Biométrie, blockchain… ces nouvelles techniques d'authentification qui vont se démocratiser

Le par  |  24 commentaire(s)
Biométrie

Une tribune d'Arnaud Gallut, Directeur commercial Europe du Sud chez Ping Identity, sur les évolutions en matière de biométrie, preuve d'identité et authentification.

Arnaud-GallutAvec la multiplication en 2017 des piratages ciblant les consommateurs, les entreprises, et les organisations gouvernementales, la protection des informations personnelles identifiables n'a jamais été aussi importante. Il est certain que de nouvelles menaces vont continuer à apparaître, le futur semble néanmoins prometteur en termes d'avancées et d'innovations dans la cybersécurité. D'ailleurs, le gouvernement français a récemment annoncé lors de la FIC 2018 mettre les bouchées doubles en terme de cyberdéfense avec le recrutement de 1000 cybercombattants supplémentaires ainsi qu'un investissement global de 1,6 milliard d'euros sur la période 2019-2025, budget qui sera consacré aux efforts de cyberguerre.

Car même si les mentalités évoluent en termes de sécurité en ligne, les bonnes pratiques et la prudence peinent à s'imposer. La culture autour du mot de passe en est le parfait exemple. Année après année, les experts président sa mort. Pour autant, le mot de passe est toujours là, plus répandu que jamais et souvent le premier rempart entre nos données personnelles et ceux qui souhaitent en faire commerce. Aujourd'hui, ce bouclier est pourtant loin d'être suffisant. Pour preuve, en décembre 2017, des chercheurs en sécurité ont découvert sur un forum du Dark Web une base de données de 41 Go comptant 1,4 milliard d'identifiants et mots de passe.

Fort heureusement des technologies sont en voie de faire leur apparition et de se démocratiser dans un futur très proche afin d'ajouter un rempart supplémentaire à la protection des données personnelles.

Popularisation de la biométrie faciale

L'authentification multi-facteur (MFA) a déjà considérablement progressé avec l'ajout de techniques biométriques telles que les capteurs d'empreintes digitales. Pourtant, c'est lorsqu'Apple a commercialisé son iPhone X avec la fonction Face ID que la biométrie faciale a attisé les curiosités. Android prévoirait également de l'adopter largement dans son écosystème.

La question est de savoir si l'authentification par reconnaissance faciale se répandra avec autant de force que l'identification par empreintes digitales. Le débat est lancé, notamment sur la mise en pratique et la généralisation de cette fonctionnalité sur le marché. Dans tous les cas, la biométrie faciale ne peut plus être ignorée. Tout comme la reconnaissance vocale, qui semble déjà être le chapitre suivant dans la saga de l'identification, promettant encore plus de précisions dans l'authentification.

Fin des questions personnelles et nouvelles formes de preuve d'identité

Cependant, les méthodes de preuve d'identité telles que les techniques KBA (Knowledge-Based Authentication), reposant sur des questions dont seul l'utilisateur connaît la réponse, semblent être en voie de disparition. À des questions comme « quel est le nom de jeune fille de votre mère », il est désormais très facile de trouver la réponse en quelques clics via les réseaux sociaux. Pour remplacer ces « questions secrètes », il faut s'attendre à voir émerger des services reposant sur des moyens tels que « prenez en photo votre pièce d'identité physique » voire d'autres requêtes encore plus poussées, mais protégeant encore plus les utilisateurs.

Les méthodes d'authentification multi-facteur davantage ciblées par les cyberattaques

Plus que jamais, il est primordial de réfléchir à de nouvelles façons de prouver son identité, de s'identifier, afin de développer des techniques moins faillibles, et surtout, des façons de les combiner pour garantir toujours plus de sécurité. Aussi efficace que soit l'authentification multi-facteur (MFA) pour limiter les attaques opportunistes, il n'est malheureusement pas toujours possible de bloquer un pirate déterminé et persévérant. Depuis que la MFA apparaît comme un aspect plus normalisé de la protection d'identité, il est probable que les acteurs malveillants commencent à chercher des méthodes de collecte et que les auteurs de scripts malveillants déjoueront les efforts que nous déployons tous pour les mettre en échec.

