Cours: les types de facteurs d'authentification et leurs limites
Le facteur d'authentification BIOMÉTRIE
La biométrie appartient à la catégorie des technologies d'authentification forte puisqu’elle repose sur des systèmes de capture d'images couplés à une base de données centrale.
Empreinte rétinienne ; Structure du visage ; Voix ; Structure de la main ; Empreinte digitale...
De toutes les méthodes d’authentification vues ensemble, aujourd’hui la biométrie est sans doute la méthode la plus prometteuse pour la sécurité informatique en entreprises, mais aussi la plus délicate à mettre en œuvre pour plusieurs raisons.
Il existe toutefois plusieurs limites à la biométrie.
Tout d'abord, la biométrie coûte cher et nécessite de lourds moyens pour être mise en place. Ensuite, elle pose des problèmes sur l'aspect juridique du fait de stocker les caractéristiques morphologiques des personnes.
En effet, ces bases de données sont à rapprocher de celles utilisées par la police et sont donc soumises à des lois très strictes.
Notez également que certaines techniques d'authentification biométrique sont plus susceptibles d'être contournées que d'autres.
Par exemple, les techniques courantes de reconnaissance du visage peuvent être mises à mal par une simple photo.
Et c’est sans compter les éventuels problèmes d’accès qui pourraient survenir avec une voix enrouée ou encore des mains brûlées…
L'un des axes de recherche de la biométrie porte donc sur la multimodalité, c'est-à-dire la combinaison de plusieurs méthodes d'identification par voie biométrique.
Là encore les coûts de développement des applications restent aujourd’hui un facteur limitant pour sa mise en place.
EXEMPLE EN BELGIQUE
Il est important de noter que ce système connait également quelques dérives à la croisée entre les facteurs de possession et biométrique.
En Belgique par exemple, certains employés ont accepté de se faire implanter des puces sous la peau.
Notons toutefois que ce type de solutions a peu de chance de voir le jour en France puisqu’il est, entre autres, contraire à l'application du règlement général sur la protection des données personnelles (RGPD).
Le facteur d'authentification MOT DE PASSE
Le mot de passe est aujourd’hui le mode d’authentification le plus répandu. En effet, c’est le mode d’authentification le plus simple à mettre en place sur nos services quotidiens. Mais ce mot de passe n’est pas exempt de risques.
Les risques: DIVULGATION
"123456" = Mot de passe faible
"Jm!reg@rderLeF00t” = Mot de passe fort
Même s’il n’élimine pas l’ensemble des risques, le principe d'authentification permet toutefois de réduire les risques d'usurpation d'identité.
Les risques peuvent varier en fonction du type d'authentification et de la nature des preuves apportées.
En particulier, un mot de passe est un élément secret que vous seul devez connaître car il conditionne l'accès à vos données et services en ligne.
Le risque principal lié à son utilisation est donc sa divulgation à un tiers qui pourrait en faire un usage malveillant.
Les causes de divulgation peuvent être multiples, de la négligence à la malveillance.
"123456"
Mot de passe faible
Mot de passe fort
En particulier, un mot de passe est un élément secret que vous seul devez connaître car il conditionne l'accès à vos données et services en ligne.
Le risque principal lié à son utilisation est donc sa divulgation à un tiers qui pourrait en faire un usage malveillant. Les causes de divulgation peuvent être multiples, de la négligence à la malveillance.
Même s’il n’élimine pas l’ensemble des risques, le principe d'authentification permet toutefois de réduire les risques d'usurpation d'identité.
Les risques peuvent varier en fonction du type d'authentification et de la nature des preuves apportées.
Les risques: NÉGLIGENCE
On parle de divulgation par négligence dans les cas suivants :
- Utilisation d'un mot de passe faible (ex : 0000, 123456, motdepasse) ;
- Inscription du mot de passe sur un support accessible à un tiers (post-it sous le clavier, tableau blanc) ;
- Diffusion à un tiers (collègue, ami, opérateur de service informatique, mot de passe envoyé par email, etc.) oralement ou par écrit (papier, mail, etc.).
- Authentification sur un service n'utilisant pas de protocole sécurisé tels que HTTPS, IMAPS, POP3S, etc.
- Utilisation d'un ordinateur/ smartphone qui ne soit pas de confiance et potentiellement infecté (cybercafé, ordinateur en libre accès dans un hôtel, etc.) ;
- Mot de passe enregistré sur le navigateur internet sans protection.
