La mort annoncée du tandem identifiant/mot de passe

Vol de données, usurpations d’identité, altération ou modification de documents confidentiels, les accès frauduleux au sein des systèmes d’information des entreprises se multiplient ces derniers mois. Le dernier en date étant le piratage des données personnelles de plus de 110 millions de clients de la chaîne américaine Target en décembre dernier. Ces fraudes mettent en évidence autant de failles de sécurité critiques, alors même que ces mêmes entreprises continuent d’investir des millions de dollars par an dans des systèmes toujours plus sophistiqués réputés capables de les protéger contre toutes les attaques, actuelles et à venir.
En vérité, comme si les fraudeurs avaient toujours un train d’avance sur les systèmes de sécurité, à chaque nouvelle avancée dans les technologies de protection répond immédiatement l’apparition de nouvelles techniques d’intrusion, l’imagination – et la détermination des fraudeurs n’ayant pas de limite. La numérisation accélérée de toutes les informations, doublée de l’omniprésence des accès Internet, a un revers de taille, que beaucoup semblent encore ignorer : la vulnérabilité des données a acquis une nouvelle dimension, et plus inquiétant encore, les politiques de sécurité d’hier, même les plus strictes, finissent par céder face à des techniques de fraude toujours plus sophistiquées.
Exemple emblématique de cette vulnérabilité accrue : la perte d’efficacité désormais avérée de la méthode de sécurité d’accès standard utilisée dans le monde, le bon vieux tandem identifiant/mot de passe. L’immense majorité des failles de sécurité constatées aujourd’hui implique le « crackage » de ce tandem.

La mort annoncée du tandem identifiant/mot de passe

Certes, le bon respect de règles les plus élémentaires, telles que l’utilisation de mots de passe ultrasimples, explique une bonne part de ces « crackages. » Une récente étude publiée en France en Janvier 2014 par Dashlane montre que 87 % des sites marchands français acceptent encore des mots de passe de type 123456, de même qu’un site sur deux continue d’envoyer en clair les identifiants et mots de passe sur les boîtes mail de ses clients. La situation est encore plus alarmante dans les entreprises, où la sécurisation des codes d’accès reste encore très faible voire nulle.
Mais même en appliquant les « bonnes pratiques » recommandées par l’ANSSI telles que la complexification et le renouvellement régulier des mots de passe, cette méthode de sécurité ne résiste plus dans la durée face aux nouvelles stratégies d’intrusion qui exploitent le moindre défaut de la cuirasse. Il ne s’agit plus de cas isolés. Dernières preuves en date, prises parmi d’autres : des accès frauduleux ont récemment eu lieu chez un des plus grands opérateurs français de cloud computing, et des données médicales des services d’urgence se sont retrouvées il y a peu librement accessibles sur Internet. Tout se passe comme si une simple serrure restait la norme pour protéger les données, alors que la réalité de la menace impose désormais au moins une serrure trois points.

L’authentification forte, un mal nécessaire

De nouvelles méthodes de sécurité d’accès et de communications dans un environnement intégralement numérique devront donc impérativement être mises en œuvre tôt ou tard, et le plus tôt serait le mieux, afin de limiter au maximum les nouveaux risques, et faire en sorte au moins qu’une intrusion ou une fraude puisse être décelée le plus rapidement possible par sa victime.
Ces méthodes, dites d’authentification forte ou de signature électronique, commencent seulement à être adoptées par les professionnels les plus sensibles à la sécurité des informations : services juridiques, recherche et développement, services de santé par exemple. Elles sont également en cours de mise en place chez les plus grands opérateurs de cloud, et dans l’administration française, avec les certificats RGS, d’ores et déjà imposés pour les appels d’offres sur les marchés publics, et dont l’utilisation doit progressivement être étendue à tout le secteur public. Ces certificats de signature électronique permettent d’authentifier à coup sûr l’identité de la personne signataire du document ou du message transmis, et de garantir l’intégrité des documents échangés. Ils peuvent être mis en œuvre à trois niveaux. Au niveau 1, le certificat est enregistré une fois pour toutes sur la machine du signataire, et authentifie tous les messages ou documents transmis.
Au niveau 2, imposé par l’administration, le certificat est intégré sur un support physique, clé USB avec une puce généralement, qui doit être connectée sur la machine du signataire à chaque fois qu’il l’utilise (le matin quand il la met en route par exemple). Au niveau 3, la clé doit être délivrée en face à face.
La mise en œuvre de certificats de type RGS est donc contraignante pour les utilisateurs, qui doivent les conserver sur un support physique. Elle a aussi un coût – 100 € environ par an et par personne pour le niveau 2, à régler à un prestataire de services de certification agréé, le français Dhymiotis par exemple pour n’en citer qu’un.

Commencer par les communications internes

En toute logique, elle s’effectuera progressivement dans les entreprises, en commençant par les domaines les plus « vulnérables », dont les échanges de documents en interne. En effet, la majorité des attaques réussies aujourd’hui exploitent des failles de sécurité au niveau des utilisateurs internes.
Un cas typique d’intrusion par exemple a comme point de départ la modification frauduleuse des documents de mise en œuvre de la politique de sécurité de l’entreprise (rapports, consignes de sécurité, etc.). La modification de ces documents permet alors de créer une brèche et in fine de récupérer des mots de passe.

L’utilisation d’une solution de signature électronique permet de déjouer ce type d’attaque

On le voit, la question n’est plus de savoir si oui ou non les solutions d’authentification forte sont nécessaires pour remplacer les mots de passe traditionnels, mais quand et à quel rythme ces solutions finiront par se généraliser. Afin que les entreprises ne ratent plus le train des fraudeurs.


[Source : JDN]

Sur le(s) même thème(s) :