Repousser les possibilités de la blockchain

Bien que la blockchain soit majoritairement associée au monde financier, elle pourrait avoir aussi une toute autre utilité. Étant donné que les technologies blockchain via les cryptomonnaies intègrent des millions d'utilisateurs ayant investi sur ce marché via des « crypto portefeuilles », ils possèdent dès lors leur propre identité dans le réseau. Ces identités reposent toutes sur des clés publiques, les clés privées étant déjà gérées par les portefeuilles. Il y a fort à parier que dès cette année, ces identités blockchain soient utilisées dans d'autres domaines que les cryptomonnaies. Et donc pourquoi pas au profit de l'authentification justement ? Après tout, la chaîne de blocs est réputée pour son imperméabilité face aux attaques et sa grande rigueur quant à la sécurité…

Au fur et à mesure, le cérémonial de l'authentification va commencer à s'estomper. À mesure que les technologies sans identifiant prendront forme, l'authentification en continu reposant sur des facteurs passifs sera de plus en plus répandue. Cela permettra d'aboutir à une situation inédite où les utilisateurs seront nettement plus authentifiés, mais se le verront demander moins fréquemment. Ces évolutions qui se profilent en matière d'identité donnent matière à repenser les usages. Rythme effréné, nouvelles technologies, vieilles menaces qui resurgissent… autant de raisons qui poussent à accélérer le train de l'authentification.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #2005400
Wow. Une tribune à chier qui laisse complètement de côté les soucis de vie privée, tout particulièrement dans le dernier paragraphe.
"l'authentification en continu reposant sur des facteurs passifs", c'est le pseudonyme de la sonde anale GAFAM.
Le #2005403
Ya une chose qui m'ennuie dans toutes ces méthodes (hors blockchain) c'est que peu importe la donnée biométrique qui peut servir dans la double authentification, ces dernières sont inscrites dans une base de données qui naturellement peu se faire pirater.
Et là bonjour le couple identifiants-données bio qui se retrouvent sur le net
On ne peut plus en changer après, c'est fini !
Anonyme
Le #2005405
skynet a écrit :

Ya une chose qui m'ennuie dans toutes ces méthodes (hors blockchain) c'est que peu importe la donnée biométrique qui peut servir dans la double authentification, ces dernières sont inscrites dans une base de données qui naturellement peu se faire pirater.
Et là bonjour le couple identifiants-données bio qui se retrouvent sur le net
On ne peut plus en changer après, c'est fini !


"ces méthodes (hors blockchain)"
=>Les "identités blockchains" sont ni plus ni moins vulnérables que des mots de passe (ou plus précisément que des clés privées mais c'est un peu pareil). Le côté blockchain n'apporte aucune contribution à la sécurisation de l'identifiant, contrairement à ce que les clowns marketteux essayent de nous vendre avec leur buzzword dans leurs tribunes idiotes.

Et +1 pour le problème des identifiants biométriques volés. Ca devrait pourtant parler aussi à ceux qui se foutent de la vie privée, mais ils n'ont pas l'air d'être capables de se poser la question...
Le #2005415
Le bon sens est notre meilleur conseiller.

- Minimum 10 caractères.

Choisir un mot de passe sûr n'a rien de compliqué.

Choisissez une phrase facile à mémoriser et élaborez votre mot de passe en prenant la première lettre de chaque mot et en incluant la ponctuation et les chiffres :

« Ma fille Tamara fête son anniversaire le 19 janvier ! »

Vous obtenez alors une chaîne de caractères apparemment arbitraire mais facile à mémoriser :

