Les mots de passe deviendront-ils démodés ?

140522_passwords

Le détournement de données arrive et il arrive même très souvent.

Rien que ce mois-ci des incidents ont eu lieu visant des cibles telles que la Veterans of Foreign Wars of the United States, LaCie Hardware et tout dernièrement 30.000 étudiants et alumni de l’Iowa State University, lors d’une attaque impressionnante durant laquelle les numéros de sécurité sociale ont été glanés et le serveur de l’université utilisé à des fins de forage Bitcoins.

Puis ce fut le tour de Heartbleed, la vulnérabilité super-critique s’apparentant à l’apocalypse de la toile qui entraîna potentiellement la publication des identifiants d’utilisateurs de 2/3 de tous les sites web actuellement existants et continuera probablement à agir de la sorte pendant les deux prochaines années à venir.

Nous vous avons informé sur  l’importance de l’usage de mots de passe forts, mais même les mots de passe les plus forts ne servent à rien si on s’en empare en texte clair. Reste alors la question suivante : Les attaques constantes sur les données signifient-elles que les mots de passe et autres identifiants sauvegardés sur un serveur perdront leur valeur et deviendront des tokens démodés du passé ?

Futures alternatives aux mots de passe

Les mots de passe forts sont toujours aussi importants. 53q)y&67cs#Me09x_oti est toujours moins susceptible d’être attaqué par dictionnaire que 123456. Cela importe peu car un pirate peut tout simplement chercher l’endroit où 53q)y&67cs#Me09x_oti est sauvegardé en texte clair et l’associer avec son nom d’utilisateur correspondant ainsi que d’autres identifiants potentiellement utiles, tels que le numéro de votre carte de crédit ou votre numéro de sécurité sociale. Les prestataires de services compétents tiennent à prendre leurs précautions, mais personne n’est protégé contre des attaques menées par des groupes hautement organisés et avancés qui cherchent à s’en mettre plein les poches.  Comme on a pu le constater avec Heartbleed, les systèmes de sécurité informatique sont toujours sujets aux négligences humaines. Certains développeurs ont donc décidé de contourner complètement la sécurité par mots de passe.

La reconnaissance faciale

L’entreprise japonaise NEC Corporation vient d’annoncer le lancement d’un programme de sécurité biométrique nommé NeoFace Monitor, qui se sert de la technologie de reconnaissance faciale pour bloquer et protéger des PCs. Selon des rapports, cette technologie a démontré seulement 0,3% de taux d’erreur  et a d’ores et déjà été reconnue par le NIST. NeoFace s’appuie sur des algorithmes de traitement d’images afin de reconnaître les traits de visage des utilisateurs regardant dans la caméra de leur PC. Si NeoFace trouve une concordance, le PC sera débloqué, tout comme si vous vous serviez d’un mot de passe. NeoFace est en ce moment disponible sur Windows 7 et 8, mais NEC a annoncé avoir l’intention d’élargir le support sur Android et a également installé « des appareils destinés à la reconnaissance faciale mobiles » dans un bon nombre de magasins, banques et hôtels à Hong Kong pour voir de quelle manière la reconnaissance faciale est capable d’aider les propriétaires à augmenter la sécurité et améliorer le service clientèle.

En théorie, NeoFace et d’autres technologies de reconnaissance faciale pourraient également permettre aux utilisateurs l’accès à tout site web. En réalité, cela pourrait poser des problèmes techniques ou financiers à de nombreuses entreprises, mais cela augmenterait sûrement la sécurité vu qu’un visage est beaucoup plus difficile à voler qu’un mot de passe.

Scanneurs d’empreints digitales

Un autre moyen biométrique permettant de contourner la nécessité de mots de passe serait la technologie moins futuriste des scanneurs d’empreintes digitales. Comme la reconnaissance faciale, les scanneurs d’empreintes digitales s’appuient sur une composante biologique unique de chaque individu. Contrairement à la reconnaissance faciale, il est néanmoins assez facile de contourner cette mesure de sécurité comme des tests l’ont déjà prouvé de manière répétée. La vidéo dans l’article d’Ars Technica nous montre comment des hackers au chapeau blanc contournent le scanneur d’empreinte digitale d’un Samsung Galaxy S5 à l’aide d’une empreinte digitale falsifiée créée en prenant une photo d’une véritable empreinte trouvée sur la superficie brillante du téléphone. Les pirates se sont ensuite connectés sur le smartphone, ont ouvert l’application PayPal et transféré de l’argent d’un compte test à un autre, ce qui démontre la facilité avec laquelle un vrai hacker pourrait agir. Évidemment, une telle attaque présuppose l’accès physique aux empreintes digitales, ce qui veut dire que cette technologie pourrait réellement être une bonne solution pour sécuriser l’accès à des sites web hébergés sur des serveurs se trouvant de l’autre côté du monde.

