Accéder au contenu principal

Cessons de rêver de biométrie

On prédit la mort du mot de passe pratiquement depuis que celui-ci existe. Bill Gates soi-même prophétisait sa disparition dès 2004. Aujourd'hui des voix s'élèvent pour réclamer sa mise au rebut chaque fois qu'une faille de sécurité fait les gros titres, les dernières en date étant le piratage d'identifiants et de mots de passe au sein de l'ICANN ou encore chez Sony Pictures.
Et effectivement les mots de passe présentent des failles. Ou, plus exactement, la façon dont nous les utilisons. Nous en choisissons de trop simples, oublions les plus complexes, les partageons avec nos collègues ou nos subordonnés, ou avec quiconque exerce une forme d'autorité. Une étude d'IS Decisions révèle que pas moins de 23 % des utilisateurs américains et britanniques partagent leurs mots de passe professionnels avec un ou plusieurs collègues.

 Biométrie : le rêve

Il n'est donc pas étonnant que les technologies de nouvelle génération en matière de sécurité informatique paraissent séduisantes, en particulier la biométrie dont les avantages peuvent apparaître comme intéressants. Impossible en effet d'oublier notre empreinte digitale ou rétinienne. Tout utilisateur d'un iPhone récent sait combien il est facile de déverrouiller son portable ou de payer une application au moyen de son empreinte digitale. La procédure est à la fois sécurisée et très simple, rendant l'authentification facile et fluide.

 Biométrie : la réalité

Mais cette fluidité ne constitue pas nécessairement un avantage réel dans le domaine de la sécurité des réseaux. Fondamentalement, la biométrie constitue une approche différente de celle des mots de passe. Alors qu'un mot de passe est un élément que l'utilisateur connaît, un marqueur biométrique est un élément qui le caractérise. On peut également évoquer les tokens (« jetons ») physiques, ou les clés, des éléments que l'utilisateur possède.
Chaque méthode possède ses propres avantages et inconvénients et, s'il est certes difficile de partager une empreinte digitale, il est étonnamment facile de leurrer un lecteur d'empreintes digitales ou de reconnaissance rétinienne, comme l'ont récemment démontré les hackers du Chaos Computer Club. Se pose alors le problème de la pérennité : si un mot de passe est compromis, il est possible d'en changer, ce qui n'est bien sûr pas le cas d'une empreinte digitale.

 La biométrie ne peut être utilisée isolée

La réalité est que la biométrie peut difficilement être utilisée comme mesure de sécurité isolée. Même Apple, dans sa mise en œuvre de la lecture d'empreintes digitales, associe cette technologie à l'emploi de mots de passe. Dès lors que l'utilisateur veut rallumer son téléphone ou faire un achat via iTunes pour la première fois, il a besoin de saisir un mot de passe. Dans l'application Apple Pay, des mesures sont prises pour protéger la confidentialité des informations de carte de crédit de sorte que, même si un voleur parvenait d'une manière ou d'une autre à reproduire l'empreinte digitale de l'utilisateur, il rencontrerait des difficultés pour effectuer un achat par carte sans disposer des autres données de sécurité.
La technologie biométrique est donc utilisée en conjonction avec le bon vieux mot de passe, car la combinaison de deux facteurs d'authentification semble a priori plus robuste que l'utilisation d'un seul. Mais la réalité est plus complexe. Une authentification à deux facteurs peut en effet amener les utilisateurs à se contenter de mots de passe plus simples, de sorte que si le premier facteur est contourné, le second facteur devient vulnérable.

 Une technologie marquée par sa lourdeur, en entreprise

L'autre inconvénient de la biométrie est la lourdeur, et donc la lenteur prévisible, de son déploiement en entreprise. Les entreprises sont aujourd'hui beaucoup plus réticentes à adopter les nouvelles technologies que le grand public, et il n'y a aucune raison de penser qu'il en sera différemment pour la biométrie.
Et de fait, les entreprises les plus préoccupées par la sécurité sont souvent parmi les plus lentes à évoluer. Nombre d'entre elles, dans les secteurs pourtant sensibles des services financiers, de la défense ou de la santé ne migrent que depuis peu de Windows XP, un système d'exploitation vieux de 13 ans, vers Windows 7. Et encore n'abandonnent-elles XP que parce que Microsoft en a arrêté le support. Les entreprises sont logiquement prudentes et veulent très légitimement avoir un minimum de garanties sur la fiabilité d'une technologie avant de se risquer à l'adopter.
Les technologies de sécurité biométrique ont été encore relativement peu testées à grande échelle et seront coûteuses à mettre en œuvre. Il coulera donc beaucoup d'eau sous les ponts avant que même les entreprises les plus soucieuses de sécurité n'envisagent de les déployer massivement.

 Renforcer les mots de passe

Et cela ne constitue pas un réel problème. La biométrie a peut-être de beaux jours, bien que lointains, devant elle mais, pour l'instant, il reste beaucoup à faire pour renforcer la sécurité offerte par les mots de passe.
Les mots de passe, comme la biométrie, ne sont qu'une mesure de sécurité parmi d'autres et aucune d'entre elles n'assure la sécurité à 100 %. La bonne approche dans ce domaine consiste toujours à prendre l'ensemble des mesures appropriées pour atténuer tous les risques possibles. Cela peut signifier une approche au cas par cas, de la même manière qu'un niveau de sécurité différent s'applique à votre porte d'entrée et à la salle des coffres de votre banque.

