{"id":866,"date":"2015-10-12T23:32:06","date_gmt":"2015-10-12T22:32:06","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=866"},"modified":"2015-10-12T23:32:06","modified_gmt":"2015-10-12T22:32:06","slug":"authentification","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/authentification","title":{"rendered":"De l’importance de l’authentification"},"content":{"rendered":"

AB Consulting s’associe au mois de la cyber-s\u00e9curit\u00e9<\/a><\/strong>,\u00a0organis\u00e9 \u00e0 la fois aux USA et dans l’ensemble des pays Europ\u00e9ens, et publie dans ce cadre une s\u00e9rie d’articles relatifs aux bonnes pratiques de s\u00e9curit\u00e9. Le premier post de cette s\u00e9rie portera tout naturellement sur une\u00a0vuln\u00e9rabilit\u00e9 majeure des syst\u00e8mes informatiques : l’authentification<\/strong>. Une statistique r\u00e9cente montre que 80% des cyber-attaques r\u00e9ussissent en s’appuyant sur des mots de passe faibles\u00a0ou\u00a0vol\u00e9s.<\/em><\/p>\n

\"authentification<\/a><\/p>\n

Grandes et petites entreprises\u00a0se battent pour am\u00e9liorer\u00a0la s\u00e9curit\u00e9 de leur\u00a0r\u00e9seau informatique en se focalisant sur\u00a0la vuln\u00e9rabilit\u00e9 principale de la s\u00e9curit\u00e9 du r\u00e9seau: la connexion (login\/mot de passe). L’usage de la\u00a0biom\u00e9trie\u00a0appara\u00eet aujourd’hui comme une\u00a0solution.<\/p>\n

Le mot de passe au coeur des pr\u00e9occupations<\/strong><\/h2>\n

Bienvenue dans l’\u00e8re de la cyber-attaque. Des chiffres effarants \u00e9manant de sp\u00e9cialistes de la s\u00e9curit\u00e9 sugg\u00e8rent que plus de 95 pour cent des Entreprises dans le monde\u00a0ont \u00e9t\u00e9 victimes d’une violation de leur donn\u00e9es<\/strong><\/em>, tous types confondus, dont la plupart peuvent passer inaper\u00e7ues pendant des mois, voire\u00a0des ann\u00e9es.<\/p>\n

Dans le sillage de l’attaque et du piratage de Sony Entertainment, d’autres vols\u00a0de donn\u00e9es de grande envergure ont cibl\u00e9 r\u00e9cemment des organisations aussi connues que Home Depot, Michaels, Chase, Ashley Madison et d’autres organisations. Les services informatiques des entreprises se battent\u00a0pour d\u00e9couvrir et mettre en \u0153uvre des solutions afin\u00a0s\u00e9curiser l’acc\u00e8s \u00e0 leur\u00a0r\u00e9seau et notamment pour\u00a0trouver des solutions qui g\u00e8rent de fa\u00e7on efficace\u00a0la connexion de l’utilisateur, laquelle\u00a0constitue la vuln\u00e9rabilit\u00e9 principale des syst\u00e8mes d’information.<\/p>\n

L’acc\u00e8s \u00e0 un r\u00e9seau gr\u00e2ce \u00e0\u00a0l’obtention des informations de connexion d’un\u00a0utilisateur autoris\u00e9\u00a0est \u00e0 l’origine\u00a0de la plupart des plus grosses violations\u00a0de donn\u00e9es durant\u00a0l’ann\u00e9e \u00e9coul\u00e9e. Le programme de\u00a0CBS News intitul\u00e9 60 Minutes a ainsi d\u00e9sign\u00e9\u00a02014 comme \u00ab\u00a0l’ann\u00e9e de la violation des donn\u00e9es\u00a0\u00bb, et a poursuivi en d\u00e9clarant que\u00a0les investigations r\u00e9alis\u00e9es montrent que 80 pour cent des failles de s\u00e9curit\u00e9 ont \u00e9t\u00e9 caus\u00e9s par des mots de passe vol\u00e9s ou faibles<\/strong><\/em>.<\/p>\n

Une fois \u00e0 l’int\u00e9rieur du r\u00e9seau, les pirates vont \u00eatre\u00a0en mesure d’installer des logiciels malveillants permettant le\u00a0vol d’informations, lesquels\u00a0peuvent rester ind\u00e9tectables\u00a0sur les serveurs d’entreprise pendant plusieurs\u00a0mois, voire des ann\u00e9es, tout en\u00a0r\u00e9cup\u00e9rant des informations de paiement par\u00a0carte de cr\u00e9dit et d’autres informations, tout en \u00e9largissant lentement leur action.<\/p>\n

Alors, pourquoi est la connexion des utilisateur constitue-t-elle un tel probl\u00e8me pour les d\u00e9partements informatiques qui restent impuissants \u00e0 le r\u00e9soudre? Et pourquoi les noms d’utilisateurs avec des num\u00e9ros d’identification personnels (PIN) et \/ ou mots de passe r\u00e9ussissent-ils si mal \u00e0 bloquer\u00a0les\u00a0acc\u00e8s non autoris\u00e9s?<\/p>\n

