AB Consulting s’associe au mois de la cyber-sécurité, organisé à la fois aux USA et dans l’ensemble des pays Européens, et publie dans ce cadre une série d’articles relatifs aux bonnes pratiques de sécurité. Le premier post de cette série portera tout naturellement sur une vulnérabilité majeure des systèmes informatiques : l’authentification. Une statistique récente montre que 80% des cyber-attaques réussissent en s’appuyant sur des mots de passe faibles ou volés.
Grandes et petites entreprises se battent pour améliorer la sécurité de leur réseau informatique en se focalisant sur la vulnérabilité principale de la sécurité du réseau: la connexion (login/mot de passe). L’usage de la biométrie apparaît aujourd’hui comme une solution.
Le mot de passe au coeur des préoccupations
Bienvenue dans l’ère de la cyber-attaque. Des chiffres effarants émanant de spécialistes de la sécurité suggèrent que plus de 95 pour cent des Entreprises dans le monde ont été victimes d’une violation de leur données, tous types confondus, dont la plupart peuvent passer inaperçues pendant des mois, voire des années.
Dans le sillage de l’attaque et du piratage de Sony Entertainment, d’autres vols de données de grande envergure ont ciblé récemment des organisations aussi connues que Home Depot, Michaels, Chase, Ashley Madison et d’autres organisations. Les services informatiques des entreprises se battent pour découvrir et mettre en œuvre des solutions afin sécuriser l’accès à leur réseau et notamment pour trouver des solutions qui gèrent de façon efficace la connexion de l’utilisateur, laquelle constitue la vulnérabilité principale des systèmes d’information.
L’accès à un réseau grâce à l’obtention des informations de connexion d’un utilisateur autorisé est à l’origine de la plupart des plus grosses violations de données durant l’année écoulée. Le programme de CBS News intitulé 60 Minutes a ainsi désigné 2014 comme « l’année de la violation des données », et a poursuivi en déclarant que les investigations réalisées montrent que 80 pour cent des failles de sécurité ont été causés par des mots de passe volés ou faibles.
Une fois à l’intérieur du réseau, les pirates vont être en mesure d’installer des logiciels malveillants permettant le vol d’informations, lesquels peuvent rester indétectables sur les serveurs d’entreprise pendant plusieurs mois, voire des années, tout en récupérant des informations de paiement par carte de crédit et d’autres informations, tout en élargissant lentement leur action.
Alors, pourquoi est la connexion des utilisateur constitue-t-elle un tel problème pour les départements informatiques qui restent impuissants à le résoudre? Et pourquoi les noms d’utilisateurs avec des numéros d’identification personnels (PIN) et / ou mots de passe réussissent-ils si mal à bloquer les accès non autorisés?
A la racine de ce problème réside une authentification efficace des personnes qui veulent accéder au système informatique de l’Entreprise. La solution retenue doit également répondre à deux critères supplémentaires: la facilité d’utilisation et, idéalement, aucune utilisation de matériel supplémentaire en plus du terminal de saisie, qu’il s’agisse d’un ordinateur, d’une tablette ou d’un smartphone standard.
Dans le domaine de l’authentification en ligne des utilisateurs, la satisfaction de ces trois exigences est considérée comme l’objectif à atteindre. Heureusement, aujourd’hui, des solutions répondant à ces critères sont d’ores et déjà disponibles sur le marché
L’utilisation de la biométrie pour authentifier les personnes se révèle efficace, avec près de 100 pour cent de précision, avec une quasi-impossibilité, à ce jour, de reproduction artificielle des éléments biométriques.
Problèmes liés à l’authentification
La difficulté avec les identifiants de connexion est qu’ils sont basés sur la possession d’informations spécifiques par l’utilisateur, le plus souvent un nom ou un code PIN / mot de passe. Armés de ces informations, les utilisateurs peuvent alors accéder à tout ou partie de leurs dossiers médicaux et des comptes bancaires, aux informations liées à leur carte de crédit, à leurs e-mails et d’autres informations sensibles les concernant. Le problème, bien sûr, c’est que toute personne qui se procurerait ces identifiants de connexion peut également accéder aux mêmes informations.
Comme cela a été largement relayé par les médias, les pirates qui ont pénétré le système informatique de Sony avaient préalablement réussi à se procurer les informations d’authentification d’un administrateur système de haut niveau. Une fois ces éléments entre les mains des pirates, ils ont obtenu très facilement l’accès à l’ensemble des informations stockées sur les systèmes de SONY.
Dans ce cas particulier, des téraoctets d’informations obtenus (et, pire encore, totalement effacés des serveurs de l’entreprise) ont été utilisés (et sont encore utilisés aujourd’hui) entraînant des dommages considérables aux intérêts commerciaux de Sony.
Dans le cas de l’attaque de TARGET (cinquième entreprise de vente de détail aux USA) à la fin de 2013, qui à exposé environ 40 millions de comptes de cartes de débit et de crédit, les informations de connexion étaient aussi en cause. Dans ce cas, on estime que les informations de connexion, volées à un sous-traitant en charge gérer la climatisation et la ventilation étaient à la source de l’intrusion initiale. Les pertes consécutives à cette attaque sont estimées à près de 500 millions de dollars. Cela inclut notamment le remboursement par Target, aux banques, des coûts de réémission de plusieurs millions de cartes de débit et de crédit et des frais de service à la clientèle, y compris les frais juridiques et de surveillance du crédit pour des dizaines de millions de clients touchés par cette attaque.
Alors, y a-t-il une solution idéale?
La norme actuelle en matière de sécurité de réseau est appelé l’authentification multi-factorielle. Elle requiert l’utilisation de deux des trois facteurs d’authentification suivants :
- quelque chose que vous avez (par exemple, badge, carte),
- quelque chose que vous êtes (par exemple, la biométrie)
- quelque chose que vous savez (par exemple, des codes PIN, des mots de passe).
