Les promesses du Passwordless

Temps de lecture : 5 minutes

Cette nouvelle approche qui propose d’en finir avec les mots de passe, apporte une sécurité supplémentaire pour lutter contre le phishing.

En 2004, un certain Bill Gates imaginait les contours d’un monde qui n’aurait plus besoin de mot de passe. Quinze ans plus tard, les technologies sont prêtes à faire ce basculement, avec à la clé, plus de confort pour les utilisateurs et une meilleure protection. Explications.

La vulnérabilité des mots de passe

Récemment, une base de données contenant 3,2 milliards d’identifiants et de mots de passe liés à des comptes Gmail, Hotmail, LinkedIn ou encore Netflix a été partagée sur des forums dédiés au piratage. Baptisée COMB, pour « Compilation of many Breaches », elle rejoint la longue liste des identifiants qui se monnaient discrètement entre hackers sur certains forums spécialisés. « Le problème des mots de passe, c’est qu’ils sont facilement découverts ou volés. Donc, quand on utilise son mot de passe sur un site compromis, il y a de grandes chances qu’il soit récupéré par une personne mal intentionnée », explique Arnaud Jumelet.

Un mot de passe trop simple est une faiblesse dans le système. Pour y remédier, les éditeurs ont “augmenté” le mot de passe, en introduisant l’authentification multifacteur. Un garde-fou utile, mais insuffisant pour lutter contre le phishing.

Juin
29
10h00
Résumé des annonces sécurité Microsoft durant… Vous n’avez pas pu assister à la conférence RSA ? Retrouvez dans ce webinar un résumé des nouveautés sécurité, conformité et identité annoncées par Microsoft durant la conférence RSA présentées en détail par nos experts. Visionner En savoir plus

L’approche Passwordless

Le Passwordless esquisse un nouveau paradigme où l’identité s’appuie sur la preuve de possession, soit d’un ordinateur soit d’un smartphone. « Il va falloir prouver qu’on possède un matériel préalablement enregistré avant d’accéder à sa donnée ou à un service, explique Arnaud Jumelet. On remplace le mot de passe, qui est un secret partagé entre l’utilisateur et le service, par une preuve de possession ».

Cette approche repose sur un ensemble de technologies basées sur des standards établis par l’alliance FIDO (Fast identity online), qui regroupe tous les acteurs du monde bancaire et tous les acteurs du numérique. « Aujourd’hui, la technologie est disponible sous forme de standard et supportée par l’ensemble des navigateurs du marché, poursuit l’expert. C’est un effort collectif de l’industrie pour préparer un monde sans mot de passe ».

Lire aussi Ransomware : comment les hackers prennent vos données en otage

Plus de sécurité à l’authentification

Concrètement, pendant l’authentification, un échange s’opère entre l’appareil et le service pour prouver que l’utilisateur possède bien un élément propre à ce matériel. Une sécurité basée sur de la cryptographie à clé publique. « Une clé publique est enregistrée sur le service et une clé privée est stockée dans le matériel, d’où jamais elle ne sort. Cette clé privée va permettre de signer un numéro aléatoire, directement dans le matériel. Le résultat va être envoyé au service qui, avec la clé publique associée au compte, va pouvoir vérifier ce résultat », détaille Arnaud Jumelet.

Cette approche présente deux grands intérêts :

  • - Elle s’appuie sur des principes cryptographiques établis depuis plus de 50 ans, donc solides et éprouvés,
  • - Les identifiants des utilisateurs ne sont pas centralisés dans une base. « Cela rend beaucoup plus difficile le travail de l’attaquant puisqu’il va falloir qu’il cible individuellement les appareils mobiles ou les ordinateurs. Cela renverse le rapport de force habituel en cybersécurité, entre le défenseur et les attaquants», souligne Arnaud Jumelet. De fait, les attaques deviennent beaucoup plus coûteuses.
  • Juillet
    06
    10h00
    Sécurisation d’Exchange Server : Bonnes prati… La première version d’Exchange Server a vu le jour en 1996. On pourrait imaginer qu’en 25 ans nous avons eu le temps de faire le tour de la question. Pourtant, force est de constater qu’un certain nombre de bonnes pra… Visionner En savoir plus

Biométrie, code PIN et clés Fido 2, nouvelles alternatives aux mots de passe

Le Passwordless propose trois nouvelles façons de s’authentifier, via le matériel, une application ou des clés spécialement conçues pour cela.

