La fin des mots de passe : les alternatives (1/3)

C’est un fait : le binôme identifiant/password est une solution dépassée pour protéger efficacement un poste de travail, fixe ou mobile. Il existe différentes solutions pour le remplacer. Mais, comme le montre cette première partie, elles présentent toutes des failles… Première partie d’un dossier très complet.

 

« En mai, fais ce qu’il te plaît » ! Telle pourrait être la devise des pirates qui se sont attaqués, officiellement, à de grandes entreprises. Le 6 mai 2015,  l’opérateur téléphonique Orange avait reconnu un nouveau vol de données personnelles chez quelque 1,3 million de clients et prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux. Quinze jours plus tard, c’est au tour d’eBay de reconnaître le piratage d’une de ses bases de données en… février et début mars.

A chaque fois, c’est la même rengaine : les internautes doivent changer leur mot de passe. La multiplication de ces attaques amène deux constats…

 

 

 

1-Chaque internaute ayant en moyenne une vingtaine de mots de passe, la création de « solides » Sésame va devenir un casse-tête ! Il n’est donc pas étonnant que les internautes – grand public et professionnels – succombent à la facilité en imaginant des mots de passe simples à mémoriser, voire à n’en utiliser que quelques-uns pour tous leurs comptes !

2-Les grandes entreprises et les géants du web maîtrisent-elles la sécurité informatique? Le piratage de leurs bases de données semble prouver le contraire. Et ne parlons même pas de la protection de fichiers sensibles par les PME qui disposent de moyens financiers et humains beaucoup moins importants que les grands comptes. Mais les connaissances techniques ne vont pas nécessairement de pair avec la dimension d’un Système d’information (SI)…

Dans une interview accordée à Europe 1 le 7 mai 2015, Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles à l’école informatique ESIEA Ouest, se montre sévère à propos du piratage d’Orange : « Que ces données considérées comme sensibles fassent preuve de si peu de protection, c’est au minimum faire preuve de laxisme. Orange devrait au moins chiffrer (ajouter une couche de protection, Ndlr) les données stockées via ce logiciel, ce qui n’est pas le cas. En oubliant cette protection supplémentaire, Orange s’expose à un risque. C’est comme si vous déteniez des documents très importants dans votre bureau et, au lieu de les enfermer dans un placard fermer à clé, vous les laissiez à la portée de tous. Même si la porte d’entrée de votre bureau est fermée à clé, vous courrez un risque en ne les protégeant pas plus. »

Dans cette première partie (il y en aura trois), nous parlerons que du premier constat : l’avenir d’une technique dépassée depuis longtemps, mais qui est encore majoritaire. C’est un fait, un mot de passe statique n’est plus une parade efficace. Commençons par rappeler qu’un mot de passe « basique » est une erreur, pour employer un euphémisme, qui ne devrait plus exister en 2014. Il est possible de le découvrir en une poignée de secondes. « Pas besoin de disposer d’un supercalculateur ; avec un puissant PC portable, un programme spécialisé dans les “attaques par dictionnaire” (schématiquement, le logiciel scanne pour trouver des mots existants dans un dictionnaire, Ndlr) peut tester 500 millions de mots de passe à la seconde », précise Eric Filiol.

Qu’il soit « faible » ou « fort », le résultat est le même : un pirate peut accéder à des données sensibles. Avec plus ou moins de temps et de moyens, mais il parviendra à ses fins. Une fois le compte d’un utilisateur usurpé, un pirate cherchera à devenir administrateur sur l’ensemble du réseau.

Face à de tels constats alarmants, l’une des pistes souvent envisagées consiste à utiliser des mots de passe dynamiques, c’est-à-dire valables qu’une fois. Dans ce cas, l’utilisateur dispose d’un générateur de mots de passe déverrouillé localement par un autre mécanisme (mot de passe statique, simple possession d’une calculette ou d’un outil de synchronisation).
Mais là aussi, cette option présente des failles connues. Les deux principales sont le serveur d’authentification et la vulnérabilité aux attaques en interception (attaque par le milieu, ou « man in the middle »).

Conclusion, le mot de passe n’est plus adapté. Différentes alternatives sont avancées et proposées. Leurs partisans tiennent tous le même discours : « notre solution est simple, mais efficace ».

Pas sûr !

SecuriteOff.com passe en revue les solutions, principalement biométriques. En effet, selon une étude récente (4 février 2014) du cabinet d’analyse américain Gartner, 30 % des entreprises devraient recourir à des méthodes d’authentification biométrique pour leurs terminaux mobiles d’ici 2016.
L’authentification par biométrie consiste à utiliser un système de reconnaissance basé sur les caractéristiques physiques ou comportementales d’un individu pour vérifier son identité.

