TELECOM PARIS ALUMNI
Retour aux actualités
Article suivant Article précédent

Revue TELECOM 185 - L’authentification forte est-elle l’avenir du mot de passe ?

Articles Revue TELECOM

-

21/06/2017

L’authentification forte

 

est-elle l’avenir

 

du mot de passe ?

 

Par Bernard Malachane (1984)

 

L’authentification par identifiant et mot de passe a été longtemps et est encore le moyen le plus répandu. Avec la croissance de la cybercriminalité, le besoin de renforcer la sécurité des accès en ligne a vu apparaître l’authentification à deux facteurs, d’abord pour des usages professionnels puis plus récemment pour des usages personnels avec des solutions comme celle proposée par Google (Google Authenticator). Pour autant et malgré la croissance incontestable des attaques par vol d’identifiants, ces solutions ne connaissent pas le déploiement massif attendu car celles qui sont vraiment efficaces sont à la fois trop coûteuses et trop contraignantes à utiliser. 

 
Une activité lucrative : le vol d’identifiants

Bon nombre ont en tête le piratage d’ampleur subi en décembre 2013 par la chaîne de magasins américains Target. Selon les estimations, la perte conséquente aurait dépassé les 236 millions de dollars sans compter l’impact sur les bénéfices dans les trimestres qui ont suivi l’attaque. Les auteurs avaient volé des identifiants à un sous-traitant chargé de la maintenance de la climatisation, puis s’en sont servis comme porte dérobée virtuelle pour s’introduire dans les systèmes centraux de Target.  Trois ans plus tard, en 2016, Yahoo fait la une de l’actualité de la cybercriminalité, en dévoilant très tardivement le vol avéré en 2014 portant sur 500 millions d’identifiants. D’autres piratages analogues (Google, Dropbox, …) ont marqué ces dernières années et il serait fastidieux d’en faire une énumération. 
Verizon indique dans son rapport 2016 « Data Breach Investigation Report 2016 » que « 97% des piratages commis en 2016 l’ont été par l’intermédiaire de vols d’identifiants ». 

Si les modes opératoires sont variés (phishing, exploitation de vulnérabilités diverses comme l’utilisation de réseaux wifi peu sécurisés, l’utilisation d’un mot de passe identique pour de nombreux services, piégeage par keylogging, …), la motivation des attaquants est une constante car le vol d’identifiants est une activité particulièrement lucrative. 
Voler des identifiants permet en effet de renvoyer des spams, d’installer des services, d’accéder à des ressources, d’accéder à des informations … et la mise à disposition de ces ressources se négocient bien dans le darknet.


Différencier authentification et identification

Face à ces constats se pose la question des moyens d’identification et d’authentification des comptes en ligne. Il importe dans un premier temps de clarifier tout en les différenciant les notions d’identification et d’authentification, car ces notions sont trop souvent assimilées entre elles voire avec également avec la notion d’autorisation. 

L’identification consiste à déterminer l’identité d’une personne, à répondre à la question : qui êtes-vous ? L’authentification consiste, en revanche, à procéder à une vérification, à répondre à la question : êtes-vous bien Monsieur ou Madame X ? 
Lorsque vous présentez votre pièce d’identité lors d’un contrôle, vous ne faites l’objet d’une simple identification mais non d’une authentification car le lien entre vous et votre pièce d’identité n’est pas établie de façon indiscutable, irrévocable et reconnue par les tribunaux en cas de litige. L’authentification ne sera effective que lorsque, par exemple, vous vous serez soumis, par exemple, à la lecture de vos empreintes digitales apportant ainsi la preuve de ce lien. 
Les textes publiés par les normes et réglementations dans ce domaine nous aident particulièrement. C’est le cas du règlement européen sur la confiance numérique n°910/2014 du 23 Juillet 2014 qui propose deux définitions.
•    Identification électronique : processus consistant à utiliser des données d’identification personnelles sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale. 
•    Authentification : processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique. 

C’est également le cas du RGS (Référentiel Général de Sécurité) de l’ANSSI qui clarifie ses notions en indiquant que l’authentification est toujours précédée ou combinée avec une identification qui permet à une entité (personne ou machine) de se faire reconnaître du système par un élément dont on l’a doté : un identifiant.  En résumé, s’identifier c’est communiquer un identifiant présumé, s’authentifier, c’est apporter la preuve que l’entité s’est vue attribuer cet identifiant. 
Par rapport à l’identification, l’authentification fait donc apparaître une notion essentielle : celle de la preuve, chère aux juristes. Essentielle, pour que, par exemple, puissent être mis en application les outils juridiques dont se dote l’Union Européenne depuis 2014 par le biais du règlement pour l’identité numérique. 