La biométrie

Qu’elle passe par de la reconnaissance faciale, ou digitale, la biométrie permet déjà de déverrouiller l’accès à son device ou à certains services. Elle est particulièrement développée sur mobile mais prend également de l’ampleur sur les ordinateurs. « La biométrie c’est ce qu’il y a des plus simple pour l’utilisateur parce qu’il n’y a rien à mémoriser. Il suffit d’avoir des capteurs biométriques sur les ordinateurs ».

Le code PIN

Ringard, le code PIN ? Que nenni ! Historiquement associé aux téléphones mobiles, le code PIN devient une alternative au sacro-saint mot de passe ou à la biométrie. « Par exemple avec Windows Hello for Business, si on ne veut pas recourir à la biométrie, on peut utiliser un code PIN à taper sur son ordinateur qui va être vérifié localement sur le PC par une puce TPM. C’est le TPM qui va vérifier le code PIN et déverrouiller l’accès à la clé privée pour après faire l’authentification ». Le code PIN a deux atouts : plus court qu’un mot de passe, il est plus léger à mémoriser, et il est vérifié localement. « Cela permet de lutter contre le vol de mot de passe et les attaques de type phishing puisque tout est vérifié en local. Il n’y a donc pas d’intermédiaire pour essayer de nous tromper ».

Les clés de sécurité Fido 2

Vendues entre 10 et 70 euros dans le commerce, les clés de sécurité FIDO2 permettent d’authentifier l’utilisateur d’un appareil, soit en l’insérant dans le PC, soit via la technologie NFC (sans contact). « Aujourd’hui nous avons plus de 15 partenaires constructeurs de clé FIDO2 compatibles avec nos services. Certaines ont un petit bouton qui permet d’approuver la connexion, une confirmation manuelle pour s’assurer qu’il ne s’agit pas d’un virus qui tourne à l’insu de l’utilisateur, d’autres ont des lecteurs biométriques d’empreinte digitale », précise Arnaud Jumelet. Pour les entreprises, c’est aussi une manière d’avoir un meilleur contrôle et de sécurité du matériel.

Lire aussi Cybersécurité : 7 bonnes pratiques dans la gestion du cloud

La lutte contre le phishing en ligne de mire

Autre enjeu clé du Passwordless : la lutte contre le phishing, ces mails intrusifs qui cherchent à dérober les données personnelles des internautes en les incitant à se connecter sur un site malveillant. « Généralement, les gens pensent que le phishing, c’est le fait de recevoir un mail. Mais le phishing est plus large. C’est le fait de recevoir une incitation à se connecter à un site web avec une infrastructure derrière. Être victime de phishing consiste à avoir un intermédiaire qui va se mettre entre nous et le service et qui, souvent, va imiter l’expérience de connexion ».

C’est là que le passwordless est particulièrement intéressant. Son protocole permet de définir une protection anti-phishing capable de vérifier que l’internaute se connecte bien au bon site web, en comparant la connexion avec ce qui a été défini dans son ordinateur. Et s’il y a la moindre modification dans l’url, la connexion échouera.

Le passwordless offre aujourd’hui une protection inédite : c’est la seule technologie capable de résister au phishing ! Quand on sait que le phishing est l’une des attaques les plus fréquentes, aux conséquences parfois graves (vol de données, usurpation d’identité etc.) mieux vaut s’en prémunir très vite. Aujourd’hui, 200 millions d’utilisateurs Microsoft utilisent la technologie sans mot de passe. Microsoft supporte l’authentification passwordless pour son cloud entreprise (Azure AD, Office 365) et grand public (Xbox live, Outlook).

Juillet
27
9h00
Microsoft Security Virtual Training Day : Séc… Quel que soit le lieu d’exercice de vos employés, il est important de s’assurer qu’ils peuvent collaborer à distance sans compromettre la sécurité de votre organisation. Au cours de cette formation, vous … S’inscrire En savoir plus