Authentification : les alternatives biométriques aux mots de passe
Publié le 27 Octobre 2015
Pas besoin de disposer d'un supercalculateur ; avec un puissant PC portable, un programme spécialisé dans les attaques par dictionnaire peut tester 500 millions de mots de passe à la seconde
Authentification : les alternatives biométriques aux mots de passe
Le binôme identifiant/mot de passe pose quasiment autant de problèmes qu'il n'en résout : pas suffisamment fiable alors que les utilisateurs utilisent bien souvent le même.
Différentes alternatives commencent à être déployées. Mais la plupart présente des limites.
Les enquêtes se suivent et se... ressemblent toujours. Depuis des années, elles révèlent que la majorité des mots de passe (et des identifiants, appelés aussi « login ») sont rudimentaires, voire « simplistes ». Beaucoup de ces sésames sont une suite de chiffres (exemple : 123456, qui est le plus utilisé en 2013 selon une étude de Splashdata, fournisseur d'applications de gestion de mots de passe) ou de lettres (exemple : abcdef) ou de mots de la vie courante (exemple : chat, maison, bureau...). Sans parler bien sûr des incontournables dates de naissance et prénoms !
Ce constat n'est finalement pas très surprenant. Chaque internaute ayant en moyenne une vingtaine de mots de passe, la création de différents « passwords » capables de résister plus ou moins longtemps aux différentes techniques de piratage devient un casse-tête ! Il n'est donc pas étonnant que les internautes - grand public et professionnels - succombent à la facilité en imaginant des mots de passe simples à mémoriser, voire à n'en utiliser que quelques-uns pour tous leurs comptes !
Les attaques à répétition des sites (Twitter, LinkedIn, eBay, Orange...), sans parler de la faille « Heartbleed », n'arrangent pas la situation . A chaque fois, c'est la même rengaine : « changez vos mots de passe ».
A ce rythme-là, les internautes auront bientôt fait le tour de toutes les dates de naissance qu'ils connaissent !
Payer pour être en sécurité ?
Certes, il existe différentes solutions permettant de mettre à l'abri ses précieux mots de passe : le logiciel Keepass, les applications gratuites et payantes (30 euros par an) de l'entreprise française Dashlane ou encore la KrisCard (9,90 euros). Mise au point par Christophe Picot, cette carte a été doublement primée au Concours Lépine 2014 (Prix du Ministère de la Justice et Médaille d'or du concours).
Son fonctionnement est directement inspiré de celui des anciens coffres-forts que l'on ouvre en tournant une molette, dans un sens ou dans l'autre, en respectant un certain nombre de crans, correspondant à une combinaison (la seule chose à retenir) constituée de 4 à 8 chiffres, en fonction du niveau de sécurité désiré.
C'est un fait, un mot de passe n'est plus une parade efficace. Surtout s'il s'agit d'un mot de passe « faible ». « Pas besoin de disposer d'un supercalculateur ; avec un puissant PC portable, un programme spécialisé dans les attaques par dictionnaire (schématiquement, le logiciel scanne pour trouver des mots existants dans un dictionnaire, Ndlr) peut tester 500 millions de mots de passe à la seconde », prévient Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles à l'ESIEA.
Face à ce constat, différentes alternatives sont avancées et proposées. Leurs partisans tiennent tous le même discours : « notre solution est simple, mais efficace ».
Les principales solutions reposent sur l'authentification biométrique. En effet, selon une étude récente (février 2014) du cabinet d'analyse américain Gartner, 30 % des entreprises devraient recourir à des méthodes d'authentification biométrique pour leurs terminaux mobiles d'ici 2016. L'authentification par biométrie consiste à utiliser un système de reconnaissance basé sur les caractéristiques physiques ou comportementales d'un individu pour vérifier son identité.
L'empreinte digitale : simple mais risqué
L'authentification de l'empreinte digitale est la mesure biométrique la plus employée dans le monde. Une quinzaine de points caractéristiques (appelés les minuties) correctement localisés permettent d'identifier une empreinte parmi des millions. La probabilité de trouver deux individus avec des empreintes similaires est de 1 sur 1 024. Même les jumeaux monozygotes auront des empreintes digitales différentes.
Par souci de validité, certains capteurs intègrent aussi un système mesurant la pulsation cardiaque, la pression sanguine ou une photo infrarouge afin de vérifier qu'il ne s'agit pas d'un doigt coupé ou d'une empreinte artificielle.
La présence d'un lecteur d'empreintes digitales n'est pas nouvelle puisqu'en 2009, Acer l'avait intégré à son M900. Trois ans plus tard, Fujitsu faisait de même avec son Arrows Z ISW13F. Mais aujourd'hui, les smartphones se sont généralisés et les risques de piratage de données sensibles ont augmenté au fur et à mesure que leurs propriétaires y stockaient des données personnelles plus ou moins bien sécurisées.