« MfTfsal19j! »
Le #2005416
Il est navrant de constater que l'auteur connaît peu son sujet et mélange allègrement les notions d'identification et d'authentification.
Contrairement à ce qui est suggéré, l'authentification biométrique n'est pas une authentification multi-facteur mais mono-facteur : ce que je suis. Elle présente de plus le risque d'une falsification relativement facile avec toutes les conséquences qui s'en suivent en cas de vol d'identité numérique; dans le cas ou la biométrie est utilisée comme identifiant et authentifiant.
Enfin la blockchain est magique puisqu'elle utilise les certificats électroniques et que c'est nouveau et par conséquent ça BUZZ!
Quid de l’authentification multifacteurs avec carte à puce/clef cryptographique usb et certificats électroniques de type X509 ou OpenPGP : ce que je sais et ce que je possède ?
Personne n'en parle est cela existe déjà ! Trop simple ? Ne rapporte pas assez ? Permet de rester anonyme tout en s’authentifiant ? Si vous avez des réponses, n'hésitez pas à en discuter suite à ce commentaire.
Anonyme
Le #2005421
Narcos a écrit :

Le bon sens est notre meilleur conseiller.

- Minimum 10 caractères.

Choisir un mot de passe sûr n'a rien de compliqué.

Choisissez une phrase facile à mémoriser et élaborez votre mot de passe en prenant la première lettre de chaque mot et en incluant la ponctuation et les chiffres :

« Ma fille Tamara fête son anniversaire le 19 janvier ! »

Vous obtenez alors une chaîne de caractères apparemment arbitraire mais facile à mémoriser :

« MfTfsal19j! »


Tout à fait.
Le #2005422
skynet a écrit :

Ya une chose qui m'ennuie dans toutes ces méthodes (hors blockchain) c'est que peu importe la donnée biométrique qui peut servir dans la double authentification, ces dernières sont inscrites dans une base de données qui naturellement peu se faire pirater.
Et là bonjour le couple identifiants-données bio qui se retrouvent sur le net
On ne peut plus en changer après, c'est fini !


Carrément d'ac' !!!

Et même, à mon avis, la BDD biométrique n'a même pas à se faire pirater ; elle sera probablement monnayée...
Le #2005434
Narcos a écrit :

Le bon sens est notre meilleur conseiller.

- Minimum 10 caractères.

Choisir un mot de passe sûr n'a rien de compliqué.

Choisissez une phrase facile à mémoriser et élaborez votre mot de passe en prenant la première lettre de chaque mot et en incluant la ponctuation et les chiffres :

« Ma fille Tamara fête son anniversaire le 19 janvier ! »

Vous obtenez alors une chaîne de caractères apparemment arbitraire mais facile à mémoriser :

« MfTfsal19j! »


Et si les sites web n'effectue pas un salage du mot de passe, tu es corrompu sur d'autres, mauvaise idée
Le #2005464
Narcos a écrit :

Le bon sens est notre meilleur conseiller.

- Minimum 10 caractères.

Choisir un mot de passe sûr n'a rien de compliqué.

Choisissez une phrase facile à mémoriser et élaborez votre mot de passe en prenant la première lettre de chaque mot et en incluant la ponctuation et les chiffres :

« Ma fille Tamara fête son anniversaire le 19 janvier ! »

Vous obtenez alors une chaîne de caractères apparemment arbitraire mais facile à mémoriser :

« MfTfsal19j! »


https://imgs.xkcd.com/comics/password_strength.png

Si le gateau préféré de Tamara est à la cerise, par exemple:

TamaraJanvierCeriseBougie

Encore plus d'entropie, même si il n'y a pas de chiffres
Le #2005467
LinuxUser a écrit :

Narcos a écrit :

Le bon sens est notre meilleur conseiller.

- Minimum 10 caractères.

Choisir un mot de passe sûr n'a rien de compliqué.

Choisissez une phrase facile à mémoriser et élaborez votre mot de passe en prenant la première lettre de chaque mot et en incluant la ponctuation et les chiffres :

« Ma fille Tamara fête son anniversaire le 19 janvier ! »

Vous obtenez alors une chaîne de caractères apparemment arbitraire mais facile à mémoriser :

« MfTfsal19j! »


https://imgs.xkcd.com/comics/password_strength.png

Si le gateau préféré de Tamara est à la cerise, par exemple:

TamaraJanvierCeriseBougie

Encore plus d'entropie, même si il n'y a pas de chiffres


On peut rajouter le mois et l'année de naissance, et là c'est béton
Suivre les commentaires
Poster un commentaire
Anonyme