Les risques: MALVEILLANCE
La divulgation de mot de passe peut également faire suite à un acte de malveillance. Il peut s’agir :
D’une authentification sur un service illégitime (hameçonnage ou phishing, dont on parlera dans l'unité 2 de ce module),
d‘une attaque par ingénierie sociale (utilisation de vos données personnelles pour vous piéger),
d’une attaque par force brute ou de la divulgation d'une base de données de mots de passe d'un service mal sécurisé.
Ces différentes causes de divulgation seront abordées en détail dans la suite de ce cours.
Gardez en tête que lorsque votre mot de passe a été divulgué, il perd son caractère confidentiel.
Un individu malveillant peut alors usurper votre identité sur un service en ligne et effectuer des actions en votre nom.
Les conséquences varient en fonction du type de service impacté et des objectifs des individus malveillants :
- Compromission de messages personnels sur votre messagerie électronique ;
- Destruction de données ;
- Publication de messages ou photos préjudiciables sur vos réseaux sociaux ;
- Achats sur des sites de vente en ligne (certains sites proposent en effet de conserver votre numéro de carte bancaire) ;
- Virements bancaires sur le site de votre banque ;
- etc.
L’un des risques associé aux mots de passe est la divulgation par malveillance ou négligence.
Afin de vous protéger de ce risque, ne communiquez pas directement votre mot de passe et ne l’écrivez pas sur des papiers, post-it®, bloc-notes, tableau blanc, fichiers partagés, etc.
CONCLUSION
L'usurpation d'identité peut avoir des conséquences importantes pour vous et par extension pour votre entreprise.
C’est pourquoi, si vous êtes victime d'usurpation d'identité, il est nécessaire de suivre les conseils suivants :
-
Dans le cadre de votre activité professionnelle, prévenir le responsable de la sécurité informatique.
-
Déposer plainte auprès des services de police.
-
Signaler immédiatement l'usurpation auprès des services bancaires, sociaux ou administratifs concernés.
-
Demander à vos groupes d’amis, de discussion, etc. d’effacer les messages préjudiciables qui n’émanent pas de vous.
Pour limiter ces risques, il convient d'appliquer un certain nombre de bonnes pratiques que vous découvrirez dans la suite de votre parcours.
Un code reçu par SMS est un facteur de… Possession , Même si l’on peut penser à première vue qu’il faut avoir la connaissance du code reçu, cette méthode d’authentification prouve en fait que l’utilisateur a la possession du téléphone dont le numéro est lié au compte,
Empreinte digitale = facteurs biométriques
Badge, clé de la voiture = facteur de possession
Mot de passe, pin de la carte bancaire, réponse question secrète = facteur de connaissance
Les facteurs d’authentification sont un gage de sécurité absolue ? Non. Les facteurs d’authentification ne garantissent pas une sécurité absolue, en revanche leur utilisation permet de grandement réduire les risques d’usurpation d’identité.
Pour qu’un collègue puisse accéder plus facilement à mes documents de travail, puis-je lui donner le mot de passe de ma session Windows/compte informatique ? NON. Votre mot de passe est personnel et ne doit jamais être communiqué.
Même si le facteur biométrique semble plus robuste au premier coup d’œil, il est faillible au même titre que les autres.
Par exemple, certains lecteurs d’empreintes digitales (facteur biométrique le plus classique) peuvent être trompés à l’aide de colle, ou en encore de gélatine
Quels facteurs utilise-t-on pour prouver son identité ?
Ce sont les facteurs d’authentification qui sont utilisés pour prouver son identité. On les regroupe en trois catégories :
- Les facteurs de connaissance
- Les facteurs de possession
- Les facteurs biométriques
La seule possession d’un badge électronique dans le cadre de mon travail fournit-elle un moyen d’authentification forte ? NON. L’utilisation d’un badge électronique ne fournit pas un moyen d’authentification forte car un seul type de facteur d’authentification est utilisé : le facteur de possession.
https://www.ssi.gouv.fr/uploads/2015/02/NP_SDE_DAT_NT_Archi_Admin.pdf
https://www.globalsecuritymag.fr/Authentification-Forte-PCI-DSS-ce,20170325,69862.html
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit
Commentaires?
Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus
ou contactez-nous?