Temps restant pour participer

  • Jours
  • Heures
  • Minutes
  • Secondes
0 item(s) - 0,00 €

You has 0 products in cart

You have no items in your shopping cart.

Taxes 0,00 €
Total: 0,00 €
View cart

Produit ajouté au panier avec succès

Quantité
Total

Il y a 0 produits dans votre panier. Il y a 1 produit dans votre panier.

Total produits
Frais de port  Livraison gratuite !
Taxes 0,00 €
Total
Continuer mes achats Commander

La crise de l’identité digitale : les hackers ne piratent pas, ils se connectent.

La crise de l’identité digitale : les hackers ne piratent pas, ils se connectent.

Nous sommes tous passés par là : nous peinons à nous souvenir du mot de passe utilisé pour le compte auquel nous essayons de nous connecter. Cela fait déjà quelques siècles que les mots de passe et les phrases de passe existent et ces derniers sont utilisés dans de nombreuses applications, de l'entrée dans des clubs privés à l'accès à des sites militaires restreints. Aujourd'hui, nous utilisons des mots de passe pour accéder à presque toutes les plateformes logicielles allant des réseaux sociaux aux applications de livraison jusqu’aux services bancaires.

Les professionnels de la sécurité nous demandent constamment de rendre nos mots de passe plus longs, plus complexes et impossibles à deviner, mais combien d'entre nous suivent ces directives ? En général, les gens essaient de choisir quelque chose dont ils se souviennent facilement, comme une phrase de leur livre ou de leur chanson préférée, ou le nom de leur animal de compagnie.



Malheureusement, cette méthode présente un défaut inhérent : ces phrases de passe ne sont jamais sûres.

Pensez au moment où vous devez choisir un mot de passe à quatre lettres. Il existe environ sept mille mots de quatre lettres dans le dictionnaire anglais, ce qui fait qu'il est relativement facile, même pour un mauvais acteur novice, de deviner celui que vous avez choisi. En revanche, si vous choisissiez quatre lettres totalement aléatoires au lieu d'un mot, vous auriez le choix entre 456 976 combinaisons de mots de passe possibles.

Selon les estimations actuelles, il y a environ 300 milliards de mots de passe en usage, et avec environ 7 milliards de personnes, cela représente 43 mots de passe par personne. Cela fait beaucoup à retenir pour tout le monde, surtout si ces mots de passe doivent être aléatoires et uniques. La plupart des gens peuvent-ils se donner la peine d'avoir différents mots de passe aléatoires ?

Plus de 13 milliards de mots de passe ont déjà été compromis et sont disponibles sur le dark web pour les pirates. Cela leur facilite grandement la vie, car ils n'ont pas besoin d'outils sophistiqués pour se connecter à votre compte. Le plus inquiétant est que dans une organisation moyenne, environ 50 mots de passe sont persistants, c'est-à-dire qu'ils ne changent jamais et sont constamment utilisés par une application.

Cela signifie qu'un pirate n'a pas besoin d'essayer de trouver une voie d'accès difficile à votre système, car il lui suffit de voler, de deviner ou d'acheter votre mot de passe sur le dark web.

Microsoft a récemment annoncé qu'il allait passer à des technologies sans mot de passe. Cependant, la plupart de ces systèmes se contentent de masquer le mot de passe, qui peut toujours être volé et donner accès à un pirate. Toute organisation qui adopte ces solutions sans mot de passe doit faire preuve de diligence raisonnable sur le plan technique pour s'assurer qu'elle n'achète pas simplement un argumentaire de vente fantaisiste.



COMMENT POUVONS-NOUS VRAIMENT RÉSOUDRE CE PROBLÈME ?



La première étape consiste à examiner comment les humains authentifient d'autres humains. Nous n'utilisons pas de mots de passe. Lorsque vous appelez quelqu'un, la première chose que vous faites est de vérifier que le numéro de téléphone sur lequel il sonne est bien celui associé à son nom. Si un ami vous appelait d'un numéro différent, vous seriez quelque peu suspicieux.

Ensuite, vous essayez de reconnaître leur voix et de vous assurer qu'elle leur ressemble. La troisième chose que nous faisons est d'essayer de comprendre leur idiolect, leur langage unique, leur grammaire et leur argot. S'ils se mettent à parler de manière radicalement différente, ou si leur voix sonne faux, les soupçons commencent à se porter sur eux. 

Dans un contexte numérique, une plateforme d'authentification doit prendre en compte plusieurs vecteurs de risque au lieu d'un seul.

Le premier vecteur à examiner est l'appareil à partir duquel l'utilisateur tente d'entrer. Chaque appareil a un certain degré d'unicité. Même si deux appareils ont été fabriqués par la même entreprise dans le même entrepôt, il y a toujours de légères différences d'un appareil à l'autre - nous appelons cela l'entropie. Mesurer cette entropie nous permet de savoir quel appareil demande l'accès.

Le deuxième vecteur à examiner est l'identification et la vérification de l'utilisateur qui accède au dispositif. Cela ne devrait pas se faire par des mots de passe, mais par les éléments que nous portons sur nous en permanence, comme notre visage, nos empreintes digitales ou toute autre caractéristique unique. Il y aura toujours des failles dans ces méthodes d'identification de l'utilisateur final, c'est pourquoi nous devons évaluer les risques et la précision de la technologie, tout en innovant constamment pour identifier les caractéristiques de la fraude, par exemple les traces de Deepfake.

Si nous ne faisons pas confiance à la méthode de vérification de l'identité, nous devrions toujours disposer d'une option secondaire de vérification de l'identité. Par exemple, si la plateforme de reconnaissance faciale nous indique qu'elle n'est sûre qu'à 75 % que la personne est bien celle qu'elle prétend être, alors que notre seuil est de 80 %, nous devrions pousser l'utilisateur à s'authentifier par un autre mécanisme, comme l'empreinte du pouce.

Troisièmement, nous devrions examiner le comportement de l'utilisateur une fois qu'il est authentifié, au lieu de faire simplement confiance au processus. Nous devrions nous demander :

  • Cet utilisateur se comporte-t-il comme il le fait normalement ?

  • Accède-t-il à des informations auxquelles il n'a normalement pas accès ?

C'est là que l'IA et l'apprentissage automatique peuvent vraiment aider, en surveillant le comportement de l'utilisateur et en s'assurant qu'il correspond à ce que nous savons que l'utilisateur fait normalement.

Enfin, nous devons abandonner le stockage permanent des informations de l'utilisateur pour accéder à un système et nous orienter plutôt vers une méthode d'authentification éphémère. Si les cookies, par exemple, ne sont généralement pas conçus pour voler des informations, les pirates peuvent les utiliser pour espionner l'utilisateur ou obtenir son login et son mot de passe dans certains cas. Si nous passons à une méthode d'authentification éphémère et contextualisée, en évaluant constamment le risque non seulement d'un utilisateur à l'autre, mais aussi d'une application à l'autre, alors nous aurons réussi à passer à une véritable architecture de confiance zéro.

Même si les pirates innovent en permanence et cherchent à déjouer nos mécanismes d'authentification, nous pouvons au moins en assurer l'essentiel et les empêcher de se connecter aux systèmes.

Please wait...