Le mot de passe : maillon faible de la sécurité

Le mot de passe est la technique d’authentification la plus populaire pour sécuriser l’accès à nos emails ou à nos comptes bancaires en ligne. Pourtant, le mot de passe est la pire des méthodes d’authentification existantes : faciles à trouver, notamment grâce aux attaques par force brute, difficiles à retenir lorsqu’ils sont compliqués et longs, faciles à deviner s’ils sont trop simples, etc.

S’il existe des moyens plus sécurisés, pourquoi la plupart des entreprises continuent-elles d’utiliser les mots de passe ? Pourquoi les entreprises dépensent-elles de tels budgets pour la gestion des mots de passe ? Pourquoi les réglementations portent-elles autant d’attention à l’utilisation et à la sélection des mots de passe ?

Jusqu’où faut-il aller en matière d’authentification ?

Certains prônent une authentification plus sûre, d’autres une authentification à deux facteurs (deux méthodes différentes combinées). Les deux solutions sont justes et permettent d’améliorer la sécurité ; mais cela ne suffit pas car il n’existe dans ces cas qu’une seule ligne de défense (même si celle-ci se veut plus solide).   

Or, que se passe t-il si notre première et seule ligne de défense échoue ? Si l’authentification est piratée ?

Dans certains cas, il existe une solution simple et efficace avec la mise en place d’un deuxième niveau d’authentification pour mettre à l’épreuve l’utilisateur souhaitant effectuer une action ou accéder à un contenu nécessitant un niveau de privilèges élevé.

Utiliser plusieurs couches d’authentification est une bonne idée lorsqu’elles sont correctement implémentées. La question est de savoir combien de couches utiliser ? Deux, trois, peut-être quatre ? Certaines banques demandent une nouvelle authentification avant de procéder à chaque nouvelle action. D’autres proposent l’authentification par SMS avec des tokens temps réels. Pourtant, est-ce que cela améliore vraiment la sécurité du système ? Contre un possible détournement de session, oui. A part ça, cela sert surtout à rendre fou l’utilisateur. 

Toutefois, le concept n’est pas si mauvais qu’il n’en a l’air. Le but est de s’assurer que l’utilisateur est bien l’utilisateur légitime tout au long de l’utilisation de la session, qu’il n’y a pas de vols de données en cours, de vols de session ou toute autre activité malicieuse sur la session. Si le concept n’est pas nouveau, aujourd’hui des technologies bien plus efficaces et abouties existent.

Une nouvelle ère en matière d’authentification

Grâce à la reconnaissance de son mode d’action, de son fonctionnement et de ses habitudes : comment il tape sur l’ordinateur, comment il utilise et clique sur sa souris, etc. l’utilisateur est authentifié en continu en toute transparence. Ce qui peut ressembler à une forme de reconnaissance biométrique est, en fait, la définition de l’empreinte digitale cognitive de l’utilisateur. Cette forme d’authentification challenge en permanence l’utilisateur puisque celui-ci prouve quelque chose qui est très difficile à voler ou à copier.
Il ne s’agit pas ici non plus d’une solution miracle et l’utilisateur conservera probablement son mot de passe ou une autre méthode d’authentification par login, mais cela augmentera assurément la sécurité et imposera de nouveaux challenges à relever pour le cybercriminel.

Ce concept d’authentification actif est une très bonne idée. Le but premier de l’authentification est de reconnaître les utilisateurs et être sûr que seuls les utilisateurs autorisés puissent réaliser certaines actions ou accéder à des données sensibles. Pourtant, la plupart des systèmes d’authentification actuels se concentrent sur l’authentification de l’utilisateur à l’entrée, et laissent ensuite l’autorisation se charger de tous les autres accès. 

Le plus important est donc d’être capable de surveiller et tracer les activités des utilisateurs, de préférence en toute transparence. Ce n’est finalement pas le login que nous voulons contrôler mais les actions une fois la connexion réussie.

Dis-moi ce que tu fais, et je te dirais qui tu es !

Les « empreintes digitales cognitives » ou d’autres méthodes d’analyse comportementale pour reconnaître et vérifier l’identité et les actions de l’utilisateur permettent de surveiller en continu les utilisateurs, plutôt que de se fier à quelques points de contrôle. Ces techniques offrent donc une meilleure expérience utilisateur et un niveau beaucoup plus élevé de sécurité.

En outre, cela ouvre également à d’autres résultats intéressants. Dans de nombreuses entreprises, les utilisateurs ont tendance à échanger leurs mots de passe afin de partager plus facilement l’accès à certaines ressources : selon une étude menée en 2014*, 1 utilisateur à privilèges (PDG, consultants sécurité, etc.) sur 7 a déjà partagé ses identifiants personnels en interne. Ceci est probablement le pire cauchemar du RSSI. Et malgré les formations, les cadres règlementaires et les efforts de sensibilisation mis en œuvre par ces mêmes responsables, ces pratiques demeurent car selon les employés, elles facilitent le business et l’atteinte de leurs objectifs. Ainsi, les personnes malintentionnées dans l’entreprise peuvent utiliser les comptes de leurs collègues pour accéder à des données sensibles en ayant très peu de chances d’être prises en défaut.

En utilisant les méthodes d’empreintes digitales cognitives, il est possible de détecter et de bloquer ce type d’actes malicieux mais également d’identifier les acteurs malveillants internes en se basant sur leur comportement comparé à leur profil initialement défini. 

Le temps est venu de porter l’authentification et la surveillance des activités à un niveau supérieur en matière de sécurité en demandant à nos systèmes de sécurité de reconnaître les utilisateurs par leur comportement et non plus uniquement par leur mot de passe. 

* Etude réalisée auprès de 300 utilisateurs à privilèges (consultants sécurité IT, PDG, RSSI, DSI, etc.).