 

 

L’empreinte digitale
L’authentification de l’empreinte digitale est la mesure biométrique la plus employée dans le monde depuis les années 60. Une quinzaine de points caractéristiques (les minuties, codifiées à la fin des années 1800 en « caractéristiques de Galton»,) correctement localisés permettent d’identifier une empreinte parmi des millions. Par ailleurs, la probabilité de trouver deux individus avec des empreintes similaires est de 1 sur 1024.

L’offre du marché :
La présence d’un lecteur d’empreintes digitales n’est pas nouvelle puisqu’en 2008 TwinMOS met sur le marché sa Mobile Disk F2, une clé sécurisée par cette solution. Un an plus tard, Acer décide d’en intégrer un à son M900. Trois ans plus tard, Fujitsu faisait de même avec son Arrows Z ISW13F.
Mais aujourd’hui, les smartphones se sont généralisés et les risques de piratage de données sensibles ont augmenté au fur et à mesure que leurs propriétaires y stockaient des données personnelles plus ou moins bien sécurisées (LIEN : http://www.securiteoff.com/les-smartphones-des-mines-dor-pour-lespionnage-economique/)
La reconnaissance digitale est revenue sur le devant de la scène grâce à Apple (modèle iPhone 5S) et HTC (modèle One max) qui proposent des smartphones équipés de cette solution. D’autres marques ont annoncé leur intention d’intégrer le même service. C’est le cas de LG et de Samsung avec son Galaxy S5 dévoilé lors du Mobile World Congress 2014 de Barcelone. Le Galaxy S5 intègre une technologie d’authentification biométrique permettant aux utilisateurs PayPal de régler leurs achats en magasin et en ligne par reconnaissance de leurs empreintes digitales.
Cette intégration dans un smartphone apparaît comme la première adaptation concrète des travaux menés la FIDO Alliance. Créé en juillet 2012, ce consortium réunit notamment Google, Netflix, PayPal, des établissements bancaires, mais aussi Bank of America ou Target (victime d’un piratage géant il y a quelques mois…).
Pour éviter un piratage, les données biométriques ne sont pas stockées dans l’appareil mobile, mais dans le Cloud.
La FIDO Alliance propose deux protocoles spécifiques, le standard U2F (Universal Second Factor) s’appuyant sur un code PIN associé à toute forme d’appareil (clé USB, mobile NFC, etc.) et d’autre part le standard UAF (Universal Authentication Framework) comprenant toutes les solutions biométriques. Ces solutions s’appuient toutes sur une clé cryptée, une méthodologie déjà établie permettant d’établir une connexion de confiance.

La réalité selon des experts
Présentée comme une solution pratique et sécurisée, l’authentification digitale a été rapidement mise à mal par les hackers. « C’est complètement stupide d’utiliser comme élément de sécurité quelque chose qu’on laisse si facilement traîner derrière soi », a expliqué le président du Chaos Computer Club, Frank Rieger.
Résultat, les capteurs d’empreintes du Galaxy 5 et de l’iPhone 5S ont été piratés quelques jours après leur sortie par les chercheurs allemands du SRLabs (LIEN : https://srlabs.de/spoofing-fingerprints/).
L’équipe a également constaté que le smartphone coréen était moins bien sécurisé que son concurrent américain, car il n’y a pas de deuxième couche de sécurité (Code PIN sous l’iPhone 5S).
Certes, la technique utilisée par les chercheurs allemands n’est pas à la portée du premier venu (la photo d’une empreinte a été transférée sur un support à base de colle à bois, lequel est apposé sur un moule) mais elle est inquiétante : « lier le capteur à des applications aussi sensibles que PayPal va inciter encore plus les pirates à apprendre à usurper des empreintes digitales, une compétence aisée à maîtriser » souligne le SRLabs.

Le plus surprenant est que les mises en garde contre les limites de ce type d’authentification sont récurrentes depuis quelques années.

En mai 2002, Tsutomu Matsumoto, de la Yokohama National University, a développé une technique permettant de concevoir de fausses empreintes digitales avec la gélatine alimentaire, utilisée pour la fabrication des bonbons. Il affirme être parvenu, 8 fois sur 10, à duper les 11 systèmes de reconnaissance d’empreintes qu’il a testés. Autre variante proposée et testée pour des empreintes laissées sur des verres : de la colle ultra forte et un logiciel de retouche photo pour augmenter le contraste de l’image avant de l’imprimer sur un transparent.

Pour réduire les risques, des chercheurs américains de l’Université de Virginie ont constaté fin 2005 qu’il fallait prendre en compte la transpiration (LIEN : http://people.clarkson.edu/~biosal/research/fingerprintvitality.html). Ils ont effectué une série de tests pour lesquels ils ont utilisé une soixantaine de faux échantillons (à partir de pâte à modeler, d’argile, de gélatine et de plâtre dentaire). Ils ont également utilisé des doigts prélevés sur des cadavres humains. Leur étude a confirmé qu’il était facile de tromper la majorité (90 %) des lecteurs d’empreintes. Par contre, le taux d’erreur n’atteint que 10 % lorsque la sueur est prise en compte. Leur algorithme détecte et prend en compte la trame de la transpiration lorsque le lecteur contrôle une image d’empreinte digitale. De quoi intéresser la NSA qui a financé ce projet à hauteur de 3,1 millions de dollars…

 

L’iris
La probabilité de trouver deux individus avec des iris ayant des caractéristiques similaires est de 1 sur 1072.

