Accéder au contenu principal

Cessons de rêver de biométrie

On prédit la mort du mot de passe pratiquement depuis que celui-ci existe. Bill Gates soi-même prophétisait sa disparition dès 2004. Aujourd'hui des voix s'élèvent pour réclamer sa mise au rebut chaque fois qu'une faille de sécurité fait les gros titres, les dernières en date étant le piratage d'identifiants et de mots de passe au sein de l'ICANN ou encore chez Sony Pictures.
Et effectivement les mots de passe présentent des failles. Ou, plus exactement, la façon dont nous les utilisons. Nous en choisissons de trop simples, oublions les plus complexes, les partageons avec nos collègues ou nos subordonnés, ou avec quiconque exerce une forme d'autorité. Une étude d'IS Decisions révèle que pas moins de 23 % des utilisateurs américains et britanniques partagent leurs mots de passe professionnels avec un ou plusieurs collègues.

 Biométrie : le rêve

Il n'est donc pas étonnant que les technologies de nouvelle génération en matière de sécurité informatique paraissent séduisantes, en particulier la biométrie dont les avantages peuvent apparaître comme intéressants. Impossible en effet d'oublier notre empreinte digitale ou rétinienne. Tout utilisateur d'un iPhone récent sait combien il est facile de déverrouiller son portable ou de payer une application au moyen de son empreinte digitale. La procédure est à la fois sécurisée et très simple, rendant l'authentification facile et fluide.

 Biométrie : la réalité

Mais cette fluidité ne constitue pas nécessairement un avantage réel dans le domaine de la sécurité des réseaux. Fondamentalement, la biométrie constitue une approche différente de celle des mots de passe. Alors qu'un mot de passe est un élément que l'utilisateur connaît, un marqueur biométrique est un élément qui le caractérise. On peut également évoquer les tokens (« jetons ») physiques, ou les clés, des éléments que l'utilisateur possède.
Chaque méthode possède ses propres avantages et inconvénients et, s'il est certes difficile de partager une empreinte digitale, il est étonnamment facile de leurrer un lecteur d'empreintes digitales ou de reconnaissance rétinienne, comme l'ont récemment démontré les hackers du Chaos Computer Club. Se pose alors le problème de la pérennité : si un mot de passe est compromis, il est possible d'en changer, ce qui n'est bien sûr pas le cas d'une empreinte digitale.

 La biométrie ne peut être utilisée isolée

La réalité est que la biométrie peut difficilement être utilisée comme mesure de sécurité isolée. Même Apple, dans sa mise en œuvre de la lecture d'empreintes digitales, associe cette technologie à l'emploi de mots de passe. Dès lors que l'utilisateur veut rallumer son téléphone ou faire un achat via iTunes pour la première fois, il a besoin de saisir un mot de passe. Dans l'application Apple Pay, des mesures sont prises pour protéger la confidentialité des informations de carte de crédit de sorte que, même si un voleur parvenait d'une manière ou d'une autre à reproduire l'empreinte digitale de l'utilisateur, il rencontrerait des difficultés pour effectuer un achat par carte sans disposer des autres données de sécurité.
La technologie biométrique est donc utilisée en conjonction avec le bon vieux mot de passe, car la combinaison de deux facteurs d'authentification semble a priori plus robuste que l'utilisation d'un seul. Mais la réalité est plus complexe. Une authentification à deux facteurs peut en effet amener les utilisateurs à se contenter de mots de passe plus simples, de sorte que si le premier facteur est contourné, le second facteur devient vulnérable.

 Une technologie marquée par sa lourdeur, en entreprise

L'autre inconvénient de la biométrie est la lourdeur, et donc la lenteur prévisible, de son déploiement en entreprise. Les entreprises sont aujourd'hui beaucoup plus réticentes à adopter les nouvelles technologies que le grand public, et il n'y a aucune raison de penser qu'il en sera différemment pour la biométrie.
Et de fait, les entreprises les plus préoccupées par la sécurité sont souvent parmi les plus lentes à évoluer. Nombre d'entre elles, dans les secteurs pourtant sensibles des services financiers, de la défense ou de la santé ne migrent que depuis peu de Windows XP, un système d'exploitation vieux de 13 ans, vers Windows 7. Et encore n'abandonnent-elles XP que parce que Microsoft en a arrêté le support. Les entreprises sont logiquement prudentes et veulent très légitimement avoir un minimum de garanties sur la fiabilité d'une technologie avant de se risquer à l'adopter.
Les technologies de sécurité biométrique ont été encore relativement peu testées à grande échelle et seront coûteuses à mettre en œuvre. Il coulera donc beaucoup d'eau sous les ponts avant que même les entreprises les plus soucieuses de sécurité n'envisagent de les déployer massivement.

 Renforcer les mots de passe

Et cela ne constitue pas un réel problème. La biométrie a peut-être de beaux jours, bien que lointains, devant elle mais, pour l'instant, il reste beaucoup à faire pour renforcer la sécurité offerte par les mots de passe.
Les mots de passe, comme la biométrie, ne sont qu'une mesure de sécurité parmi d'autres et aucune d'entre elles n'assure la sécurité à 100 %. La bonne approche dans ce domaine consiste toujours à prendre l'ensemble des mesures appropriées pour atténuer tous les risques possibles. Cela peut signifier une approche au cas par cas, de la même manière qu'un niveau de sécurité différent s'applique à votre porte d'entrée et à la salle des coffres de votre banque.