Les limites actuelles de l’authentification forte 

Le nombre des attaques précédemment relatées avec leur impact financier considérable démontrent clairement les limites du mot de passe comme moyen d’authentification « simple » et la nécessité de recourir à des moyens d’authentification renforcée « multi facteur » appelé plus simplement « authentification forte ». 

Comment prouver son identité ? On dénombre trois moyens de le faire : 
•    Au travers de ce que l’on sait : typiquement un mot de passe mais également un nom ou un secret, 
•    Au travers de ce que l’on possède : typiquement une clé mais également une carte ou un badge, 
•    Au travers de ce que l’on est : typiquement une empreinte digitale mais également un visage ou une voix. 

On définit l’authentification forte comme celle obtenue par combinaison d’au moins deux des moyens précédemment énoncés. 
Quelle que soit la technologie choisie, un utilisateur devant faire appel à des solutions se voit aujourd’hui confronté à un dilemme : celui de choisir entre la performance de sécurité d’une part et, d’autre part, le coût et l’expérience d’usage. On constate par exemple que les solutions utilisant un composant matériel offrent un niveau de sécurité bien supérieur aux autres. C’est la raison pour laquelle, en particulier, le rapport annuel de la sécurité des cartes de paiements publie chaque année un taux de fraude pour les paiements de proximité (carte bancaire et lecteur de carte) environ vingt-cinq fois plus faible que pour les paiements en ligne. Pour autant, le coût et l’expérience utilisateur ne permettent pas le déploiement de ces solutions à des usages de masse, et peu de banques équipent leurs clients avec ce type de solution pour effectuer leurs opérations. 
On constate à l’inverse que les solutions de type OTP sms (envoi d’un code à usage unique via sms) permettant de valider le paiement des achats sur le web sont largement utilisées car moins contraignantes puisqu’elles ne nécessitent pas d’utiliser un token ou une carte à puce. En revanche, les performances de sécurité de ce type de solutions ne sont plus au rendez-vous si l’on se réfère au NIST (National Institute of Standards and Technology) (organisme de standardisation américain) qui a publié durant l’été 2016 un article indiquant que ce mécanisme est désormais obsolète. 

 

 

Vers une adoption massive de l’authentification forte pour les services de paiement

La généralisation de l’authentification forte du payeur prévue pour 2018 dans le cadre de la nouvelle directive européenne sur les services de paiement (DSP2) atteste de la prise de conscience de cette réalité par le régulateur. Cependant, les freins à cette adoption sont multiples et il ne suffit pas d’édicter des règles et des juridictions en la matière pour que l’adoption soit effective. 

En témoigne le fait que nombre d’organisations dont La FEVAD (Fédération Professionnelle du e-commerce) s’inquiètent des règles par trop strictes de cette nouvelle directive de l’EBA (Autorité Bancaire Européenne) et redoutent un impact à la baisse sur les ventes en ligne. 

De nombreuses expérimentations prévues en matière d’authentification forte feront de l’année 2017 une première étape dans le processus d’adoption pour le secteur des services financiers en Europe. 

 

L'Auteur

Bernard Malachane (1984), co-fondateur Skeyecode. Après une expérience de plusieurs années en conduite de projets structurants dans le secteur des télécommunications de défense chez Thalès puis chez Orange, il se consacre au management de l’innovation et à l’accompagnement de l’entrepreneuriat innovant en France dès le début des années 2000. C’est dans ce cadre qu’il participe dès 2005 à la création et au développement d’un des pionniers français dans le domaine de la cybercriminalité et de la cyber assurance. Fort entre autres de cette expérience, il cofonde en 2015, Skeyecode SAS, éditeur SaaS d’une solution d’authentification forte. 

 

 

 

209 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 194 - Editorial Laura Peytavin et Yves Poilane

User profile picture

Rédaction Revue TELECOM

13 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Les chatbots au service de la relation client digitale et humaine par France Heringer-Jallot (1990) et Angie Anazgo (2013)

User profile picture

Rédaction Revue TELECOM

12 novembre

Articles Revue TELECOM

Revue TELECOM 194 - De Paris à Palaiseau

User profile picture

Rédaction Revue TELECOM

12 novembre