Préparer le futur de l’authentification sécurisée

Au printemps 2021, RockYou2021, une compilation contenant 8,4 milliards de mots de passe a été publiée par des hackers. Alors que le cyberespace n’est peuplé que de 4,7 milliards d’internautes, la compilation -qui pourrait théoriquement contenir deux fois les mots de passe de l’ensemble des utilisateurs d’internet- serait la plus grosse fuite de données de l’histoire. Alarmante par son ampleur, cette fuite illustre l’un des nombreux défis de cybersécurité que Pone Biometrics entend bien relever grâce à sa solution OffPAD (Offline Personal Authentication Device).

Par Philipine Colle 

La mort annoncée du mot de passe

En 2019, l’équivalent de 95 mots de passe ou certificats d’authentification étaient volés dans le monde chaque seconde. « Pour nous le mot de passe est mort ! » lance Jean-Noël Georges, Chief Strategy Officer de la société Pone Biometrics avant de détailler : « Puisque les mots de passe se complexifient de façon croissante, leur utilité pour les sociétés n’est plus à la hauteur de leur coût élevé. Alors que 30 % à 50 % de tous les appels au service d’assistance informatique concernent des demandes de réinitialisation de mot de passe, une seule de ces opérations de reprise en main coûte, en moyenne, 70 dollars ». Onéreuse, l’identification par mot de passe n’en est pas moins contraignante pour les utilisateurs alors tentés de sacrifier la sécurité de leurs données pour des raisons pratiques. Ainsi, si 57 % des salariés préféreraient une authentification sans mot de passe, ils sont 51% à toujours utiliser la même suite numérique et même 69% à partager ces données confidentielles avec leurs collègues.

Une masse exponentielle de données de plus en plus sensibles est stockée sur des services Cloud, aujourd’hui majoritairement accessibles par des mots de passe rendus inopérants grâce aux automates utilisés par des hackers conscients que la valeur de ces données dépasse largement celle de la monnaie numéraire. Alors que 36 milliards de mots de passes ont été exposés en 2020, les diverses fuites ayant déjà été publiées devraient faire de 2021 une année record.

La biométrie décentralisée est la clef

« 60% des cyberattaques réussies résultent d’erreurs humaines liées à des mauvaises pratiques sur les terminaux » constate Jean-Noël Georges qui plaide pour la mise en place d’une stratégie zero-trust abolissant les accès privilégiés et consistant à la création de zones de confiance accessibles uniquement sur authentification sécurisée. Grâce à l’ajout d’une authentification forte tirant parti de la biométrie des empreintes digitales, la carte OffPAD agit comme un tiers de confiance qui peut prendre en charge une authentification dans des situations de plateformes compromises en permettant aux clients d’utiliser leur propre téléphone avec les normes de sécurité les plus élevées, sans mot de passe ni code PIN.

Le lancement de la solution OffPAD intervient dans le contexte favorable d’une régulation nationale et européenne croissante concernant la cybersécurité des entreprises et institutions du territoire. Si les opérateurs économiques doivent se doter de solutions de sécurité afin de se mettre en conformité notamment avec la directive NIS, le marché est mature pour la solution biométrique OffPAD. « Aujourd’hui, le marché est prêt pour la biométrie. Les craintes quant à l’intrusivité de cette technologie qui ont émergé au moment de la sortie des premiers téléphones biométriques, se dissipent proportionnellement à la prise de conscience de l’augmentation de la menace cyber et à l’acculturation croissante des populations de tout âge à ces techniques d’authentification biométriques agiles et faciles d’utilisation » affirme le CSO de Pone Biometrics.

Au-delà de l’usage de la technologie biométrique, c’est la multiplication des facteurs d’authentification sur des hardwares décentralisés qui accroît la fiabilité de cette technique. Connectés aux serveurs uniquement le temps de l’authentification, ces derniers contiennent les informations critiques nécessaires à l’identification et minimisent la surface d’impact d’une attaque tout en complexifiant les tentatives de piratage.

« Même si un système est robuste, sans élément hardware externe il sera impossible de discerner, en cas de compromission les requêtes réelles des messages frauduleux en provenance des serveurs. » explique Jean-Noël Georges. Une prise de conscience qui touche toutes les sociétés puisque le directeur de la sécurité des identités chez Microsoft, Alex Weinert, déclarait en novembre 2020 « Nous exhortons les utilisateurs à cesser d’utiliser l’authentification multifactorielle par téléphone. Nous leur recommandons plutôt d’utiliser des authentificateurs basées sur des applications et des clés de sécurité ».

De nouveaux défis

Si les solutions d’authentification sont de plus en plus sophistiquées, les pirates s’adaptent et font preuve d’une inventivité sans limite pour que leurs méfaits aboutissent. « Jusqu’alors, les firmwares étaient très sécurisés mais une génération émergente de hackers utilise les mises à jour des systèmes d’exploitation pour véroler ces microsystèmes » alerte Jean-Noël Georges. Un travail de consolidation du contrôle des firmwares nécessaire rejoignant la longue liste des nouveaux défis desquels s’empare l’entreprise, qui bénéficie du soutien financier du gouvernement norvégien à hauteur de 1,6 million d’euros. En partenariat avec une université norvégienne et l’institut allemand Fraunhofer, reconnu au niveau européen dans le domaine de la cryptographie, l’entreprise prépare la carte au futur de la cybersécurité en intégrant de la cryptographie post-quantique. Un travail de test des senseurs biométriques ayant un objectif d’amélioration de la qualité de la prise et de la lecture d’empreinte est également en cours avec le laboratoire de la Norwegian University of Science and Technology (NTNU).

Les secteurs d’application des technologies biométriques décentralisées ne manquent pas. Le développement de services tels que le numérique en santé ou encore la citoyenneté numérique nécessiteront une adaptation de la sécurisation de l’accès aux données personnelles de toute une population. Des données très vulnérables et convoitées comme le rappelle le National Institute of Standards and Technology dépendant du département du Commerce des États-Unis : « Les informations sur les patients collectées, stockées, traitées et transmises sur des appareils mobiles sont particulièrement vulnérables aux attaques ». Coffre-fort à identifiants numériques, la solution OffPAD ayant reçu le certificat « seal of excellence Horizon 2020 » de la part de la Commission européenne en 2018, sera sans aucun doute un acteur clé de la numérisation croissante de nos sociétés.