Connect:ID 2017
Security & Counter Terror Expo 2017
China Lock 2017
China Safe 2017
Border Management and Technologies Summit
Secure Identification 2017
Biometrics in Banking & Financial Services
SDW 2017
INTERPOL World 2017
Forensic Research and Technology
Security Document Summit

La disparition du mot de passe prendra du temps

La recrudescence du piratage de mots de passe au cours de cette rentrée 2016 ravive la question de leur pertinence. Des startups mais aussi des géants du secteur de la cybersécurité, misent sur la disparition du mot de passe au profit de l’authentification biométrique. Mais le chemin qui n'est pas seulement technologique est encore long.

Quel est le point commun entre le service de partage de fichiers Dropbox, le site pornographique Brazzers, le navigateur web Opera, le Yahoo russe Rambler.ru et le site de musique en ligne Last.fm? Au cours des derniers mois, nous avons appris qu'ils s'étaient tous fait dérober les mots de passe de leurs utilisateurs. Si certains étaient chiffrés, donc difficilement exploitables, d’autres au contraire apparaissaient en clair dans les bases de données.

Certes, ces récentes révélations concernent des services grand public. Mais il n’est pas difficile d’imaginer que des systèmes d’information d’entreprises aient également pu en être victimes - Ne serait-ce que par le biais des personnes qui utiliseraient le même mot de passe pour leurs accès professionnels. Selon la synthèse "2016 Data Breach Investigations Report", publiée par l’opérateur américain Verizon, près de deux cyberattaques sur trois exploitent un couple identifiant/mot de passe faible ou volé. Des hackers ont donc probablement pu accéder aux réseaux informatiques de certaines entreprises en se procurant, ou en contournant, les mots de passe d’employés imprudents.

Quel est le point commun entre le service de partage de fichiers Dropbox, le site pornographique Brazzers, le navigateur web Opera, le Yahoo russe Rambler.ru et le site de musique en ligne Last.fm? Au cours des derniers mois, nous avons appris qu'ils s'étaient tous fait dérober les mots de passe de leurs utilisateurs. Si certains étaient chiffrés, donc difficilement exploitables, d’autres au contraire apparaissaient en clair dans les bases de données.

Certes, ces récentes révélations concernent des services grand public. Mais il n’est pas difficile d’imaginer que des systèmes d’information d’entreprises aient également pu en être victimes - Ne serait-ce que par le biais des personnes qui utiliseraient le même mot de passe pour leurs accès professionnels. Selon la synthèse "2016 Data Breach Investigations Report", publiée par l’opérateur américain Verizon, près de deux cyberattaques sur trois exploitent un couple identifiant/mot de passe faible ou volé. Des hackers ont donc probablement pu accéder aux réseaux informatiques de certaines entreprises en se procurant, ou en contournant, les mots de passe d’employés imprudents.

Utiliser les veines du poignet pour s’authentifier

Quand la biométrie remplacera-t-elle alors ce maillon faible qu’est le mot de passe? "A court terme, très peu d’entreprises proposeront de la biométrie à leurs collaborateurs en remplacement du login/mot de passe, estime Matthieu Guillaume, expert au sein de la société de conseil Wavestone (ex-Solucom). Mais nous constatons en parallèle une multiplication d’acteurs qui proposent des solutions innovantes de biométrie".

C’est par exemple le cas de la startup suisse Biowatch. Elle a mis au point une boucle de montre horlogère permettant à son possesseur de s’authentifier auprès de différents services grâce à l’empreinte du réseau des veines de son poignet. "Contrairement à d’autres types de biométrie, l’authentification par reconnaissance des veines n’a jamais été piraté, assure Matthias Vanoni PDG et cofondateur de Biowatch. En plus, nous mesurons le pouls, ce qui nous permet d’écarter les empreintes frauduleuses".

La jeune pousse teste sa technologie avec le Crédit Agricole dans le domaine du paiement. Un partenariat est en cours avec l’entreprise Kaba, spécialisée dans les solutions de contrôle d’accès physique. Quant aux éditeurs de logiciels? Le PDG de Biowatch ne peut rien dire pour le moment.

Google et Microsoft misent aussi sur la biométrie

La problématique des mots de passe n’a justement pas échappé à Google et Microsoft par exemple. Le premier teste en ce moment une solution d’identification par biométrie qui, si le résultat est concluant, devrait être mise à disposition des développeurs d’ici à la fin de l’année 2016.

Le second propose Hello, intégré au système d’exploitation Windows 10. Il permet de s’authentifier sur son poste de travail grâce à un système de reconnaissance faciale, de l'iris ou de l'empreinte digitale. "A mesure que les entreprises migreront leurs parcs d’ordinateurs sous Windows 10, elles en profiteront probablement pour tester Hello, en complément d’authentifications par login et mot de passe", anticipe Matthieu Guillaume.

L'adoption prendra du temps

La transition vers des systèmes d’authentification entièrement biométriques prendra du temps. Il s’agit en effet de remplacer des systèmes déjà en place depuis de nombreuses années; il va surtout falloir convaincre les utilisateurs et les rassurer sur les procédés de sécurité qui encadrent leurs données biométriques.

Parmi les autres freins, pourtant levé par beaucoup de fabricants, figure en effet la centralisation de ces données sensibles. L’empreinte doit être stockée localement (bracelet, montre, mobile, ordinateur...) et chiffrée. "Parce que l’image de son empreinte est stockée dans la boucle de la montre, l’utilisateur reste propriétaire de sa biométrie", rassure Matthias Vanoni de Biowatch. Il s’agit en effet d’éviter qu’un pirate ne siphonne une base de données biométriques comme cela a été le cas en 2015 aux Etats-Unis.

Source : http://bfmbusiness.bfmtv.com

   
   
© Copyright © 2017 - Didier Guillerm - Tous droits réservés

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.