Le mot de passe vit ses derniers jours. Corruption trop facile !
Bientôt, le mot de passe fera partie de l’Histoire. Pour la W3C comme pour l’alliance FIDO, il est appelé à disparaitre tout prochainement.
La disparition prochaine du mot de passe se précise. Sa corruption est en effet de plus en plus facile, surtout que les utilisateurs sont toujours indécis quant au choix d’un mot de passe facile à retenir, mais facile à pirater et un mot de passe très compliqué, difficile à compromettre, mais impossible à retenir…
Même avoir un mot de passe fort -qui mélange chiffres, lettres et symboles et ne comprend pas de mots présents dans le dictionnaire- ne suffit plus à protéger les données sensibles d’une entreprise. Cette dernière peut alors déployer une seconde couche de sécurité qui s’appuie sur la double authentification; il s’agit d’une deuxième vérification de l’utilisateur via un token, soit un logiciel applicatif qui fournit un code à rentrer sur le terminal ou à un petit appareil physique (sous le format d’une carte ou d’un porte-clé par exemple) qui confirme l’identité.
«Cette sécurité périmétrique améliore la protection certes, mais n’empêche pas activement les cybercriminels de faire des ravages dans le réseau : ils peuvent en effet duper les utilisateurs via des campagnes de phishing pour récupérer leurs identifiants, dans des environnements non protégés par la double authentification, et usurper ainsi leurs identités ou encore bloquer l’accès à l’appareil grâce à un ransomware, commente Jean-Christophe Vitu, VP Solution Engineers EMEA, CyberArk. C’est pourquoi la sécurisation du réseau au-delà des points d’accès est indispensable.»
Plus loin que l’authentification
En outre, le paysage des menaces actuelles oblige les entreprises à gérer étroitement leurs privilèges, c’est-à-dire les droits d’accès au réseau, afin qu’un cybercriminel ne puisse pas facilement accéder aux informations sensibles et/ou prendre le contrôle des systèmes. Dans ce contexte, un employé doit donc accéder uniquement aux données qui lui sont nécessaires pour ses missions quotidiennes. Mais voilà : la plupart des entreprises ne parviennent pas à détecter les attaques suffisamment tôt du fait d’une surveillance insuffisante de ces privilèges et des activités sur le réseau. Et Jean-Christophe Vitu de poursuivre : «les vulnérabilités ne dépendent pas uniquement de l’humain; les identifiants, les comptes et les secrets sont partout et aussi sous forme de machines. Ils peuvent donc être dans le cloud, les applications ou encore la supply chain. Par conséquent, outre l’authentification à deux facteurs, ces comptes peuvent être protégés via le retrait des droits administrateurs locaux aux points d’accès, l’élimination des identifiants codés en dur, la gestion et la protection des mots passe dans des coffres-forts numériques, ou encore la surveillance et l’enregistrement des comptes et activités les plus sensibles.»
Pour Brett Beranek, Director, Product Strategy, Nuance Communications, les méthodes d’authentification uniquement basées sur la mémoire et les connaissances ne suffisent plus pour assurer une protection acceptable pour les utilisateurs. «Aujourd’hui, les avancées modernes dans la biométrie permettent de tirer profit de données peu sensibles, telles que nos empreintes vocales uniques, pour les transformer en méthodes d’authentification pour accéder à différentes informations personnelles sensibles auprès des banques, commerçants etc. Ces technologies n’améliorent pas seulement la sécurité de nos données personnelles, elles améliorent également l’expérience client, puisqu’on n’aura plus à renseigner nos noms, adresses et noms de jeune fille de nos mères à chaque fois que l’on cherche à s’authentifier sur un compte.»
Machine learning, empreintes vocales…
Selon CyberArk, les organisations feraient mieux de s’appuyer sur le machine learning, dont les capacités de traitement et d’analyse prédictive des données constituent une défense de taille face aux hackers. «Cette technologie, poursuit Jean-Christophe Vitu, exécute rapidement des tâches qui sont très chronophages pour les équipes IT, par ailleurs difficiles à réaliser en continu. Evolutif par nature, l’apprentissage automatique ajuste également en temps réel les points de comparaison, afin d’évaluer les risques, d’offrir une visibilité sur les vulnérabilités existantes et, éventuellement, de contenir les compromissions. Les algorithmes déterminent, en quelques secondes, si une connexion ou une activité sur le réseau est douteuse et nécessite une surveillance, voire une intervention immédiate.»
Autre piste avancée, cette fois par Nuance Communications : tirer profit de données peu sensibles, telles que nos empreintes vocales uniques, pour les transformer en méthodes d’authentification pour accéder à différentes informations personnelles sensibles auprès des banques, commerçants etc. Ces technologies n’améliorent pas seulement la sécurité de nos données personnelles, elles améliorent également l’expérience client, puisqu’on n’aura plus à renseigner nos noms, adresses et noms de jeune fille de nos mères à chaque fois que l’on cherche à s’authentifier sur un compte. Et Brett Beranek d’imaginer : «un futur où l’authentification multi-facteurs qui mesure et reconnait un individu à travers son profil biométrique ou ses activités comportementales protègera nos données sensibles et informations personnelles.»
Du côté des instances, comme W3C et l’alliance FIDO, la norme WebAuthn -annoncée en avril 2018- accélérera le mouvement. WebAuthn définit une API qui peut être intégrée dans les navigateurs web comme Chrome, Firefox et Microsoft Edge, mais aussi pour des systèmes d’exploitation comme Windows 10 ou Android. Cette interface de programmation (API) comprend le protocole CTAP (Client-to-Authenticator) qui permet de se passer d’un mot de passe et d’utiliser un authentificateur externe, comme une clé de sécurité ou un téléphone portable. Ce dernier transmettra localement les identifiants via USB, Bluetooth ou NFC au dispositif d’accès internet de l’utilisateur. Les tests viennent de débuter…
