La mort annoncée
du tandem
identifiant/mot de passe
- http://www.journaldunet.com
- Chronique de Camille Cacheux le 27/01/14
Comme le montrent les derniers cas de piratage qui ont
défrayé la chronique, le tandem identifiant/mot de passe ne résiste plus
dans la durée aux nouvelles stratégies d'intrusion des fraudeurs. Pour
éviter que ceux_ci gardent un train d'avance, les systèmes
d'authentification forte, tels que les certificats RGS, devront
s'imposer.
Vol de données, usurpations d’identité, altération ou
modification de documents confidentiels, les accès frauduleux au sein
des systèmes d’information des entreprises se multiplient ces derniers
mois. Le dernier en date étant le piratage des données personnelles de
plus de 110 millions de clients de la chaîne américaine Target en
décembre dernier. Ces fraudes mettent en évidence autant de failles de
sécurité critiques, alors même que ces mêmes entreprises continuent
d’investir des millions de dollars par an dans des systèmes toujours
plus sophistiqués réputés capables de les protéger contre toutes les
attaques, actuelles et à venir.
En vérité, comme si les fraudeurs avaient toujours un train d’avance sur les systèmes de sécurité, à chaque nouvelle avancée dans les technologies de protection répond immédiatement l’apparition de nouvelles techniques d’intrusion, l’imagination – et la détermination des fraudeurs n’ayant pas de limite. La numérisation accélérée de toutes les informations, doublée de l’omniprésence des accès Internet, a un revers de taille, que beaucoup semblent encore ignorer : la vulnérabilité des données a acquis une nouvelle dimension, et plus inquiétant encore, les politiques de sécurité d’hier, même les plus strictes, finissent par céder face à des techniques de fraude toujours plus sophistiquées.
Exemple emblématique de cette vulnérabilité accrue : la perte d’efficacité désormais avérée de la méthode de sécurité d’accès standard utilisée dans le monde, le bon vieux tandem identifiant/mot de passe. L’immense majorité des failles de sécurité constatées aujourd’hui implique le « crackage » de ce tandem.
En vérité, comme si les fraudeurs avaient toujours un train d’avance sur les systèmes de sécurité, à chaque nouvelle avancée dans les technologies de protection répond immédiatement l’apparition de nouvelles techniques d’intrusion, l’imagination – et la détermination des fraudeurs n’ayant pas de limite. La numérisation accélérée de toutes les informations, doublée de l’omniprésence des accès Internet, a un revers de taille, que beaucoup semblent encore ignorer : la vulnérabilité des données a acquis une nouvelle dimension, et plus inquiétant encore, les politiques de sécurité d’hier, même les plus strictes, finissent par céder face à des techniques de fraude toujours plus sophistiquées.
Exemple emblématique de cette vulnérabilité accrue : la perte d’efficacité désormais avérée de la méthode de sécurité d’accès standard utilisée dans le monde, le bon vieux tandem identifiant/mot de passe. L’immense majorité des failles de sécurité constatées aujourd’hui implique le « crackage » de ce tandem.
La mort annoncée du tandem identifiant/mot de passe
Certes,
le bon respect de règles les plus élémentaires, telles que
l’utilisation de mots de passe ultrasimples, explique une bonne part de
ces « crackages. » Une récente étude publiée en France en Janvier 2014
par Dashlane montre que 87 % des sites marchands français acceptent
encore des mots de passe de type 123456, de même qu’un site sur deux
continue d’envoyer en clair les identifiants et mots de passe sur les
boîtes mail de ses clients. La situation est encore plus alarmante dans
les entreprises, où la sécurisation des codes d’accès reste encore très
faible voire nulle.
Mais même en appliquant les « bonnes pratiques » recommandées par l’ANSSI telles que la complexification et le renouvellement régulier des mots de passe, cette méthode de sécurité ne résiste plus dans la durée face aux nouvelles stratégies d’intrusion qui exploitent le moindre défaut de la cuirasse. Il ne s’agit plus de cas isolés. Dernières preuves en date, prises parmi d’autres : des accès frauduleux ont récemment eu lieu chez un des plus grands opérateurs français de cloud computing, et des données médicales des services d’urgence se sont retrouvées il y a peu librement accessibles sur Internet. Tout se passe comme si une simple serrure restait la norme pour protéger les données, alors que la réalité de la menace impose désormais au moins une serrure trois points.
Mais même en appliquant les « bonnes pratiques » recommandées par l’ANSSI telles que la complexification et le renouvellement régulier des mots de passe, cette méthode de sécurité ne résiste plus dans la durée face aux nouvelles stratégies d’intrusion qui exploitent le moindre défaut de la cuirasse. Il ne s’agit plus de cas isolés. Dernières preuves en date, prises parmi d’autres : des accès frauduleux ont récemment eu lieu chez un des plus grands opérateurs français de cloud computing, et des données médicales des services d’urgence se sont retrouvées il y a peu librement accessibles sur Internet. Tout se passe comme si une simple serrure restait la norme pour protéger les données, alors que la réalité de la menace impose désormais au moins une serrure trois points.
