Lundi de la cybersécurité : Les mots de passe sont-ils obsolètes ?

Lorsque vous demandez à utiliser une ressource informatique, vous devez, pour l’obtenir, vous identifier puis vous authentifier.

Pour l’identification, le nom que vous avez entré est recherché dans une liste de celles ou ceux autorisés à utiliser cette ressource, c’est typiquement votre login. Mais êtes-vous bien celle ou celui qui prétend porter ce nom ? Pour le prouver vous devez vous authentifier, vous le faite typiquement par votre password. Le mot de passe, un moyen d’authentification fort ? Comme l’a écrit Benjamin Franklin : « Trois personnes peuvent garder un secret si deux d’entre elles sont mortes. Ou mieux, les trois … ».

Alors si le mot de passe est un moyen d’authentification faible, existe t-il d’autres moyens de prouver qu’on est bien celle ou celui qu’on prétend être ?

Dans notre monde ultra connecté, alors que nos datas, nos applications, surtout en SaaS, nos serveurs migrent vers des Clouds, donc sont gérés par d’autres entités que la nôtre, une gestion sécurisée et centralisée du contrôle d’accès et des identités est devenue une fonctionnalité indispensable. Si les logins et juste les mots de passe n’apportent pas une réponse suffisante, face aux attaques en usurpation d’identité, et aux fuites de données, comment faire ?

Des solutions existent comme les passkeys et le SASE (Secure Access Service Edge), voir le Lundi de la Cybersécurité de juin 2002 sur www.arcsi.fr/doc/Lettre-Lundi-Cyber-No50.pdf, avec des fonctionnalités telles que le ZTNA, le CASB le SD-WAN, mais je ne veux pas vous bombarder d’acronymes, un des meilleurs experts en cybersécurité nous parlera de ce qui remplacera les simples mots de passe pour une authentification vraiment forte.

Les mots de passe ont presque tous les inconvénients possibles : trop nombreux, trop complexes, souvent réutilisés, pénibles pour l’utilisateur à utiliser, à renouveler, ou à choisir en fonction de telle ou telle politique de sécurité, ils permettent très souvent pour les attaquants des réutilisations (« password Seraing ») et des vols d’identité multiples, un redoutable calvaire pour les utilisateurs…

La biométrie n’est probablement pas une solution, car en plus d’être vulnérable à certaines attaques par rejeu, elle force l’utilisateur qui souhaite utiliser un service anonymement à se dévoiler, et peut être utilisée pour recouper des données depuis plusieurs services en ligne, en plus de n’être aucunement remplaçable en cas de vol de données biométriques. Qui souhaite avoir ses données d’identification compromises à vie ?

Alors la solution repose-t-elle dans l’authentification à plusieurs facteurs (MFA) ? Les « One Time Password » (OTP) ? Les authentifications comportementales ? Est-il encore possible de les envisager sachant que ces solutions n’empêchent nullement les attaques par phishing, et que le phishing est aujourd’hui particulièrement répandu pour le vol d’identité ?

Par ailleurs, qu’apportent les clés USB de sécurité ? Les utilisateurs sont-ils prêts à utiliser des solutions matérielles pour s’authentifier partout ? Comment peuvent-ils gérer les pertes et les pannes ?
Que valent les « passkeys« , ces nouvelles solutions sans mot de passe poussées notamment par Google et Apple ? Est-ce bien raisonnable de donner toutes les clés de notre vie numérique aux GAFAM, même lorsque des services tiers (ou publics) sont utilisés ?

Est-il encore possible d’avoir des solutions d’authentification sûres, respectueuses de la vie privée et indépendantes ? C’est ce que nous aborderons dans cette présentation !

Renaud Lifchitz, directeur scientifique de Holiseum, et membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) est un expert français reconnu en sécurité informatique ayant une longue expérience d’auditeur et de formateur, principalement dans le secteur bancaire et le secteur télécom. Il s’intéresse tout particulièrement au développement sécurisé, aux protocoles de communication sans fil et à la cryptographie. Il a été intervenant dans de nombreuses conférences internationales et a formé directement plus de 2000 personnes. Ses travaux de sécurité les plus significatifs portent sur les thèmes : cartes bancaires sans contact, géolocalisation GSM, blockchain, signatures RSA, ZigBee, Sigfox, LoRaWAN, Vigik et calcul quantique.

Organisés par Béatrice Laurent et Gérard Peliks, directeur adjoint du MBA Management de la Cybersécurité De Vinci Executive Education avec la logistique en présentiel ou en distanciel de l’université de Paris, les « Lundi de la cybersécurité » se tiennent un lundi par mois, de 18h à 20h. Entre 150 et 200 participants assistent et peuvent aussi, à la suite de la présentation, poser des questions aux intervenants. S’ensuivent des débats très intéressants entre experts du sujet traité.

Suivant la tradition de nos « Lundi de la cybersécurité », entre l’exposé de l’intervenant et la session questions / réponses, autour de 19 h 15, nous donnons pour une dizaine de minutes la parole à une organisation, qui opère dans l ‘écosystème du numérique et dans la sécurité de l’information.

Le nom de l’invité surprise et de son organisation vous seront donnés bientôt.

Gérard Peliks – Auteur des Lundi de la Cybersécurité