Connect:ID 2017
Security & Counter Terror Expo 2017
China Lock 2017
China Safe 2017
Border Management and Technologies Summit
Secure Identification 2017
Biometrics in Banking & Financial Services
SDW 2017
INTERPOL World 2017
Forensic Research and Technology
Security Document Summit

Mieux protéger nos échanges en ligne

Mieux protéger nos échanges en ligne

Réussir le « test du chien de garde » : c'est ainsi que Richard Guidorizzi décrit l'objectif ultime d'« Authentification active », le programme qu'il dirige au sein de la Darpa (le département de recherche avancée du Pentagone) et visant à sécuriser l'accès aux appareils mobiles des militaires américains : « Si un inconnu pénètre chez vous avec votre clef, votre chien va aboyer, car il ne se laisse pas impressionner par la clef, mais utilise d'autres techniques pour vous reconnaître : votre aspect, votre démarche, votre odeur… »

Nos comportements - moment et lieu de la connexion, façon de taper nos mots de passe, types d'informations que nous recherchons… - seront-ils un jour scrutés en permanence pour vérifier que nous sommes bien le propriétaire du profil, de la messagerie, du compte bancaire ou de l'espace de travail auxquels nous nous sommes connectés, après avoir entré le « login » et le « password » demandés ? Sans doute, tant notre vie personnelle (paiements, formalités…) ou professionnelle (logiciels ou données stockés dans le « nuage ») bascule petit à petit en ligne, et a donc besoin d'être protégée contre des failles de sécurité qui se multiplient. « Les attaques sont de plus en plus "à rebond", détaille Sherley Brothier, directeur R&D de Keynectis-OpenTrust, une entreprise française spécialisée dans l'authentification. Les hackers se servent des informations récupérées dans les serveurs d'un réseau social, par exemple, pour tenter de pirater ensuite les comptes de messagerie ouverts chez Google, Yahoo! et les autres : or dans les e-mails sont souvent stockés d'autres mots de passe ! » Lorsque Twitter a été piraté fin janvier, quelque 250.000 utilisateurs ont dû changer en urgence leurs « passwords » non seulement sur Twitter, mais aussi sur Facebook ou sur leurs webmails.

Panoplie de techniques

A l'avenir, nous devrions pouvoir choisir parmi toute une panoplie de techniques d'authentification, adaptées à nos envies, à nos besoins, mais aussi aux possibilités du moment. Tout d'abord, nous pourrons toujours utiliser des identifiants et des mots de passe. « Si nous les choisissons bien et si nous les protégeons bien, ils suffisent amplement pour s'authentifier sur des applications sans grand enjeu, comme des forums de discussion », estime Mathieu Cunche, chercheur à l'Inria (Institut national de recherche en sciences du numérique).

Solution déjà répandue dans le monde du travail, mais qui pourrait s'étendre au grand public : les cartes à puce, couplées à un code personnel, que certaines entreprises et administrations imposent, depuis une dizaine d'années, à leurs salariés et fonctionnaires pour accéder à leurs ordinateurs. « Depuis que le département de la Défense des Etats-Unis a imposé l'usage des cartes à puce à ses fonctionnaires, les intrusions dans ses réseaux ont chuté de 46 % », affirme Jeremy Grant, de la NIST (National Institute of Standards and Technology), une agence du département du Commerce des Etats-Unis. La version grand public de cette méthode est la carte d'identité électronique. En Belgique, cette carte qui associe code confidentiel et puce permet d'authentifier certaines transactions en ligne.

Pour les applications nécessitant une sécurité relativement élevée, le nouvel axe de recherche est l'« authentification multi-facteur », c'est-à-dire un identifiant, plus un mot de passe, plus « autre chose » : soit un code envoyé sur le téléphone portable (comme le font déjà certaines banques lorsque nous payons par carte sur Internet), soit une donnée biométrique (voix, iris, visage), soit un code généré par un petit appareil (« token »)…