Le 17 Octobre 2014, le président américain Barack Obama a publié un décret, « Amélioration de la sécurité des transactions financières pour les consommateurs » exigeant désormais l’utilisation de l’authentification multi-factorielle en raison du nombre élevé de vols d’identité, de violations et de fraude par carte de paiement.
Dans le même temps, le personnels IT se sont tournés vers une variété de techniques destinées à améliorer la sécurité des connexions, y compris par l’ajout de questions de sécurité et, dans certains cas, un mot de passe secondaire.
Toutefois, ces options reposent toujours sur même concept : la possession de renseignements spécifiques que d’autres peuvent se procurer.
Une autre possibilité consiste à fournir un dispositif physique fournir à chaque utilisateur, du type lecteur flash ou jeton, qui génère des codes d’authentification aléatoires et uniques, de cartes magnétiques ou d’identification personnelle (ID) sous diverses formes, y compris en utilisant un smartphone. Si quelqu’un est en possession du dispositif, il / elle est considéré comme légitime. Malheureusement, c’est simplement une autre forme de possession de quelque chose, dans ce cas, matériel au lieu d’une d’information, qui peut toujours être dérobé à son propriétaire.
En outre, le fait d’ajouter un élément matériel n’est pas idéal car cela augmente considérablement le coût de mise en œuvre, sans mentionner les aspects de logistique et de maintenance. Du fait que ces éléments peuvent être perdus, empruntés ou volés, ils ne garantissent pas à 100% l’authentification de l’utilisateur.
La troisième réponse, peut se résumer à la seule façon de vraiment identifier une personne aujourd’hui : la biométrie.
La biométrie est définie comme quelque chose de physique ou par un comportemental unique caractérisant un individu. Les exemples physiques comprennent les empreintes digitales, de l’iris, la reconnaissance faciale et même le balayage veineux. Ces moyens d’authentification sont, aujourd’hui quasi sûrs mais ils nécessitent du matériel coûteux, ce qui constitue un obstacle important à leur utilisation.
Heureusement, il existe une forme étonnamment efficace de vérification des données biométriques dans la catégorie comportementale, basée sur l’écriture et qui ne nécessite aucun matériel supplémentaire. Seul l’ordinateur ou votre smartphone suffit.
Chaque individu a une façon mesurable unique de dessiner les lettres et les chiffres qui est extrêmement difficile à reproduire par quelqu’un d’autre. Cela inclut des attributs tels que la longueur, la hauteur, la largeur, la vitesse, la direction, l’angle et le nombre de coups de crayons. Les mots de passe peuvent être saisis lors de la connexion à l’aide d’un doigt ou d’un stylet sur les écrans tactiles et les smartphones, et d’une souris d’ordinateur ou d’un pavé tactile sur un ordinateur portable.
Une fois un processus de configuration simple exécuté, des algorithmes logiciels sophistiqués comparent la tentative de connexion actuelle de l’utilisateur à des modèles d’écriture recueillis initialement et lors des connexions suivantes pour confirmer la correspondance. L’utilisation de la vérification de l’écriture manuscrite, présente un taux de précision allant jusqu’à 99,97 pour cent.
Conclusion
Cependant, de nombreuses organisations expriment beaucoup de réticences à l’égard de la mise en œuvre de toute couche de sécurité supplémentaire arguant de l’inconvénient potentiel que cela peut représenter pour le consommateur. Ainsi de nombreux détaillants n’ont pas mis en œuvre de mesures de sécurité élevées parce qu’ils ne veulent pas que leurs clients passent d’avantage de temps à s’identifier à cause d’exigences de sécurité supplémentaire. Le temps supplémentaire, pensent-ils, risque de décourager les clients et peut signifier la perte de clients et de ventes.
Une interface facile d’utilisation est donc un élément essentiel de l’authentification en ligne. Si la sécurité rajoute trop d’étapes ou est trop lourde, elle est vouée à l’échec. Il est essentiel de fournir des interfaces utilisateur simples et rapides n’excédant pas quelques secondes pour procéder à leur authentification.
Les organisations ont le choix sur les solutions de sécurité à utiliser. Ils doivent prendre en compte le risque et le compromis, combiné à l’expérience utilisateur (par exemple, ce qui arrive lorsque les identifiants de connexion sont perdus ou volés? Sur quels dispositifs il peut être utilisé (ordinateurs, tablettes, smartphones)? Quels sont les coûts et le niveau de confort pour l’utilisateur? ) la dernière considération pour le choix d’une technologie de sécurité est comment elle sera utilisée. Par exemple, la biométrie physique est bien adaptée à l’authentification pour l’accès aux bâtiments physiques. Les jetons avec des mots de passe uniques sont également utiles pour même des cas d’utilisation alors que la biométrie dynamique est idéalement adaptée pour l’accès distant du fait qu’aucun matériel spécial n’est nécessaire.
Il faut bien comprendre que même pour les solutions ne nécessitant aucun matériel supplémentaire, la sécurité, notamment au niveau de l’authentification a toujours un coût. Mais il faut toujours garder en tête que la violation des données de l’Entreprise ou des données personnelles de ses clients aura toujours un coût extrêmement élevé, en aucun cas comparable au coût des solutions de sécurité, et qu’il risque fort d’y avoir des dégâts collatéraux en termes d’image et de perte de confiance dans l’Entreprise risquant même, souvent d’entraîner sa disparition.
Le problème ne consiste donc pas à décider si on doit investir dans la sécurité mais d’identifier les solutions qui satisfont nos besoins. Et à l’ère des cyber-attaques, cela doit impérativement commencer par la sécurisation des connexions utilisateurs.