L’offre du marché :
Samsung aurait envisagé d’intégrer un scanner de l’iris à son Galaxy S5 avant de l’abandonner au profit du lecteur d’empreintes. Pour l’instant, les solutions grand public sont rares. La société américaine EyeLock a communiqué sur son scanner de l’iris. Connecté au port USB, son Myris compare plus de 240 points de l’iris. Mais il n’est pas encore en vente.

La réalité selon des experts
Dans une intervention au Black Hat 2012, des chercheurs de l’Université autonome de Madrid en Espagne et de l’Université de la Virginie de l’Ouest aux États-Unis ont indiqué qu’ils avaient testé leur faux iris avec un système commercial (VeriEye de la société Neurotechnology). Dans 80 % des cas, le scanner n’avait rien vu de louche !

 

L’authentification vocale

C’est en 1962 que Lawrence Kersta, un ingénieur du Bell Laboratories, établit que la voix de chaque personne est unique et qu’il est possible de la représentergraphiquement.
Sur le papier, cette solution semble très pratique et facilement acceptable par les utilisateurs, car moins « intrusive » que l’analyse de l’iris par exemple. Mais actuellement, la reconnaissance vocale se traduit principalement par des applications d’assistance vocale comme Siri, intégrée aux iPhone depuis 2011, ou « S-Voice », son équivalent sur Samsung.

L’offre du marché :

Cette solution est déployée notamment par quelques établissements bancaires. En 2011, un système de vérification du locuteur a été mis en place par Dexia en Belgique. Mais il était réservé à ses 300 clients VIP afin d’accéder à des services privilégiés sur un numéro de téléphone dédié. En Israël, la banque Lomi l’a utilisé pour repérer les fraudeurs à la carte bancaire.
Depuis septembre 2013, la Banque Postale expérimente auprès de ses collaborateurs et de son Lab Client un dispositif innovant de paiement sur l’Internet, reposant sur l’authentification vocale : Talk to Pay (LIEN : https://talktopay.labanquepostale.fr/usert2p/authentification.jsp). Testé dans un premier temps pour sécuriser le paiement, cette solution d’authentification vocale pourrait être utilisée pour l’identification des clients sur les serveurs vocaux, la sécurisation de l’accès à la banque en ligne.
Concernant le poste de travail, Hammacher Schlemmer a commercialisé en 2012 (plus disponible) une clé USB dont les 8 Go sont protégés par un système de reconnaissance vocale. En cas de rhume, la personne pouvait accéder à ses données en entrant la bonne séquence de diodes vertes et rouges.

Ce déploiement limité n’empêche pas Nuance, le leader mondial des solutions vocales reste optimiste et tente toujours de convaincre des marques de téléphones mobiles ou d’informatique. La solution de Nuance pourrait fonctionner de la façon suivante : « la première fois qu’un client s’identifie auprès d’un système, un échantillon de sa voix est prélevé et stocké. Lorsqu’il réutilise le système, un second échantillon de sa voix est collecté, puis comparé à l’empreinte stockée. Cette comparaison génère un score de confiance. De cette façon, on détermine si l’interlocuteur peut ou non accéder au système. En outre, la biométrie vocale est capable de s’adapter aux variations de la voix résultant, par exemple, d’un rhume ou du vieillissement », explique Joël Drakes, Responsable Avant-Vente chez Nuance Communications France.

La réalité selon des experts
La voix est propre à chaque personne et permettrait donc une parfaite identification. Toutefois, l’Association Francophone de la Communication Parlée (AFCP) rappelle que « la voix n’est pas une empreinte digitale ou génétique. La voix présente des différences majeures avec les empreintes digitales et génétiques :
• La voix évolue au cours du temps, que ce soit à court terme (moment de la journée), à moyen terme (période de l’année) et à long terme (avec l’âge), ainsi qu’en fonction de l’état de santé ou l’état émotionnel.
• La voix est un élément modifiable volontairement (cf. les imitateurs) et aisément falsifiable, avec les moyens techniques existants.
De plus, l’évaluation scientifique de la fiabilité des empreintes digitales et génétiques repose notamment sur l’existence de bases de données expérimentales de dimension très importante. Dans le domaine vocal, les bases de données disponibles actuellement ne comportent pas un nombre suffisant de locuteurs, de langues, de conditions d’enregistrement pour évaluer la fiabilité des méthodes existantes dans un contexte d’authentification vocale ».