Tiers de confiance

Quelques jours après avoir été piraté, Twitter a publié sur son site une offre d'emploi pour des spécialistes de l'« authentification multifacteur ». Voilà plusieurs mois que ses concurrents proposent à leurs utilisateurs une « authentification à deux facteurs » : les abonnés qui utilisent pour la première fois un terminal (ordinateur, smartphone, tablette…) pour se connecter à Facebook ou à Google doivent non seulement entrer login et mot de passe, mais aussi un code qui leur est adressé par SMS. Pour les deux entreprises, c'est un bon moyen de rassurer leurs clients, mais aussi d'obtenir… leur numéro de mobile, sur lequel elles pourront peut-être un jour leur envoyer de la publicité. « Un des problèmes que pose le renforcement de la sécurité est le respect de la vie privée », avertit Rene Mayrhofer, enseignant à l'université des sciences appliquées de Haute-Autriche et spécialiste de l'authentification contextuelle, c'est-à-dire l'utilisation de capteurs (GPS, gyroscope…) pour localiser les appareils mobiles et renforcer l'authentification.

D'autres acteurs étudient la piste des données biométriques. « Attention, vos données biométriques sont des données publiques, s'inquiète un spécialiste de la sécurité qui travaille pour le gouvernement français. On peut recueillir vos empreintes sur un verre, enregistrer votre voix ou vous photographier et, ensuite, déjouer assez facilement les capteurs biométriques. » Et une fois que nos données biométriques sont piratées, nous ne pouvons plus en changer !

« L'utilisation d'un "token" comme deuxième facteur semble la plus prometteuse, prédit Véronique Cortier, directrice de recherche au CNRS et à l'Inria. Un "token" est un appareil ou un logiciel capable de stocker des données, de faire de la cryptographie et de générer un code supplémentaire. Il peut prendre la forme d'une carte à puce, d'une clef USB ou d'une application pour smartphone ou tablette… » Google s'est par exemple rapproché de la société californienne Yubico, qui propose des « tokens » sous forme de clefs USB. « Google voudrait faire de notre produit un standard ouvert, affirme Stina Ehrensvärd, la fondatrice de Yubico. L'internaute paierait entre 10 et 50 dollars par an. »

Le stade ultime de l'« authentification multifacteur » sera peut-être une combinaison de toutes ces techniques : mot de passe, plus biométrie, plus « token », plus analyse du contexte (quel ordinateur est utilisé, à partir de quelle adresse IP, à quel moment, pour faire quoi…). « Pour les grands groupes, nous avons développé un système qui peut prendre en compte jusqu'à une centaine de critères, et ce pour tout type d'entreprise », affirme Bernard Montel, directeur technique pour la France de RSA, un des pionniers de la sécurité informatique (et lui-même victime d'un piratage en mars 2011).

Enfin, certains acteurs préfèrent une solution plus respectueuse - a priori - de la vie privée : faire appel à un tiers de confiance (entreprise ou administration) qui va délivrer les informations au compte-gouttes, au fur et à mesure des besoins. Nous pourrons autoriser - grâce à un mot de passe - un site Internet à consulter ce tiers de confiance. Celui-ci pourra alors lui confirmer soit notre âge (pour accéder à des forums réservés aux adultes), soit notre adresse (pour une livraison), soit nos droits administratifs (pour déclarer nos impôts), etc. Mais pas ces trois informations en même temps. Le gouvernement britannique vient par exemple de choisir PayPal pour autoriser, d'ici à quelques mois, l'accès des personnes qui veulent utiliser certains de ses services.

Conseils pratiques

L'Anssi (Agence nationale de la sécurité des systèmes d'Information - www.ssi.gouv.fr) conseille :
  • d'utiliser un mot de passe différent pour chaque service (et, au minimum, de ne pas utiliser les mêmes mots de passe pour vos activités privées et professionnelles)
  • d'éviter les mots de passe liés à votre personne (date ou ville de naissance, nom de votre employeur)
  • de modifier tous les trois mois les mots de passe protégeant vos données sensibles (comptes bancaires…)
  • de ne pas stocker vos mots de passe sur un fichier en ligne (courrier électronique…) ou sur une feuille de papier
  • d'utiliser soit la méthode phonétique (« J'ai acheté huit CD pour cent euros cet après-midi » devient ght8CD% E7am), soit la méthode des premières lettres (« un tiens vaut mieux que deux tu l'auras » devient 1tvmQ2tl'A).

Écrit par Jacques HENNO  Journaliste

Source : Les Echos

   
   
© Copyright © 2017 - Didier Guillerm - Tous droits réservés

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.