C’est désormais un fait : la biométrie n’est plus aussi fiable qu’on le pensait ! En témoigne l’Office of Personnel Management (OPM) américain qui a été victime d’un vol massif de données. Alors que le bilan s’élevait déjà à 1,1 millions d’empreintes digitales dérobées aux fonctionnaires fédéraux américains, il s’est alourdi à hauteur de 5,6 millions cette année ! Ce système de reconnaissance fonctionnant à partir de caractéristiques physiques et comportementales d’une personne semblait pourtant inviolable. Or les méthodes des hackers ne sont pas en reste. Au début de cette année, un individu a réussi à cloner l’empreinte digitale de la ministre fédérale de la Défense allemande, et ce, en reconstituant ses données physiques partir de photos publiques haute définition prises lors d’une conférence de presse. Dans le passé, ce hacker avait déjà été capable de produire une empreinte digitale grâce à une empreinte résiduelle sur un smartphone…
« Dans le futur, la biométrie ne pourra plus constituer une alternative 100% fiable aux mots de passe. De par leur caractère virtuel, les mots de passe sont eux aussi vulnérables aux hackers, à ceci près qu’ils peuvent être changés et que notre mémoire est par essence insaisissable, à l’inverse des empreintes digitales. Cette méthode de reconnaissance physique s’avère par conséquence trop dangereuse en cas de vol », précise Luc Caprini, directeur commercial et Ping Identity pour l’Europe du sud, un leader des solutions de sécurité basées sur les identités. Rappelons que Ping Indentity compte, parmi sa clientèle, de prestigieuses références comme Cisco, Kraftwood ou encore Walgreens. La société se charge ainsi de la protection de près d’un milliard d’identités. Pour cette entreprise, les processus d’identification représentent la clef de voûte de la sécurité sur Internet.
Outre les systèmes biométriques, de nombreuses technologies ont déjà investi le marché de la sécurisation des données. A commencer par les solutions basées sur la gestion fédérée des identités, appelée également »Identify and Access Management » (IAM). En se basant sur un certain nombre d’informations privées (numéro de téléphone, adresse) et professionnelles (nom du supérieur, numéro de portable professionnel) mais aussi en rapport avec le métier (comptes applicatifs, habilitations), ces solutions vérifient l’identité des utilisateurs, contrôlent les accès et automatisent les contrôles de sécurité.
Les IAM sont généralement couplées à un accès sécurisé aux informations personnelles et confidentielles via le Cloud, avec des solutions comme Ping Federate et Ping Access. Ces serveurs de fédération sont capables de fournir la gestion des identités, le »Single Sign-on » (authentification unique) et la sécurisation des interfaces pour l’accès programmé aux applications ou, en anglais »Application Programming Interface » (API). L’idée étant de pouvoir accéder aux applications dont on a besoin via n’importe quel appareil avec une seule identité, en toute sécurité.
Enfin les systèmes d’authentification à double ou multi facteur font également partie des grandes technologies émergentes de la sécurisation des connexions sur la toile. L’idée étant de demander une information en plus de l’identifiant et du mot de passe lors de la connexion. Il peut s’agir d’une question personnelle, d’un code temporaire ou encore d’une empreinte digitale. Surtout, cette information nécessaire à la connexion peut dépendre d’un objet connecté tel qu’un téléphone ou une clef USB.
Cette dernière va utiliser la cryptographie à la place des codes de validation en faisant office de clavier. De plus, la clef USB fonctionne seulement avec le site auquel elle est destinée. Ainsi protège-t-elle des attaques de type Phishing, une stratégie qui consiste à mettre en place des faux sites Web afin d’extorquer des mots de passe utilisateur et des codes de validation. De quoi donner encore du fil à retordre aux pirates informatiques. Cette idée a déjà séduit le géant Google qui souhaite, à l’avenir, démocratiser l’utilisation de la clef USB comme double système d’authentification auprès du grand public. Ce qui laisse à penser qu’à l’avenir, n’importe quel objet connecté pourrait faire office de mot de passe !
Ségolène Kahn
Commentez