Apple et HTC ont ouvert le bal avec, respectivement, l'iPhone 5S et le One Max. Depuis, d'autres marques ont annoncé leur intention de proposer le même service. C'est le cas de LG et de Samsung avec son Galaxy S5, dévoilé lors du Mobile World Congress 2014 de Barcelone. Le Galaxy S5 intègre une technologie d'authentification biométrique permettant aux utilisateurs PayPal de régler leurs achats, en magasin et en ligne, par simple reconnaissance de leurs empreintes digitales. Depuis cette annonce, PayPal envisagerait d'adapter cette solution au capteur Touch ID d'Apple (sous iOS 8).
« C'est complètement stupide »
Cette intégration dans un smartphone apparaît comme la première adaptation concrète des travaux menés la FIDO Alliance. Créé en juillet 2012, ce consortium réunit notamment Google, Netflix, PayPal, des établissements bancaires, mais aussi Bank of America ou Target (victime d'un piratage géant il y a quelques mois... ). Son objectif : favoriser l'authentification forte grâce à plusieurs facteurs.
Présentée comme une solution pratique et sécurisée, l'authentification digitale a été rapidement mise à mal par les hackers. « C'est complètement stupide d'utiliser comme élément de sécurité quelque chose qu'on laisse si facilement traîner derrière soi », a expliqué le président du Chaos Computer Club, Frank Rieger.
Résultat, les capteurs d'empreintes du Galaxy 5 et de l'iPhone 5S ont été piratés quelques jours après leur sortie par les chercheurs allemands du SRLabs.
L'équipe a également constaté que le smartphone coréen était moins bien sécurisé que son concurrent américain, car il n'y a pas de deuxième couche de sécurité (Code PIN sous l'iPhone 5S).
Certes, la technique utilisée par les chercheurs allemands n'est pas à la portée du premier venu (la photo d'une empreinte a été transférée sur un support à base de colle à bois, lequel est apposé sur un moule), mais elle est inquiétante : « lier le capteur à des applications aussi sensibles que PayPal va inciter encore plus les pirates à apprendre à usurper des empreintes digitales, une compétence aisée à maîtriser », souligne le SRLabs.
Le plus surprenant est que les mises en garde contre les limites de ce type d'authentification sont récurrentes depuis quelques années. En mai 2002, Tsutomu Matsumoto, de la Yokohama National University, a développé une technique permettant de concevoir de fausses empreintes digitales avec la gélatine alimentaire, utilisée pour la fabrication des bonbons. Il affirme être parvenu, 8 fois sur 10, à duper les 11 systèmes de reconnaissance d'empreintes qu'il a testés. Autre variante proposée et testée pour des empreintes laissées sur des verres : de la colle ultra forte et un logiciel de retouche photo pour augmenter le contraste de l'image avant de l'imprimer sur un transparent.
L'iris : encore de gros inconvénients
La probabilité de trouver deux individus avec des iris ayant des caractéristiques similaires est de 1 sur 1 072. Apparu au milieu des années 90, le scanner de l'iris analyse notamment la position, la longueur et le relief des tubes qui composent l'iris. Un logiciel vérifie ensuite ces caractéristiques avec celles stockées dans une base de données. Pour s'assurer qu'il ne s'agit pas d'un faux iris, certains appareils envoient une lumière dans l'œil et analysent ensuite la réaction de dilatation et de rétraction de la pupille.
Mais pour l'instant, ces dispositifs ne sont pas très répandus. La société américaine EyeLock communique sur Myris, son scanner connecté au port USB. Mais pour l'instant, il n'est pas encore en vente. Samsung avait envisagé d'intégrer cette solution à son Galaxy S5 avant de l'abandonner au profit du lecteur d'empreintes.
Pas vraiment étonnant, car cette solution présente de nombreux inconvénients. L'utilisateur ne doit pas bouger durant le scan et être près de la caméra. Par ailleurs, la capture de l'iris est jugée intrusive par certaines personnes. Ces appareils sont également volumineux. Mais surtout, ils manquent de fiabilité. Dans une intervention au Black Hat 2012, des chercheurs de l'Université autonome de Madrid en Espagne, et de l'Université de la Virginie de l'Ouest aux États-Unis, ont indiqué qu'ils avaient testé leur faux iris sur un système commercial (VeriEye de la société Neurotechnology). Dans 80% des cas, le scanner n'avait rien vu de louche !
L'authentification vocale : mais que fait Laurent Gerra ?
