que votre connexion est inhabituelle ou si vous ne vous êtes pas connecté depuis longtemps, il vous sera alors demandé de saisir un code envoyé par e-mail : un mécanisme de double authentification se déclenche pour que vous puissiez prouver que vous êtes bien le propriétaire du compte.

Tentative de connexion considérée comme anormale par notre algorithme : une double authentification est demandée.

 

En parallèle, un e-mail vous est adressé avec un code confidentiel vous permettant de valider votre demande de connexion. Celui-ci possède une durée de vie limitée et nous insistons sur son caractère confidentiel. Il constitue en effet dans ce contexte le seul élément permettant de prouver votre identité. Cet e-mail joue également un rôle d’alarme, car si vous le recevez et que ce n’est pas vous qui êtes en train d’initier une connexion sur votre espace client, cela signifie immanquablement qu’une tierce personne connaît votre mot de passe. Nous vous recommandons vivement de le changer sans tarder.

 

Le client est prévenu par e-mail pour vérifier qu’il est bien à l’origine de la connexion lorsque celle-ci est considérée comme anormale par notre algorithme.

 

Fonctionnement du nouvel algorithme

Nous avons remarqué que les clients ayant activé la double authentification sur leur compte n’étaient jamais touchés par des problématiques de compromission. Les bonnes pratiques pour assurer un bon niveau de sécurité reposent sur les quatre facteurs suivants : « ce que je sais » (par exemple un mot de passe), « ce que je possède » (par exemple un smartphone), « ce que je fais » (les habitudes), « ce que je suis » (la biométrie). Même s’il réussit à trouver votre mot de passe (« ce que je sais »), grâce à la double authentification, le pirate doit ensuite prouver son identité lors d’une deuxième étape, à l’aide d’un bien que seul le propriétaire légitime du compte a en sa possession (« ce que je possède »).

À partir de ce postulat, nous avons travaillé pour proposer un niveau de sécurité équivalent pour les comptes sur lesquels la double authentification n’est pas activée, tout en respectant le choix du propriétaire du compte concernant cette non-activation.

L’idée a été de proposer une double authentification uniquement lorsque nous avons un doute sur la légitimité de la demande de connexion. Le défi est donc de déterminer si celle-ci est légitime ou non. Heureusement, après avoir réalisé quelques statistiques, nous avons pu observer que nos clients faisaient preuve de certaines habitudes lorsqu’ils se connectent à leur compte personnel : une connexion toujours depuis le même ordinateur par exemple. La solution était donc toute dessinée : identifier les irrégularités dans les tentatives de connexion. C’est ce que nous avons implémenté avec l’aide d’une petite dose de machine learning, conçu et mis en place par notre équipe Sécurité.

 

Un algorithme ne pourra jamais remplacer votre vigilance

La sécurité est l’affaire de tous. Même si nous déployons de nouveaux mécanismes de protection, il est également indispensable que vous preniez les bonnes dispositions pour vous assurer que votre compte client est sécurisé. Une bonne pratique est d’utiliser un gestionnaire de mots de passe (Keepass, LastPass, 1 Password par exemple) qui se chargera de se souvenir de vos mots de passe à votre place et d’en posséder un différent pour chaque plateforme.

Mais la meilleure protection contre le vol reste l’activation de l’authentification à deux facteurs. Son efficacité n’est plus à démontrer et son activation est très simple : connectez-vous à votre compte, rendez-vous dans la rubrique « Mon Compte » puis « Sécurité ».

 

Cet algorithme, qui vient en complément d’U2F que nous vous proposons depuis octobre 2017, n’est que le début d’un chantier de plus grande ampleur visant à vous proposer davantage de souplesse et de sécurité pour vous connecter à votre espace client. Mon collègue Thomas Soete vous en convaincra mieux que moi dans un prochain billet !

 

Pour en savoir plus sur ce phénomène des Data leaks, je vous invite à lire l’article de Troy Hunt, un Australien engagé dans la protection des données personnelles et fondateur du site « Have I Been Pwned » : https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/

Security Analyst