Accéder au contenu principal

Cessons de rêver de biométrie

On prédit la mort du mot de passe pratiquement depuis que celui-ci existe. Bill Gates soi-même prophétisait sa disparition dès 2004. Aujourd'hui des voix s'élèvent pour réclamer sa mise au rebut chaque fois qu'une faille de sécurité fait les gros titres, les dernières en date étant le piratage d'identifiants et de mots de passe au sein de l'ICANN ou encore chez Sony Pictures.
Et effectivement les mots de passe présentent des failles. Ou, plus exactement, la façon dont nous les utilisons. Nous en choisissons de trop simples, oublions les plus complexes, les partageons avec nos collègues ou nos subordonnés, ou avec quiconque exerce une forme d'autorité. Une étude d'IS Decisions révèle que pas moins de 23 % des utilisateurs américains et britanniques partagent leurs mots de passe professionnels avec un ou plusieurs collègues.

 Biométrie : le rêve

Il n'est donc pas étonnant que les technologies de nouvelle génération en matière de sécurité informatique paraissent séduisantes, en particulier la biométrie dont les avantages peuvent apparaître comme intéressants. Impossible en effet d'oublier notre empreinte digitale ou rétinienne. Tout utilisateur d'un iPhone récent sait combien il est facile de déverrouiller son portable ou de payer une application au moyen de son empreinte digitale. La procédure est à la fois sécurisée et très simple, rendant l'authentification facile et fluide.

 Biométrie : la réalité

Mais cette fluidité ne constitue pas nécessairement un avantage réel dans le domaine de la sécurité des réseaux. Fondamentalement, la biométrie constitue une approche différente de celle des mots de passe. Alors qu'un mot de passe est un élément que l'utilisateur connaît, un marqueur biométrique est un élément qui le caractérise. On peut également évoquer les tokens (« jetons ») physiques, ou les clés, des éléments que l'utilisateur possède.
Chaque méthode possède ses propres avantages et inconvénients et, s'il est certes difficile de partager une empreinte digitale, il est étonnamment facile de leurrer un lecteur d'empreintes digitales ou de reconnaissance rétinienne, comme l'ont récemment démontré les hackers du Chaos Computer Club. Se pose alors le problème de la pérennité : si un mot de passe est compromis, il est possible d'en changer, ce qui n'est bien sûr pas le cas d'une empreinte digitale.

 La biométrie ne peut être utilisée isolée

La réalité est que la biométrie peut difficilement être utilisée comme mesure de sécurité isolée. Même Apple, dans sa mise en œuvre de la lecture d'empreintes digitales, associe cette technologie à l'emploi de mots de passe. Dès lors que l'utilisateur veut rallumer son téléphone ou faire un achat via iTunes pour la première fois, il a besoin de saisir un mot de passe. Dans l'application Apple Pay, des mesures sont prises pour protéger la confidentialité des informations de carte de crédit de sorte que, même si un voleur parvenait d'une manière ou d'une autre à reproduire l'empreinte digitale de l'utilisateur, il rencontrerait des difficultés pour effectuer un achat par carte sans disposer des autres données de sécurité.
La technologie biométrique est donc utilisée en conjonction avec le bon vieux mot de passe, car la combinaison de deux facteurs d'authentification semble a priori plus robuste que l'utilisation d'un seul. Mais la réalité est plus complexe. Une authentification à deux facteurs peut en effet amener les utilisateurs à se contenter de mots de passe plus simples, de sorte que si le premier facteur est contourné, le second facteur devient vulnérable.

 Une technologie marquée par sa lourdeur, en entreprise

L'autre inconvénient de la biométrie est la lourdeur, et donc la lenteur prévisible, de son déploiement en entreprise. Les entreprises sont aujourd'hui beaucoup plus réticentes à adopter les nouvelles technologies que le grand public, et il n'y a aucune raison de penser qu'il en sera différemment pour la biométrie.
Et de fait, les entreprises les plus préoccupées par la sécurité sont souvent parmi les plus lentes à évoluer. Nombre d'entre elles, dans les secteurs pourtant sensibles des services financiers, de la défense ou de la santé ne migrent que depuis peu de Windows XP, un système d'exploitation vieux de 13 ans, vers Windows 7. Et encore n'abandonnent-elles XP que parce que Microsoft en a arrêté le support. Les entreprises sont logiquement prudentes et veulent très légitimement avoir un minimum de garanties sur la fiabilité d'une technologie avant de se risquer à l'adopter.
Les technologies de sécurité biométrique ont été encore relativement peu testées à grande échelle et seront coûteuses à mettre en œuvre. Il coulera donc beaucoup d'eau sous les ponts avant que même les entreprises les plus soucieuses de sécurité n'envisagent de les déployer massivement.

