L'authentification forte est-elle l'avenir du mot de passe ?

Le par  |  20 commentaire(s)
password

Une tribune de Arnaud Gallut, Directeur Commercial France de Ping Identity, sur l'après mot de passe.

Arnaud-GallutLes actualités le prouvent trop souvent : la combinaison identifiant / mot de passe ne suffit plus à protéger correctement les accès aux applications aussi bien personnelles que professionnelles. En 2014 déjà, les vols de mots de passe ont coûté près de 3 millions d'euros à l'économie mondiale. C'est pourquoi de plus en plus d'entreprises et particuliers se tournent vers d'autres moyens pour sécuriser leurs données. Afin de contrer tout piratage, nous devons désormais choisir des mots de passe plus longs et plus complexes, un procédé qui s'avère de plus en plus pénible et fastidieux.

Mais alors que le mot de passe est le mode d'authentification (dit simple) le plus utilisé, peut-on envisager un autre moyen d'accéder à ses comptes en toute sécurité ? Comment la formule « moins de mots de passe = plus de sécurité » peut-elle marcher ?

Authentification forte vs authentification unique

Si l'identification requiert des internautes de répondre à la question " Qui êtes-vous ? " au travers d'un identifiant unique, ceci n'est pas à confondre avec le processus d'authentification qui, quant à lui, vise à valider l'identité, et peut se décliner sous deux formes différentes pouvant se compléter :

  • L'authentification forte (ou multi-facteurs), qui demande d'associer plusieurs preuves en vue d'effectuer cette validation, par exemple quelque chose que l'on sait (mot de passe, code PIN) avec quelque chose que l'on possède (un élément biométrique, un objet ou une action)
  • L'authentification unique (SSO), utilisant un compte unique donnant accès à plusieurs applications en ne s'authentifiant qu'une seule fois.

C'est justement ce dernier procédé que le gouvernement français a voulu soutenir via le dispositif « France Connect » permettant aux citoyens français de s'identifier sur les principaux sites publics via un seul jeu d'identifiants. Cela permet aux utilisateurs de s'identifier une seule fois, limitant ainsi les risques en réduisant le nombre de mots de passe à retenir.

Partant du constat simple que le premier élément de sécurité est l'identité et que le vrai point faible de l'identité est le mot de passe, l'authentification unique apparaît également comme une bonne stratégie à adopter pour toute entreprise ou particulier souhaitant en finir avec la multiplicité des identifiants et des mots de passe tels que nous les avons connus jusqu'à présent. Cette approche fournit également une expérience utilisateur améliorée pour les employés, les clients ou les citoyens. Pourtant, elle ne résout pas seule les enjeux de sécurité associés à l'authentification.

Alors que la mobilité et le Cloud font voler en éclat le périmètre de sécurité traditionnel des entreprises, celles-ci doivent s'efforcer de trouver de nouvelles stratégies pour se protéger.

L'authentification forte, clef de voûte de la sécurité de vos données

Depuis quelques mois, le niveau de créativité des cybercriminels a encore monté d'un cran, en ce qui concerne les techniques utilisées pour dérober des données personnelles des consommateurs. Avec l'utilisation accrue d'appareils mobiles et l'émergence des objets connectés stockant chaque jour d'avantage d'informations personnelles et confidentielles, il devient critique pour les particuliers et les entreprises de protéger efficacement leurs données sensibles. Fin 2015, Dropbox avait donné l'exemple, en annonçant une forme de sécurisation additionnelle de l'accès à leur service via des clés USB permettant une double authentification de ses utilisateurs visant à renforcer la sécurité des espaces de stockage de ses différents utilisateurs.

Par ailleurs, l'apparition de la génération Y et du tout connecté a chamboulé l'utilisation des appareils aussi bien à la maison qu'au travail, notamment avec l'avènement du BYOD. Alors que bon nombre d'employés connaissent les bonnes pratiques en termes de mots de passe, la facilité l'emporte très souvent sur la sécurité. Ainsi, près de la moitié des employés admettent qu'ils sont susceptibles de réutiliser des mots de passe personnels pour des comptes liés au travail. Pourtant, l'avènement du BYOD fournit justement de nouveaux moyens de renforcer le processus d'authentification en adoptant des facteurs logiciels déployés sur l'équipement (mobile) de l'employé.

Enfin, concernant les services en ligne aux consommateurs (messagerie, collaboratif, stockage), les vols massifs d'identifiants et mots de passe soulignent d'autant plus le besoin de renforcer l'authentification avec plusieurs facteurs afin de limiter les risques de fraude liés à une simple authentification du couple identifiant / mot de passe. Yahoo en est à ce titre le dernier exemple de taille avec l'annonce il y a quelques jours d'un piratage de près de 500 millions d'identifiants et mots de passe de clients s'étant déroulé plus de 18 mois auparavant !

Vers l'authentification adaptative

Les entreprises doivent donc s'efforcer d'adopter des mesures de sécurité simplifiées mais néanmoins plus robustes. Dernièrement, plusieurs gros acteurs du numérique ont choisi d'adopter de nouveaux moyens technologiques afin de s'assurer un niveau optimal de protection.

La biométrie a été l'une des dernières adoptions en date, alors même qu'elle ne représente pas une alternative 100 % fiable lorsqu'elle est utilisée seule. Il y a un an, 5,6 millions d'empreintes digitales appartenant à un organisme gérant la carrière professionnelle des fonctionnaires fédéraux américains avaient été dérobées. Cette actualité démontre que la biométrie - ce système de reconnaissance basé sur des caractéristiques physiques ou comportementales d'un individu pour vérifier son identité - ne serait pas aussi fiable qu'on pourrait le penser et reste un moyen d'authentification encore fragile. Début 2015, un hacker était déjà parvenu à cloner l'empreinte digitale de la ministre fédérale de la Défense allemande en la reconstituant grâce à des photos publiques en haute définition.