Chromebook Easy Unlock

Connaissez-vous quelqu’un ayant accès  à sa voiture sans clé, capable d’ouvrir et de démarrer sa voiture sans rien sortir de sa poche et rien qu’en appuyant sur une touche ?  Selon des rumeurs, c’est bien ce que Google envisage pour ce qui est de l’avenir de la sécurité de Chromebook. Easy Unlock fonctionnerait de la même façon que l’accès sans clé à une voiture, à la différence près qu’au lieu d’utiliser une commande à distance émettant un signal radioélectrique, vous vous serviriez d’un dispositif muni d’Android et autorisé pour débloquer votre Chromebook. Google n’a pas encore publié de communiqué officiel concernant la date de disponibilité de cette technologie, mais apparemment des supports marketing et des manuels d’utilisation ont déjà été publiés et de plus ce ne serait pas la première fois que l’entreprise se lance dans la recherche d’alternatives aux  mots de passe.

Solutions courantes autres que les mots de passe

Cela va durer encore quelque temps d’ici à ce que les technologies biométriques et autres technologies remplaçant les mots de passe n’entrent dans le domaine public. Entre-temps, une des meilleures manières d’ajouter une couche supplémentaire de sécurité à votre vie numérique consiste à activer l’authentification à deux facteurs sur les sites web qui la permettent. Avec l’authentification à deux facteurs vous devez faire une démarche supplémentaire à chaque fois que vous vous connectez sur un site web depuis un dispositif inconnu, tel que l’ordinateur d’un ami. Cette démarche supplémentaire consiste à saisir en plus de votre mot de passe un code de sécurité que vous recevez par SMS sur votre téléphone portable. Grâce à l’authentification à deux facteurs si quelqu’un s’empare de votre mot de passe, celui-ci ne pourra pas  se connecter sur votre compte à moins qu’il ne s’empare également de votre ordinateur. Étant donné que la plupart des cas d’usurpation de mot de passe sont causés par des agresseurs à distance, cela représente un dispositif de sécurité puissant et une bonne fonction à ajouter à chaque compte en disposant –surtout pour les services mail et bancaires.

Malheureusement, l’authentification à deux facteurs n’est pas entièrement immunisée aux malwares. Des pirates ont conçu des malwares destinés à  infecter des dispositifs mobiles et intercepter des codes d’authentification à deux facteurs envoyés par des prestataires de services. C’est ce qui se passe en ce moment avec l’application malveillante iBanking et c’est la raison pour laquelle nous n’avons ménager auncun effort pour créer  Emsisoft Mobile Security.

À part l’authentification à deux facteurs, la meilleure manière de vous protéger consiste à utiliser des mots de passe forts, difficiles à retenir ainsi qu’un système de gestion de mots de passe de votre choix – soit disponible sur le marché soit manuel. Dans la plupart des cas, les prestataires de services sauvegardent votre mot de passe sous forme de hash cryptographique, mais si jamais ce hash est associé avec un mot de passe commun et publié, il est facile de le deviner à l’aide d’une attaque par force brute ou par dictionnaire. Cette même méthode peut également permettre aux malwares de cibler votre ordinateur directement chez vous. C’est pourquoi nous créons des solutions anti-malware n’ayant que peu d’impact sur votre ordinateur et prenant en compte l’environnement de votre PC.

En fin de compte, les auteurs de malwares cherchent à gagner de l’argent, et jusquà présent la clé permettant l’accès à vos moyens financiers est votre mot de passe. Dans un monde idéal, cette clé serait complétée par des scanneurs de rétine, capteurs laser et probablement un rottweiler enragé muni d’une mitraillette – mais pour le consommateur, la technologie n’en est pas encore arrivée là. Peut-être qu’un jour, nous nous promènerons munis de puces et de codes barres intégrés et nous servirons de notre ADN, mais d’ici là, la meilleure approche consiste à combiner ce qui est couramment disponible pour créer une forteresse numérique à plusieurs couches. Autrement dit, créer une cryptographie vivante.

Bonne journée (protégée par mot de passe) à vous !

Monika

What to read next

Reader Comments