Joy Chik, l’ingénieure qui voulait éliminer les mots de passe
Temps de lecture : 5 minutes
Publié le 27 novembre 2018
Et si demain, nous n’avions plus besoin de nous identifier avec un mot de passe ? C’est l’un des objectifs de Joy Chik, Vice-Présidente Corporate chez Microsoft.
Elle est la gardienne des identités. Joy Chik est à la tête de l’équipe qui gère tous les services d’authentification de Microsoft, d’Azure à Skype, en passant par Office 365 ou Xbox. Au total, elle veille sur plus d’un milliard d’identités et sur 10 milliards d’authentifications journalières.
Joy Chik sait prédire les attaques informatiques avant même qu’elles ne se produisent et, avec sa team, elle imagine des technologies innovantes, comme une carte d’identité décentralisée, appuyée sur la blockchain, et qui pourrait permettre de remplacer les mots de passe.
Nous l’avons rencontrée à l’occasion de Microsoft experiences 18 .
Joy Chick
Vice-Présidente Corporate, Microsoft
Pourquoi chercher à éliminer les mots de passe ?
Joy Chik : Les mots de passe font l’objet de près de 8 attaques sur 10. Les utilisateurs ont tendance à utiliser le même mot de passe pour plusieurs comptes différents. Or, si quelqu’un utilise un mot de passe identique pour ses emails personnels et professionnels et qu’il se fait voler ses identifiants personnels, alors l’attaquant peut accéder aux identifiants professionnels et donc aux données de l’entreprise.
En effet, les mots de passe sont une porte d’entrée vers énormément d’informations. Une fois obtenus par les « pirates », ils leur permettent d’accéder au réseau, et potentiellement à des données sensibles et confidentielles. Si l’utilisateur visé a davantage de privilèges, avec un compte administrateur par exemple, alors les attaquants peuvent faire encore plus de dégâts, en prenant le contrôle de parts élargies du réseau.
Même en utilisant des mots de passe très complexes, on reste vulnérables aux menaces. Il peut notamment s’agir d’attaques de phishing, dans lesquelles on l’on pousse l’utilisateur à cliquer sur un lien pour lui dérober ensuite ses identifiants.
Chez Microsoft, nous pensons donc qu’il faut éliminer les mots de passe pour que les utilisateurs soient plus en sécurité, mais aussi pour rendre l’expérience plus agréable, puisque les mots de passe sont parfois difficiles à retenir. C’est notamment pour cela (et pour des raisons liées à l’accessibilité) que nous avons par exemple développé Windows Hello, qui permet de se connecter aux appareils Windows trois fois plus vite qu’un mot de passe, grâce au lecteur d’empreintes digitales ou à la reconnaissance faciale.
Comment les entreprises peuvent-elles se protéger ?
Le cloud nous offre la possibilité de renforcer notre sécurité : nous pouvons y stocker d’énormes quantités de données et y faire tourner des algorithmes capables d’apprendre. En d’autres termes, le cloud nous donne les moyens de mettre en place des solutions de sécurité toujours plus intelligentes.
Avec mon équipe, nous protégeons plus de 200 services. Cela veut dire que nous recevons plus de 650 milliards de données chaque mois. Des données que nous compilons dans Microsoft Intelligent Security Graph pour les traiter avec des algorithmes d’intelligence artificielle et de machine learning. Ainsi, nous savons à quoi ressemble une attaque et nous pouvons déterminer si un comportement est frauduleux.
En fait, quand une entreprise subit une attaque sur les mots de passe, elle ne peut pas la détecter seule. Mais, grâce à la compilation des données de plusieurs millions d’entreprise, cela devient possible. C’est comme cela que nous pouvons protéger les utilisateurs en repérant les schémas des attaques avant qu’il n’y ait compromission.
Quels conseils pourrions-nous donner aux entreprises ?