Leader sur les marchés des solutions d'imagerie numérique et de reconnaissance et de synthèse vocales, Nuance apparaît comme l'un des plus ardents partisans de cette solution.
Nuance est en discussion avec d'importants fabricants de téléphones mobiles pour intégrer la biométrie vocale dans leurs prochains modèles. Cette solution pourrait être utilisée à la place du code PIN et de tout autre code d'identification. Selon l'entreprise, elle serait aussi très pratique dans les foyers équipés d'une tablette partagée par plusieurs personnes. La biométrie vocale pourrait ainsi permettre de débloquer le profil spécifique (applications personnelles, playlist...) de chaque utilisateur. Autre différence majeure par rapport à d'autres solutions, la biométrie vocale est considérée par les utilisateurs comme étant moins « intrusive » que la reconnaissance de l'iris.
La solution de Nuance pourrait fonctionner de la façon suivante : « la première fois qu'un client s'identifie auprès d'un système, un échantillon de sa voix est prélevé et stocké. Lorsqu'il réutilise le système, un second échantillon de sa voix est collecté, puis comparé à l'empreinte stockée. Cette comparaison génère un score de confiance. De cette façon, on détermine si l'interlocuteur peut ou non accéder au système. En outre, la biométrie vocale est capable de s'adapter aux variations de la voix résultant, par exemple, d'un rhume ou du vieillissement », explique Joël Drakes, Responsable Avant-Vente chez Nuance Communications France.
La voix est propre à chaque personne et permettrait donc une parfaite identification. Toutefois, l'Association Francophone de la Communication Parlée (AFCP) rappelle que « la voix n'est pas une empreinte digitale ou génétique. La voix présente des différences majeures avec les empreintes digitales et génétiques » :
- La voix évolue au cours du temps, que ce soit à court terme (moment de la journée), à moyen terme (période de l'année) et à long terme (avec l'âge), ainsi qu'en fonction de l'état de santé ou l'état émotionnel.
- La voix est un élément modifiable volontairement (cf. les imitateurs) et aisément falsifiable, avec les moyens techniques existants.
L'organisme ajoute : « l'évaluation scientifique de la fiabilité des empreintes digitales et génétiques repose notamment sur l'existence de bases de données expérimentales de dimension très importante. Dans le domaine vocal, les bases de données disponibles actuellement ne comportent pas un nombre suffisant de locuteurs, de langues, de conditions d'enregistrement pour évaluer la fiabilité des méthodes existantes dans un contexte d'authentification vocale ».
Le multifacteur
Force est de constater que tout système biométrique peut être piraté. « Dès lors, l'approche nouvelle consiste à évaluer d'une certaine mesure si l'accès qui est demandé est légitime. Cela consiste à analyser le contexte de la demande d'accès pour repérer une usurpation d'identité. Par exemple, vous vous connectez toujours au site de votre banque depuis le même ordinateur ou le même smartphone en France. Si votre banque détecte une connexion depuis un pays lointain ou un autre terminal, cela peut être suspect. Dans ce cas, l'établissement bancaire peut vous envoyer un SMS pour valider cette connexion », explique Patrick Marache, manager au sein de la practice Risk management et sécurité de l'information de Solucom, un cabinet de conseil en management et système d'information.
L'autre piste consiste à multiplier les facteurs d'identification. C'est ce que propose la Natural Security Alliance qui réunit une trentaine d'entreprises (dont des banques françaises, Leroy Merlin, Visa....) et associations. Sa solution combine un lecteur d'empreintes digitales (ou des veines du doigt), un dispositif personnel pouvant prendre différentes formes (carte bancaire, carte MicroSD, téléphone mobile avec carte SIM) et une liaison radio courte portée sécurisée (ZigBee ou Bluetooth Low Energy) reliant les deux appareils.
Ce procédé a été retenu par Quixter, une start-up suédoise qui a mis en place un nouveau moyen de paiement biométrique utilisant le réseau veineux de la paume de la main. Il est ainsi possible de payer dans la quinzaine de commerces équipés d'un terminal Quixter en renseignant les quatre derniers chiffres de son numéro de téléphone pour vérifier le montant prélevé et en présentant simplement sa paume. Les données sont alors authentifiées et enregistrées sur un compte Quixter, qui débitera ensuite le compte bancaire de l'utilisateur deux fois par mois.
La solution miracle n'existe pas encore.
L'ensemble de ces procédés présentent chacun des avantages certains mais également des inconvénients notoires. L'une des solutions envisageable peut alors être l'utilisation des veines de la main comme élément d'authentification. Plusieurs constructeurs se sont déjà positionnés sur le sujet et avancent l'argument selon lequel aucun contact avec la peau n'est nécessaire. En France, la Cnil a même allégé les formalités à remplir pour les sociétés désirant implémenter ce type d'outil. De quoi donner un coup de pouce à cette technologie.
source :
La Guerre numérique : vous savez ce que c'est ? - OOKAWA Corp.