L’authentification forte, un mal nécessaire
De
nouvelles méthodes de sécurité d’accès et de communications dans un
environnement intégralement numérique devront donc impérativement être
mises en œuvre tôt ou tard, et le plus tôt serait le mieux, afin de
limiter au maximum les nouveaux risques, et faire en sorte au moins
qu’une intrusion ou une fraude puisse être décelée le plus rapidement
possible par sa victime.
Ces méthodes, dites d’authentification forte ou de signature électronique, commencent seulement à être adoptées par les professionnels les plus sensibles à la sécurité des informations : services juridiques, recherche et développement, services de santé par exemple. Elles sont également en cours de mise en place chez les plus grands opérateurs de cloud, et dans l’administration française, avec les certificats RGS, d’ores et déjà imposés pour les appels d’offres sur les marchés publics, et dont l’utilisation doit progressivement être étendue à tout le secteur public. Ces certificats de signature électronique permettent d’authentifier à coup sûr l’identité de la personne signataire du document ou du message transmis, et de garantir l’intégrité des documents échangés. Ils peuvent être mis en œuvre à trois niveaux. Au niveau 1, le certificat est enregistré une fois pour toutes sur la machine du signataire, et authentifie tous les messages ou documents transmis.
Au niveau 2, imposé par l’administration, le certificat est intégré sur un support physique, clé USB avec une puce généralement, qui doit être connectée sur la machine du signataire à chaque fois qu’il l’utilise (le matin quand il la met en route par exemple). Au niveau 3, la clé doit être délivrée en face à face.
La mise en œuvre de certificats de type RGS est donc contraignante pour les utilisateurs, qui doivent les conserver sur un support physique. Elle a aussi un coût – 100 € environ par an et par personne pour le niveau 2, à régler à un prestataire de services de certification agréé, le français Dhymiotis par exemple pour n’en citer qu’un.
Ces méthodes, dites d’authentification forte ou de signature électronique, commencent seulement à être adoptées par les professionnels les plus sensibles à la sécurité des informations : services juridiques, recherche et développement, services de santé par exemple. Elles sont également en cours de mise en place chez les plus grands opérateurs de cloud, et dans l’administration française, avec les certificats RGS, d’ores et déjà imposés pour les appels d’offres sur les marchés publics, et dont l’utilisation doit progressivement être étendue à tout le secteur public. Ces certificats de signature électronique permettent d’authentifier à coup sûr l’identité de la personne signataire du document ou du message transmis, et de garantir l’intégrité des documents échangés. Ils peuvent être mis en œuvre à trois niveaux. Au niveau 1, le certificat est enregistré une fois pour toutes sur la machine du signataire, et authentifie tous les messages ou documents transmis.
Au niveau 2, imposé par l’administration, le certificat est intégré sur un support physique, clé USB avec une puce généralement, qui doit être connectée sur la machine du signataire à chaque fois qu’il l’utilise (le matin quand il la met en route par exemple). Au niveau 3, la clé doit être délivrée en face à face.
La mise en œuvre de certificats de type RGS est donc contraignante pour les utilisateurs, qui doivent les conserver sur un support physique. Elle a aussi un coût – 100 € environ par an et par personne pour le niveau 2, à régler à un prestataire de services de certification agréé, le français Dhymiotis par exemple pour n’en citer qu’un.
Commencer par les communications internes
En
toute logique, elle s’effectuera progressivement dans les entreprises,
en commençant par les domaines les plus « vulnérables », dont les
échanges de documents en interne. En effet, la majorité des attaques
réussies aujourd’hui exploitent des failles de sécurité au niveau des
utilisateurs internes.
Un cas typique d’intrusion par exemple a comme point de départ la modification frauduleuse des documents de mise en œuvre de la politique de sécurité de l’entreprise (rapports, consignes de sécurité, etc.). La modification de ces documents permet alors de créer une brèche et in fine de récupérer des mots de passe.
Un cas typique d’intrusion par exemple a comme point de départ la modification frauduleuse des documents de mise en œuvre de la politique de sécurité de l’entreprise (rapports, consignes de sécurité, etc.). La modification de ces documents permet alors de créer une brèche et in fine de récupérer des mots de passe.
L’utilisation d’une solution de signature électronique permet de déjouer ce type d’attaque
On
le voit, la question n’est plus de savoir si oui ou non les solutions
d’authentification forte sont nécessaires pour remplacer les mots de
passe traditionnels, mais quand et à quel rythme ces solutions finiront
par se généraliser. Afin que les entreprises ne ratent plus le train des
fraudeurs.
Aucun commentaire:
Enregistrer un commentaire