 Renforcer les mots de passe

Et cela ne constitue pas un réel problème. La biométrie a peut-être de beaux jours, bien que lointains, devant elle mais, pour l'instant, il reste beaucoup à faire pour renforcer la sécurité offerte par les mots de passe.
Les mots de passe, comme la biométrie, ne sont qu'une mesure de sécurité parmi d'autres et aucune d'entre elles n'assure la sécurité à 100 %. La bonne approche dans ce domaine consiste toujours à prendre l'ensemble des mesures appropriées pour atténuer tous les risques possibles. Cela peut signifier une approche au cas par cas, de la même manière qu'un niveau de sécurité différent s'applique à votre porte d'entrée et à la salle des coffres de votre banque.

 Utiliser des "couches" de sécurité

Le recours à une seule mesure de sécurité aboutit inévitablement à des vulnérabilités, c'est pourquoi nous entrons dans l'ère des couches de sécurité, et non de la disparition du mot de passe, qui ne constitue que l'une de ces couches. Un jour peut-être la technologie biométrique sera-t-elle suffisamment éprouvée pour que les entreprises l'adoptent comme couche supplémentaire mais, pour l'heure, les solutions choisies en matière de sécurité doivent être opérationnelles et pragmatiques, ce qui est très précisément le cas aujourd'hui du renforcement des mots de passe.
 Comme je l'ai rappelé en introduction, la faiblesse relative des mots de passe n'est pas intrinsèque, mais réside dans les erreurs humaines qui émaillent leur utilisation. C'est donc en remédiant à certains comportements des utilisateurs que nous pourrons renforcer l'efficacité des mots de passe. Des technologies fiables permettent aujourd'hui de restreindre l'accès des utilisateurs en fonction du lieu et/ou de l'heure, d'interdire les connexions simultanées (même identifiant, même mot de passe) et de réduire ainsi drastiquement la tentation de partager les mots de passe. L'entreprise peut sensibiliser ses utilisateurs en les alertant lorsque leurs identifiants sont utilisés à partir d'un nouveau lieu et surveiller étroitement l'activité sur le réseau en temps réel à la recherche de comportements d'accès inhabituels ou suspects.
 Toutes ces précautions ont pour effet d'atténuer le facteur « erreur humaine » du mot de passe traditionnel et contribuent à diminuer la surface d'attaque de votre réseau. Et même si arrive le jour d'une généralisation de la sécurité biométrique, un renforcement des contrôles d'accès des utilisateurs et de la sécurité des mots de passe continuera d'être indispensable.
 
source: http://www.latribune.fr/opinions/tribunes/20150113trib3d125384b/cessons-de-rever-de-biometrie.html

Commentaires

Posts les plus consultés de ce blog

Un million de comptes Google compromis à cause d’un virus sur mobiles

Le spécialiste en sécurité informatique CheckPoint a découvert un nouveau malware qui infecterait plus de 13.000 smartphones Android par jour par le biais de fausses applications. L’équipe de recherche de Check Point avait déjà rencontré le code de Gooligan dans l’application malveillante SnapPea l’année dernière. En août 2016, le logiciel malveillant est réapparu sous la forme d’une nouvelle variante et aurait depuis infecté plus d’un million de smartphones Android à travers le monde. Selon CheckPoint, 57% des appareils infectés seraient situés en Asie, et seulement 9% en Europe. Le danger ici vient du fait qu’une fois installé, le malware est capable de “rooter” la machine et de dérober les adresses email et les jetons d’authentification qu’elle stocke. Concrètement, plus d’un million de comptes Google auraient ainsi été compromis. Outre dérober les informations, les pirates profitent également du piratage pour générer des revenus frauduleux en installant des applica…

De nombreux utilisateurs de TeamViewer victimes de piratages

De nombreux utilisateurs ont été victimes de piratages au travers du logiciel TeamViewer. Selon les responsables du logiciel la brèche ne viendrait pas de leur système. Depuis plusieurs jours, des utilisateurs de TeamViewer, un logiciel permettant de prendre le contrôle à distance d’un autre ordinateur, se plaignent d’être victimes de piratages. Cependant le problème ne viendrait pas du logiciel lui-même mais du vol d’identifiants et de mots de passe sur d’autres services tels que Tumblr, Myspace ou encore Linkedin.
TeamViewer au cœur de plusieurs piratages La semaine dernière, TeamViewer a connu des problèmes de fonctionnement. Le logiciel a en fait été victime d’une attaque DDOS de grande ampleur qui a paralysé son système pendant quelques heures. Suite à cette attaque, certains utilisateurs se sont plaints d’avoir subi une intrusion dans leur ordinateur, des pirates auraient réussi à prendre le contrôle de leur machine et voler des informations confidentielles. Pourtan…

Top 10 des virus informatiques les plus dangereux en 2016

Alors que toutes nos données deviennent numériques, les hackers redoublent d’ingéniosité pour développer des virus informatiques toujours plus performants et dangereux. Si vous n’avez pas installé d’anti-virus sur votre ordinateur, ce top 10 des pires virus connus en 2016 devrait finir de vous convaincre de vous équiper… Un virus informatique est un programme autoréplicatif à la base non malveillant, mais aujourd’hui le plus souvent additionné de code malveillant par le pirates informatiques ou “hackers”. Conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, les smartphones… En 2016, les hackers ne manquent pas de créativité et continuent de développer des virus informatiques de plus en plus performants. Ces derniers leur pe…