 Utiliser des "couches" de sécurité

Le recours à une seule mesure de sécurité aboutit inévitablement à des vulnérabilités, c'est pourquoi nous entrons dans l'ère des couches de sécurité, et non de la disparition du mot de passe, qui ne constitue que l'une de ces couches. Un jour peut-être la technologie biométrique sera-t-elle suffisamment éprouvée pour que les entreprises l'adoptent comme couche supplémentaire mais, pour l'heure, les solutions choisies en matière de sécurité doivent être opérationnelles et pragmatiques, ce qui est très précisément le cas aujourd'hui du renforcement des mots de passe.
 Comme je l'ai rappelé en introduction, la faiblesse relative des mots de passe n'est pas intrinsèque, mais réside dans les erreurs humaines qui émaillent leur utilisation. C'est donc en remédiant à certains comportements des utilisateurs que nous pourrons renforcer l'efficacité des mots de passe. Des technologies fiables permettent aujourd'hui de restreindre l'accès des utilisateurs en fonction du lieu et/ou de l'heure, d'interdire les connexions simultanées (même identifiant, même mot de passe) et de réduire ainsi drastiquement la tentation de partager les mots de passe. L'entreprise peut sensibiliser ses utilisateurs en les alertant lorsque leurs identifiants sont utilisés à partir d'un nouveau lieu et surveiller étroitement l'activité sur le réseau en temps réel à la recherche de comportements d'accès inhabituels ou suspects.
 Toutes ces précautions ont pour effet d'atténuer le facteur « erreur humaine » du mot de passe traditionnel et contribuent à diminuer la surface d'attaque de votre réseau. Et même si arrive le jour d'une généralisation de la sécurité biométrique, un renforcement des contrôles d'accès des utilisateurs et de la sécurité des mots de passe continuera d'être indispensable.
 
source: http://www.latribune.fr/opinions/tribunes/20150113trib3d125384b/cessons-de-rever-de-biometrie.html

Commentaires

Posts les plus consultés de ce blog

Top 10 des virus informatiques les plus dangereux en 2016

Alors que toutes nos données deviennent numériques, les hackers redoublent d’ingéniosité pour développer des virus informatiques toujours plus performants et dangereux. Si vous n’avez pas installé d’anti-virus sur votre ordinateur, ce top 10 des pires virus connus en 2016 devrait finir de vous convaincre de vous équiper… Un virus informatique est un programme autoréplicatif à la base non malveillant, mais aujourd’hui le plus souvent additionné de code malveillant par le pirates informatiques ou “hackers”. Conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, les smartphones… En 2016, les hackers ne manquent pas de créativité et continuent de développer des virus informatiques de plus en plus performants. Ces derniers leu

"Le pouvoir de Google est inégalé dans l'Histoire"

Alors que Bruxelles sévit contre le moteur de recherche "ultra-dominant", le lobbyiste Jacques Lafitte souhaite qu'il change d'attitude.  Le Point.fr. La Commission s'apprête à notifier des griefs à Google. Pourquoi est-ce important ? Jacques Lafitte. Google est en position ultra-dominante sur le marché de la recherche généraliste sur Internet depuis déjà dix ans. Petit à petit, Google a dominé certaines recherches spécialisées comme les recherches géographiques. Google possède aussi YouTube, dont le pouvoir est gigantesque. Demain, il sera présent dans des domaines encore plus sensibles comme les finances personnelles et la santé. Et Google abuse de sa position dominante d'une foule de façons, parfois subtiles, parfois violentes, et au total diaboliquement efficaces. Certains érudits sont tentés de comparer Google au Big Brother de George Orwell ; moi, je constate surtout le carnage au quotidien, avec les sociétés novatrices comme 1plusV &

Alerte Cisco : faille de sécurité sur certains modems et routeurs

La fonction d’accès à distance de certains appareils Cisco, plutôt destinés aux particuliers, souffre d’une vulnérabilité permettant la prise de contrôle par Internet. Quels sont les modèles concernés ? Comment réparer cette faille ? Comme de nombreux routeurs, les équipements Cisco proposent une fonction de gestion à distance, via un accès web en HTTPS (HTTP sécurisé). Mais malheureusement, cet accès chiffré ne suffit pas à sécuriser complètement une connexion distante : l’exploitation d’un bug par dépassement de tampon ( buffer overflow ) peut permettre à un pirate d’accéder au routeur, sans saisir d’identifiant ou de mot de passe, et d’en prendre le contrôle. Concrètement, il suffit d’injecter du code malveillant dans les champs d’identification, au delà du nombre de caractères normalement accepté. Cette vulnérabilité a été  dévoilée par l’entreprise Cisco  elle-même, le 16 juillet dernier. Quels sont les modems et routeurs concernés ? Les matériels impactés correspondent