A la racine de ce probl\u00e8me\u00a0r\u00e9side une authentification efficace des personnes qui veulent acc\u00e9der au syst\u00e8me informatique de l’Entreprise. La solution retenue doit \u00e9galement r\u00e9pondre \u00e0 deux crit\u00e8res suppl\u00e9mentaires: la facilit\u00e9 d’utilisation\u00a0et, id\u00e9alement, aucune utilisation de mat\u00e9riel suppl\u00e9mentaire en plus\u00a0du terminal de saisie, qu’il s’agisse d’un\u00a0ordinateur, d’une tablette ou d’un smartphone standard.<\/p>\n

Dans le domaine de l’authentification en ligne des utilisateurs, la satisfaction de ces\u00a0trois exigences est consid\u00e9r\u00e9e comme l’objectif\u00a0\u00e0 atteindre.\u00a0Heureusement, aujourd’hui, des\u00a0solutions r\u00e9pondant \u00e0 ces crit\u00e8res sont d’ores et d\u00e9j\u00e0 disponibles sur le march\u00e9<\/p>\n

L’utilisation de la biom\u00e9trie pour authentifier les personnes\u00a0se r\u00e9v\u00e8le efficace, avec pr\u00e8s de 100 pour cent de pr\u00e9cision, avec une quasi-impossibilit\u00e9, \u00e0 ce jour, de reproduction artificielle des \u00e9l\u00e9ments biom\u00e9triques.<\/p>\n

Probl\u00e8mes li\u00e9s \u00e0 l’authentification\u00a0<\/strong><\/h2>\n

La difficult\u00e9 avec les identifiants de connexion est qu’ils sont bas\u00e9s sur la possession d’informations sp\u00e9cifiques par l’utilisateur, le plus souvent un nom ou\u00a0un code\u00a0PIN\u00a0\/ mot de passe. Arm\u00e9s de ces\u00a0informations, les utilisateurs peuvent alors acc\u00e9der \u00e0 tout ou partie de leurs\u00a0dossiers m\u00e9dicaux et des comptes bancaires, aux\u00a0informations li\u00e9es \u00e0 leur carte de cr\u00e9dit, \u00e0 leurs\u00a0e-mails et d’autres informations sensibles les concernant. Le probl\u00e8me, bien s\u00fbr, c’est que toute personne qui se procurerait ces identifiants de connexion\u00a0peut \u00e9galement acc\u00e9der aux m\u00eames informations.<\/p>\n

Comme cela a \u00e9t\u00e9 largement relay\u00e9 par les m\u00e9dias, les pirates qui ont p\u00e9n\u00e9tr\u00e9 le syst\u00e8me informatique de Sony avaient pr\u00e9alablement\u00a0r\u00e9ussi \u00e0 se procurer les informations d’authentification\u00a0d’un administrateur syst\u00e8me de haut niveau. Une fois \u00a0ces \u00e9l\u00e9ments entre les mains des pirates, ils ont\u00a0obtenu tr\u00e8s facilement l’acc\u00e8s \u00e0 l’ensemble des informations stock\u00e9es sur les syst\u00e8mes de SONY.<\/p>\n

Dans ce cas particulier, des t\u00e9raoctets d’informations obtenus (et, pire encore, totalement\u00a0effac\u00e9s\u00a0des serveurs de l’entreprise) ont \u00e9t\u00e9 utilis\u00e9s (et sont encore utilis\u00e9s aujourd’hui) entra\u00eenant des dommages consid\u00e9rables aux\u00a0int\u00e9r\u00eats commerciaux de Sony.<\/p>\n

Dans le cas de l’attaque de\u00a0TARGET (cinqui\u00e8me entreprise de vente de d\u00e9tail aux USA) \u00e0 la fin de 2013, qui \u00e0 expos\u00e9\u00a0environ 40 millions de comptes de cartes de d\u00e9bit et de cr\u00e9dit<\/strong><\/em>, les informations de connexion \u00e9taient aussi en cause. Dans ce cas, on estime\u00a0que les informations de connexion, vol\u00e9es \u00e0 un sous-traitant en charge g\u00e9rer la climatisation et la ventilation\u00a0\u00e9taient \u00e0 la source de l’intrusion initiale. Les pertes cons\u00e9cutives \u00e0 cette attaque sont estim\u00e9es \u00e0 pr\u00e8s de 500 millions de dollars<\/strong><\/em>. Cela inclut notamment le remboursement par Target, aux\u00a0banques, des co\u00fbts de r\u00e9\u00e9mission de plusieurs millions de cartes de d\u00e9bit et de cr\u00e9dit et des frais de service \u00e0 la client\u00e8le, y compris les frais juridiques et de surveillance du cr\u00e9dit pour des dizaines de millions de clients touch\u00e9s par cette attaque.<\/p>\n

Alors, y a-t-il une solution id\u00e9ale?<\/strong><\/h2>\n

La norme actuelle en mati\u00e8re de s\u00e9curit\u00e9 de r\u00e9seau est appel\u00e9 l’authentification multi-factorielle. Elle requiert l’utilisation de\u00a0deux des trois facteurs d’authentification suivants :<\/p>\n