Cybersécurité et méthodes d'authentification

La pratique identifiant et mot de passe est-il encore un moyen efficace pour protéger l’accès à des données ou des services ? à l’heure où les collaborateurs des entreprises se connectent à un nombre croissant d’applications par jour, où la complexité des mots de passe demandés ne cesse d’augmenter et où les cyberattaques s’amplifient en nombre et en intensité, il est temps d’interroger la pertinence des systèmes actuels d’authentification.

Vu et entendu : une cyberattaque contre un fournisseur de messagerie

Début 2016, un fournisseur de messagerie en ligne a subi une cyberattaque au cours de laquelle il s’est vu dérober sa base de données de 98 millions de compte. Le fournisseur de messagerie avait mis en place un système de connexion classique, avec un identifiant et un mot de passe ne requérant aucune complexité. L’expérience utilisateur, négligée lors de la conception de la solution, demandait une saisie du mot de passe à chaque connexion, ce qui incitait les internautes à l’utilisation de mots de passe simples. Dans les faits, 000000 et asdasd étaient les mots de passe les plus utilisés. Par ailleurs, les données étaient stockées en clair et étaient facilement accessibles, et le fait qu’aucune solution alternative d’authentification n’ait été envisagée, telle que l’authentification forte ou l’authentification unique (SSO), rendait la divulgation des mots de passe critique. Alors qu’un simple audit de sécurité aurait permis de détecter que les mots de passe avaient une complexité trop faible et qu’ils étaient stockés en clair dans la base, la négligence du fournisseur de messagerie l’a rendu vulnérable aux attaques et a permis aisément le vol de sa base de données.

Aujourd’hui, le vol d’identifiants ou l’utilisation de mots de passe trop facilement déchiffrables sont la cause de plus de trois quarts des cyberattaques subies par les entreprises. Le système d’authentification par identifiant et mot de passe présente en effet plusieurs défauts majeurs: exp1) l'attaque Force-brute (bruteforce), qui permet à un attaquant de deviner le nom d'utilisateur et le mot de passe à l'aide d'un traitement automatisé d'essais et d'erreurs, cette attaque demande une puissance de calcul importante. Le CPU (voire le GPU) sont très sollicités. exp2) L'attaque par dictionnaire, l'attaque sans doute la plus rapide de toute. Supposons que l'utilisateur à inscrit un mot simple, utilisé dans le langage de tous les jours ou un nom propre plutôt connu. un logiciel testera des mots de passe qui proviendront d'une liste. Un dictionnaire français contient maximum 90 000 mots, un anglais 200 000. Si nous prenons les noms propres les plus courants, nous atteignons les 300 000 mots maximum. Cela dépend de la vitesse de l'ordinateur et du logiciel, 1 minute suffit pour trouver un mot de passe avec les ordinateur récents... 

Quelles sont donc les alternatives au système d’authentification par identifiant et mot de passe ? Et comment pallient-elles ses insuffisances ? Aujourd’hui, un certain nombre de technologies existent qui, combinées ensemble, sont en mesure de réduire le risque cyber des entreprises tout en s’adaptant aux nouveaux usages des collaborateurs et au confort d’expérience utilisateur qu’ils attendent. Elles ont toutes pour point commun de se baser, non sur ce que le collaborateur sait (la combinaison des lettres et des chiffres qui composent son mot de passe), mais sur ce qu’il est, ce qu’il a, où il est ou ce qu’il fait.

Parmi ces solutions, on trouve notamment les technologies biométriques – qui font porter le procédé d’authentification sur l’identification d’une caractéristique propre au collaborateur : son empreinte digitale, son iris, sa voix, son visage, mais également des systèmes de tokens , des codes à usage unique (2FA) faisant porter l’authentification sur un objet que possède l'utilisateur, des applications de la géolocalisation – faisant porter l’authentification sur le lieu où se trouve l'utilisateur ou les déplacements qu’il a effectués – ou encore des adaptations de la blockchain.