On peut imaginer renforcer la sécurité grâce à l'authentification adaptative et ainsi éviter de sacrifier l'expérience utilisateur. L'authentification adaptative permet de tenir compte de données telles que les adresses IP, la géolocalisation, la distance parcourue ou les empreintes comportementales pour attribuer un niveau de risque qui détermine si le client doit faire l'objet d'une demande d'authentification complémentaire. Si un client Uber commande un véhicule à New York et qu'une nouvelle commande se fait à Paris quelques minutes après, le contexte permettra d'établir un niveau de risque et, en fonction de celui-ci, d'appliquer une méthode d'authentification complémentaire telle que la biométrie, un jeton numérique (par exemple généré depuis le smartphone référencé du client) ou d'autres combinaisons de facteurs permettant de sécuriser la transaction.

Le couple SSO / authentification forte

Le couplage de l'authentification unique à l'authentification forte rend un double service auprès des utilisateurs : d'une part le consommateur ou l'employé bénéficie d'une expérience améliorée (et d'un réel confort), et d'autre part il permet d'élever de manière très conséquente la sécurité des services rendus tout en diminuant le risque de fraude. L'avenir est à la combinaison de ces deux moyens.

Les solutions de gestion des identités connaissent une adoption de plus en plus généralisée car elles proposent une expérience client homogène et répondent à des contraintes strictes en matière de sécurité, de performances et de besoins techniques. Beaucoup d'entreprises et autres organismes ont déclaré que la fin du mot de passe était proche, il faut maintenant se pencher sur ce qui vient après.

Complément d'information
  • La mort annoncée du mot de passe
    Une tribune de Patrick Salyer, Directeur Général de Gigya qui fournit une plate-forme de gestion de l'identité des clients.
  • Mieux vaut griffonner un mot de passe ?
    Pour une équipe de chercheurs universitaires, une forme libre dessinée sur smartphone est plus facile à utiliser et à retenir que le mot de passe texte afin de sécuriser un appareil.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1931619
Après les MDP classiques, c'est authentification via les empreintes, ou l'iris de l'œil

Demain, on ira plus loin, ce sera l'authentification par l'ADN, l'analyse sanguine, voir l'analyse de la pisse
Le #1931627
DeepBlueOcean a écrit :

Après les MDP classiques, c'est authentification via les empreintes, ou l'iris de l'œil

Demain, on ira plus loin, ce sera l'authentification par l'ADN, l'analyse sanguine, voir l'analyse de la pisse


Après tout le monde ira pleurer à la CNIL pour le respect de la vie privée.
Continuons bêtement d'accepter toutes ces technologies.
Le #1931628
Aucune sécurité ne sera parfaite, biométrique, double ou forte.
Dans tous les cas on pourra pirater ces données supplémentaires.
Une base de données biométriques ? Piratable !
Une donnée biométrique ? Piratable !

" Début 2015, un hacker était déjà parvenu à cloner l'empreinte digitale de la ministre fédérale de la Défense allemande en la reconstituant grâce à des photos publiques en haute définition."


Le #1931629
" Si un client Uber commande un véhicule à New York et qu'une nouvelle commande se fait à Paris quelques minutes après, le contexte permettra d'établir un niveau de risque et, en fonction de celui-ci"
=>Wow, qu'est-ce que c'est nouveau cette approche !!!!

Le #1931630
skynet a écrit :

Aucune sécurité ne sera parfaite, biométrique, double ou forte.
Dans tous les cas on pourra pirater ces données supplémentaires.
Une base de données biométriques ? Piratable !
Une donnée biométrique ? Piratable !

" Début 2015, un hacker était déjà parvenu à cloner l'empreinte digitale de la ministre fédérale de la Défense allemande en la reconstituant grâce à des photos publiques en haute définition."


Le problème des données biométriques étant que contrairement à un mdp 1) on ne peut pas en changer et 2) on ne peut pas juste en garder un hash salé dont le vol a peu de conséquences.
A cause de la variabilité dans les mesures, il faut être en mesure non pas de dire "l'observation actuelle correspond exactement à l'observation de référence" mais "l'observation actuelle est compatible avec l'observation de référence". Un peu comme si on voulait permettre l'acceptation d'un mdp contenant au maximum 1 ou 2 fautes de frappe.
Le #1931635
J'aime bien google authenticator pour les sites et les services qui le supportent, mais ils sont pas très nombreux encore.
Le #1931636
Dodge34 a écrit :

J'aime bien google authenticator pour les sites et les services qui le supportent, mais ils sont pas très nombreux encore.


Moi j'aime pas dire à Google quand je vais sur tel ou tel site, merci bien.
Le #1931638
skynet a écrit :

Aucune sécurité ne sera parfaite, biométrique, double ou forte.
Dans tous les cas on pourra pirater ces données supplémentaires.
Une base de données biométriques ? Piratable !
Une donnée biométrique ? Piratable !

" Début 2015, un hacker était déjà parvenu à cloner l'empreinte digitale de la ministre fédérale de la Défense allemande en la reconstituant grâce à des photos publiques en haute définition."


je suis curieux de savoir quelle définition doit atteindre son appareil photo pour réussir à recopier des empreintes de loin (pour ne pas que la victime ne s'en rende compte) et que la main était probablement en mouvement.
Le #1931640
Le jour ou on s'identifiera avec l'empreinte de l'anus, on sera tranquille
Le #1931644
fred300 a écrit :

Le jour ou on s'identifiera avec l'empreinte de l'anus, on sera tranquille


Trop de trous du cul dans ce monde. Il y aura risque de collision.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]