 Utiliser des "couches" de sécurité

Le recours à une seule mesure de sécurité aboutit inévitablement à des vulnérabilités, c'est pourquoi nous entrons dans l'ère des couches de sécurité, et non de la disparition du mot de passe, qui ne constitue que l'une de ces couches. Un jour peut-être la technologie biométrique sera-t-elle suffisamment éprouvée pour que les entreprises l'adoptent comme couche supplémentaire mais, pour l'heure, les solutions choisies en matière de sécurité doivent être opérationnelles et pragmatiques, ce qui est très précisément le cas aujourd'hui du renforcement des mots de passe.
 Comme je l'ai rappelé en introduction, la faiblesse relative des mots de passe n'est pas intrinsèque, mais réside dans les erreurs humaines qui émaillent leur utilisation. C'est donc en remédiant à certains comportements des utilisateurs que nous pourrons renforcer l'efficacité des mots de passe. Des technologies fiables permettent aujourd'hui de restreindre l'accès des utilisateurs en fonction du lieu et/ou de l'heure, d'interdire les connexions simultanées (même identifiant, même mot de passe) et de réduire ainsi drastiquement la tentation de partager les mots de passe. L'entreprise peut sensibiliser ses utilisateurs en les alertant lorsque leurs identifiants sont utilisés à partir d'un nouveau lieu et surveiller étroitement l'activité sur le réseau en temps réel à la recherche de comportements d'accès inhabituels ou suspects.
 Toutes ces précautions ont pour effet d'atténuer le facteur « erreur humaine » du mot de passe traditionnel et contribuent à diminuer la surface d'attaque de votre réseau. Et même si arrive le jour d'une généralisation de la sécurité biométrique, un renforcement des contrôles d'accès des utilisateurs et de la sécurité des mots de passe continuera d'être indispensable.
 
source: http://www.latribune.fr/opinions/tribunes/20150113trib3d125384b/cessons-de-rever-de-biometrie.html

Commentaires

Posts les plus consultés de ce blog

Un million de comptes Google compromis à cause d’un virus sur mobiles

Le spécialiste en sécurité informatique CheckPoint a découvert un nouveau malware qui infecterait plus de 13.000 smartphones Android par jour par le biais de fausses applications. L’équipe de recherche de Check Point avait déjà rencontré le code de Gooligan dans l’application malveillante SnapPea l’année dernière. En août 2016, le logiciel malveillant est réapparu sous la forme d’une nouvelle variante et aurait depuis infecté plus d’un million de smartphones Android à travers le monde. Selon CheckPoint, 57% des appareils infectés seraient situés en Asie, et seulement 9% en Europe. Le danger ici vient du fait qu’une fois installé, le malware est capable de “rooter” la machine et de dérober les adresses email et les jetons d’authentification qu’elle stocke. Concrètement, plus d’un million de comptes Google auraient ainsi été compromis. Outre dérober les informations, les pirates profitent également du piratage pour générer des revenus frauduleux en installant des applica…

Alerte Cisco : faille de sécurité sur certains modems et routeurs

La fonction d’accès à distance de certains appareils Cisco, plutôt destinés aux particuliers, souffre d’une vulnérabilité permettant la prise de contrôle par Internet. Quels sont les modèles concernés ? Comment réparer cette faille ?

Comme de nombreux routeurs, les équipements Cisco proposent une fonction de gestion à distance, via un accès web en HTTPS (HTTP sécurisé). Mais malheureusement, cet accès chiffré ne suffit pas à sécuriser complètement une connexion distante : l’exploitation d’un bug par dépassement de tampon (buffer overflow) peut permettre à un pirate d’accéder au routeur, sans saisir d’identifiant ou de mot de passe, et d’en prendre le contrôle. Concrètement, il suffit d’injecter du code malveillant dans les champs d’identification, au delà du nombre de caractères normalement accepté. Cette vulnérabilité a été dévoilée par l’entreprise Cisco elle-même, le 16 juillet dernier. Quels sont les modems et routeurs concernés ? Les matériels impactés correspondent à des modems …

Is 4G putting your mobile at risk of hacking?

Research has found security is among the top concerns for phone usersMost high-end phones now work on 4G, also known as LTE technologyLTE covers a wider range of frequencies than previous 2G and 3G networksIt transmits data in a way that gives it the potential to be 100 times fasterBut experts warn this method also makes the technology less secure


Is 4G putting your mobile at risk of hacking? Super-fast networks are not as secure as older, slower systems, claims expert


Almost every phone launched at this week's Mobile World Congress was sold on the promise of having super-fast speeds thanks to built-in LTE technology.
LTE, also known as 4G, officially launched in the UK last year, but it’s been growing in popularity globally for the past five years.
The technology covers a wider range of frequencies and has the potential to be up to 100 hundred times faster than slower 2G and 3G networks, but a software and security expert has told the MailOnline this increased speed comes at a pric…