Recherche
En ce moment En ce moment

/ Cybersécurité

Biométrie plutôt que TOTP : les choix de leboncoin pour le MFA

Pour prendre le relais de la vérification par SMS, leboncoin préfère la biométrie aux applications TOTP. Il explore d'autres méthodes d'authentification.

Publié par le - mis à jour à
Lecture
2 min
  • Imprimer
Biométrie plutôt que TOTP : les choix de leboncoin pour le MFA
© généré par IA
Getting your Trinity Audio player ready...

Utiliser les WebViews pour l'authentification, une mauvaise idée ?

Leboncoin avait opté pour cette approche sur ses apps mobiles. Après quelques mois, il en est revenu, face aux problèmes liés à la diversité des terminaux et de leurs configurations. Les flux ont finalement été réécrits en natif, pour iOS et Android.

Des choix, l'entreprise en a aussi fait sur le MFA. Elle a notamment écarté l'option TOTP, qui apparaissait comme une niche chez ses 35 millions d'utilisateurs. Actuellement, elle envoie des codes par SMS ou par e-mail. Environ 600 000 par semaine, pour sécuriser les logins (sur 22 % des comptes, sachant que plus de 70 % renseignent leur numéro de téléphone) et d'autres opérations sensibles comme le changement d'IBAN.

Lire aussi : Pourquoi les hackers adorent les attaques par usurpation d'identifiants

Les perspectives du cross-device, réalité chez 25 % des utilisateurs

Afin d'éliminer progressivement le SMS et les risques associés (ainsi que les coûts...), leboncoin lorgne la biométrie. En premier lieu, justement, pour le changement d'IBAN. Le login social est aussi sur la feuille de route (Apple et Google sont cités), comme la validation d'actions via un autre appareil (environ 25 % des utilisateurs sont cross-device).

Leboncoin tient une base de mots de passe compromis ou régulièrement utilisés, mise à jour via Have I Been Pwned Il recourt à DataDome pour détecter les bots et à ThreatMetrix pour déterminer les connexions inhabituelles. Depuis son implémentation il y a "plus d'un an", cet outil signé LexisNexis a réduit de moitié le volume de comptes bloqués pour compromission suspectée, nous affirme-t-on. Il est question de l'étendre à des actions supplémentaires telles que l'envoi de messages à d'autres utilisateurs.

Leboncoin opère de l'ordre de 25 000 blocages par semaine. Dont 10 000 au "niveau 2", où l'utilisateur n'a pas la possibilité de rétablir lui-même l'accès. Dans le reste des cas, un défi 2FA est émis.
Le nombre de demandes de réinitialisation de mot de passe est d'environ un million par mois.

À consulter en complément sur le sujet authentification :

La DINUM repasse FranceConnect au régime bug bounty
De NTLM à Kerberos, sacré chantier pour Microsoft
Gestion des accès : des offres plus englobantes sur les identités
Le machine learning pour des mots de passe robustes : l'expérience de Michelin

Lire aussi : Joaquin Fuentes, Field CISO de GitLab : « La maîtrise du "prompt engineering" devient essentielle pour tester les garde-fous des systèmes d'IA »

Illustration générée par IA

Sur le même thème

Voir tous les articles Cybersécurité
Les Podcasts de Splunk
sponsorisé
Gestion de crises : les leçons d’un DSI
Gestion de crises : les leçons d’un DSI17:35
SNCF Connect & Tech explore toutes les voies de la rés…23:13
D'une mine à la supply chain, de l'OT à l’industrie 4.…22:33
Champs d'application et exigences NIS220:52
Retour d'expérience : mise en œuvre des exigences par…20:42
Comment simplifier la sécurisation de votre réseau tou…20:23
Sécurité renforcée : comment préparer la conformité à…20:56
Le savoir-faire règlementaire international de Cloudfl…20:32
Se protéger et remédier aux Attaques de Messagerie : U…21:48
[Episode en public] Les leçons de résilience d’OVH29:04
[Énergie] La résilience du réseau et sa mesure d'impact19:43
SASE : La fusion du SD-WAN et du SSE décryptée07:42
Quand la cyber-résilience investit l’espace16:31
Sécurité Multicouche : La clé pour une entreprise rési…16:11
Remettre l’humain au centre du cyber-espace16:55
L’IA, super-pouvoir du cyberespace09:39
Les enjeux de sécurité des médias internationaux de la…14:32
L’IA, un atout pour une continuité de service public p…16:50
Une cyber-résilience à l’aune de l’IA et des régulatio…19:25
Tous les Internets se valent-ils ?10:59
Decathlon : une culture agile à l’international20:08
Comment Carrefour a transformé la crise sanitaire en t…12:48
Comment Groupama s’assure d’être résilient face aux cr…13:48
Comment impulser une culture data dans une grande entr…14:17
Hors-série : La data du futur (Volume 1)08:28
Cegid : la tête dans le Cloud22:16
Hors-série : La data du futur (Volume 2)07:30
La data au service des verres intelligents chez Essilo…09:42
La vision conseil de Deloitte sur la data et l’IA19:04
Data altruisme et IA responsable au Crédit Mutuel Arkéa11:54
[BONUS] La Data Responsable : une vision écologique23:08

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine Se connecter
Retour haut de page