Protégez-vous des attaques et des risques internet et sur vos téléphones, tablettes, smartphones et ordinateurs - Guerre numérique Nous avons en tête le vol de smartphone mais les risques sont...
http://ookawa-corp.over-blog.com/2015/02/la-guerre-numerique-vous-savez-ce-que-c-est.html
La Guerre numérique : vous savez ce que c'est ? - OOKAWA Corp.
A 11 ans, elle vend des mots de passe sécurisés pour 2 dollars - OOKAWA Corp.
Mira Modi n'a que 11 ans, mais déjà, elle développe son propre commerce : la création de mots de passe sécurisés. Pour la rédaction de son livre Dragnet Nation, abordant la question de la vi...
A 11 ans, elle vend des mots de passe sécurisés pour 2 dollars - OOKAWA Corp.
Cyber-espionnage : la France la plus visée face à Epic Turla - OOKAWA Corp.
Selon le centre de recherche de Kasperky, notre pays est le plus touché par une attaque de cyber-espionnage connue sous le nom d'Epic Turla. Selon Kaspersky Labs, la France est le pays le plus visé
Cyber-espionnage : la France la plus visée face à Epic Turla - OOKAWA Corp.
Des pirates informatiques russes auraient volé plus d'un milliard de mots de passe - OOKAWA Corp.
Un groupe de pirates informatiques russes aurait opéré une vaste attaque des sociétés américaines et étrangères à travers le monde, affirme The New York Times mardi 5 août, s'appuyant sur ...
Des pirates informatiques russes auraient volé plus d'un milliard de mots de passe - OOKAWA Corp.
Les enjeux de la cyber-sécurité - OOKAWA Corp.
Les enjeux de la cyber-sécurité En 2012, le marché de la sécurité informatique représentait selon Gartner un chiffre d'affaires mondial supérieur à 20 milliards de dollars. Autre fait majeu...
http://ookawa-corp.over-blog.com/2014/07/les-enjeux-de-la-cyber-securite.html
Les enjeux de la cyber-sécurité - OOKAWA Corp.
SafeNet a mené l'enquête et s'est aperçu qu'au cours du premier semestre 2014, 559 failles de sécurité ont été répertoriées dans le monde et que plus de 375 millions d'enregistrements ont ...
Un défaut de sécurité peut écorner à jamais la confiance des clients envers les entreprises - OOKAWA Corp.
La technologie radio longue portée de Sigfox s'attaque aux compteurs d'eau communicants Le français Sigfox, l'opérateur de réseaux de radiocommunications cellulaires dédiés au M2M, entre aujo...
La technologie radio longue portée de Sigfox s'attaque aux compteurs d'eau communicants - OOKAWA Corp.
10 conseils pour protéger son smartphone - OOKAWA Corp.
10 conseils pour protéger son smartphone Cette semaine, Kaspersky Lab France fête ses 10 ans ! Pour célébrer cette décennie de sécurité, l'entreprise propose d'ouvrir la semaine avec 10 cons...
http://ookawa-corp.over-blog.com/2014/09/10-conseils-pour-proteger-son-smartphone.html
10 conseils pour protéger son smartphone - OOKAWA Corp.
Home Depot, victime d'une cyberattaque ? - OOKAWA Corp.
Home Depot pourrait être la dernière victime en date d'un vol de données concernant ses clients. Seraient concernées des informations sur des cartes de débit et de crédit. La chaîne américa...
http://ookawa-corp.over-blog.com/2014/09/home-depot-victime-d-une-cyberattaque.html
Home Depot, victime d'une cyberattaque ? - OOKAWA Corp.
Des hackers volent le numéro de Sécurité sociale de 21 millions d'Américains - OOKAWA Corp.
Le gouvernement américain a annoncé, jeudi 9 juillet, que les numéros de Sécurité sociale de plus de 21 millions d'Américains, ainsi que d'autres informations sensibles, avaient été volés ...
Des hackers volent le numéro de Sécurité sociale de 21 millions d'Américains - OOKAWA Corp.
Ne cliquez SURTOUT pas sur les Mails d'origine douteuse ! - OOKAWA Corp.
On le dit suffisamment souvent : "Il ne faut surtout pas cliquer sur les mails reçus dans votre boîte dont l'origine vous parait douteuse !" Lisez plutôt : A en croire Trustwave, sur un million ...
Ne cliquez SURTOUT pas sur les Mails d'origine douteuse ! - OOKAWA Corp.