Il y a encore quelques années, les entreprises devaient protéger leurs serveurs installés en local avec des firewalls, des VPN… Aujourd’hui, les collaborateurs utilisent différents terminaux – ordinateurs portables, téléphones, tablettes…, mixent des applications en local (on-premise) et dans le cloud, passent par le réseau de l’entreprise, mais aussi par le réseau de leur domicile, celui d’un client, celui d’un café dans lequel ils vont travailler… Finalement, dans ce contexte, ce qui reste unique, c’est l’identité.
Protéger l’identité doit être au centre de la sécurité, puisque c’est la porte d’entrée des pirates. Nous recommandons aux entreprises de s’appuyer sur l’intelligence du cloud, avec des solutions comme Azure Active Directory, qui permet une authentification unique, sans couture, à toutes les applications, qu’elles soient dans le cloud ou installées en local.
Après, un autre moyen efficace pour se protéger est l’authentification multi-facteurs (le fait d’utiliser plusieurs facteurs d’authentification : un mot de passe, une confirmation par téléphone, une question personnalisée ou même une empreinte digitale; NDLR).
L’authentification multi-facteurs réduit le risque d’attaques de 99,99 %. Les entreprises sont encore un peu frileuses sur ce sujet, car elles pensent que le fait de demander une double authentification crée de la friction pour l’utilisateur. Mais avec l’option conditionnal access, l’authentification multi-facteurs ne se met en route que si l’on détermine que l’authentification est risquée. Par exemple, aujourd’hui, je suis à Paris, pour Microsoft experiences . Le système le sait donc, si je m’authentifie depuis Seattle aux Etats-Unis, il peut déterminer qu’il y a un risque et imaginer qu’on m’a volé mon mot de passe. Dans ce cas, il va enclencher l’authentification multi-facteurs pour confirmer mon identité. Il n’y a donc pas de friction lors de mon expérience.
Et demain, s’il n’y a plus de mots de passe, comment assurerons-nous la sécurité de nos données ?
Aujourd’hui, notre identité numérique appartient à l’entreprise dans laquelle nous travaillons, aux services que nous utilisons. Nous voulons créer l’équivalent digital d’un passeport ou d’une carte d’identité, un document auquel tout le monde fait confiance.
C’est ce que nous appelons une identité décentralisée. Pour la créer, nous nous appuyons sur la blockchain, un système que personne ne détient mais que chacun peut utiliser. Ainsi, cette identité décentralisée sera détenue par l’utilisateur et pas par un pays ou une organisation.
Au-delà des bénéfices en termes de sécurité et d’expérience amenés par l’élimination des mots de passe, c’est un véritable vecteur d’empowerment puisque l’utilisateur reprend le contrôle sur ses informations. Et bien sûr, il peut aussi utiliser cette identité pour ses transactions digitales.
Quels conseils donneriez-vous à un étudiant ou une étudiante qui veut travailler dans la sécurité informatique ?
La protection des identités, ce sont beaucoup de responsabilités. Quand on travaille dans la cybersécurité, dans une même journée, nous sommes à la fois des détectives, qui menons l’enquête pour découvrir ce qu’il s’est passé sur une scène de crime, ou des pompiers qui vont combattre un feu.
Beaucoup d’étudiants ont peur de ne pas avoir les compétences techniques ou l’expérience pour travailler dans ce domaine. Mais, pour moi, ce qui est primordial, c’est la passion, la curiosité, l’envie d’apprendre. Il faut aussi avoir un certain équilibre, car il aura des crises : il est essentiel de savoir rester calme lors d’une situation stressante.
Les étudiants se disent souvent que les professionnels du secteur savent tout, qu’ils ont toutes les réponses. Ce n’est pas toujours le cas ! Je conseille toujours aux étudiants de ne jamais hésiter à questionner, à challenger l’existant… C’est comme cela que l’on peut envisager d’autres perspectives et imaginer de nouvelles solutions !
