Étude : les entreprises devront se passer des mots de passe durant les 5 prochaines années
En raison des cyberattaques de plus en plus sophistiquées

Le , par Coriolan, Chroniqueur Actualités
Dans le futur, les entreprises pourraient être amenées à se passer de l’authentification par mot de passe, c’est ce que révèle une nouvelle étude réalisée par Wakefield Research auprès de 200 décideurs IT aux États-Unis pendant le mois dernier. 69 % des personnes interrogées ont dit qu’ils laisseront tomber complètement les mots de passe dans les cinq prochaines années. Les systèmes d’authentification par mot de passe sont très vulnérables aux cyberattaques, selon SecureAuth, la firme qui a commandé l’étude. Sans surprise, cette firme vend des solutions alternatives aux systèmes d’identification par mot de passe.

« Après les fuites colossales qu’ont connues des firmes comme Yahoo!, dans lesquelles les noms d’utilisateur, les mots de passe et les réponses aux questions de sécurité ont été compromis, il y a un mouvement grandissant d’individus et d’entreprises qui cherchent à réviser les systèmes actuels d’authentification », a dit Craig Lund, PDG de SecureAuth. « L’authentification par mot de passe basé sur un seul facteur, et même celle basée sur les approches traditionnelles à deux facteurs, ne sont plus suffisantes aujourd’hui dans un monde de plus en plus numérisé. Avec les couts associés aux cyberattaques qui se chiffrent en millions de dollars chaque année, il est dans l’intérêt de tout le monde de faire barrage aux pirates afin qu’ils ne puissent plus causer davantage de dégâts à notre économie. »

Les identifiants volés sont à l’origine d’un nombre effrayant de fuites de données ; 63 % des attaques sont causées à un certain moment par des identifiants faibles ou volés, une raison pour laquelle les organisations doivent implémenter des formes d’authentification plus robustes afin de freiner la montée en puissance de ces attaques.

L’étude de Wakefield a montré également que les organisations protègent en moyenne 56 % seulement de leurs actifs avec des méthodes à plusieurs facteurs, un constat alarmant selon SecureAuth. Étonnamment, 42 % des personnes interrogées ont dit que les principaux obstacles à l’amélioration des systèmes d’authentification sont la résistance des dirigeants et la déstabilisation de la routine quotidienne des utilisateurs. Les autres raisons incluent le manque de ressources pour la maintenance (40 %), une longue courbe d’apprentissage des employés (30 %) et la crainte que les améliorations ne marchent pas comme prévu (26 %).

« Alors que les firmes savent que les politiques de protection par mot de passe seulement les laissent vulnérables, beaucoup de dirigeants hésitent encore à faire évoluer et mettre à niveau leurs stratégies d’authentification », a dit Lund. « C’est une décision difficile, les organisations ont l’obligation de confirmer les identités des utilisateurs en recourant aux formes de contrôle d’accès les plus fortes, tout en assurant une expérience utilisateur positive et non intrusive. Heureusement, les technologies de contrôle d’accès intuitives comme la reconnaissance d’appareils, les services de menace et la vérification de la géolocalisation ; toutes ces couches de sécurité aident les organisations à renforcer leur sécurité, permettant aux utilisateurs de rester sécurisés et productifs sans pour autant gêner leurs routines quotidiennes. »

Toujours selon l’enquête, 99 % des décideurs IT sont d’accord que l’authentification à deux facteurs constitue la meilleure façon pour protéger l’identité et son accès. Cependant, les actualités récentes ont montré que beaucoup de méthodes traditionnelles d'authentification à deux facteurs, comme celles basées sur code envoyé par SMS et utilisé une seule fois, sont contournées par les cybercriminels avec des attaques d’hameçonnage bien conçues. Autrement dit, le recours à l'authentification à deux facteurs seule n’est plus suffisant pour assurer la sécurité des organisations.

Par ailleurs, la majorité des individus concernés par l’étude (73 %) ont cité les questions de sécurité comme la mesure la plus essentielle pour authentifier les utilisateurs en toute sécurité. Cependant, les attaquants arrivent également à contourner ces questions et réponses, ce qui expose considérablement les individus aux cyberattaques. Les réponses à certaines questions de sécurité peuvent être obtenues par les hackers à partir des réseaux sociaux, les attaques d’ingénierie sociale et même devinées certaines fois par une estimation éclairée.

Heureusement, les décideurs IT ont indiqué que d’autres mesures sont essentielles également pour la stratégie d’authentification de leurs organisations, ces mesures incluent la reconnaissance d’appareils (59 %), le scan d’empreintes digitales, facial ou de l’image de l’iris (49 %); le balisage géolocalisé, la géolocalisation et les capabilités de géovélocité (34 %).

« Les organisations ont recours à des approches de sécurité dépassées qui nécessitent plus d’étapes à suivre par les utilisateurs et sont inefficaces contre les cyberattaques avancées d'aujourd'hui », a dit Keith Graham, CTO de SecureAuth. « Les méthodes traditionnelles d’authentification à deux facteurs ne sont plus suffisantes, et les organisations doivent évoluer et renforcer leurs défenses contre les cyberattaques. Ceux qui sont visionnaires sont en train d’implémenter officieusement des procédés de vérification du risque, sans déborder l’expérience utilisateur. Une authentification à sécurité renforcée ne doit plus venir au détriment de l’utilisateur final. »

Source : marketwired

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 15/10/2016 à 13:03
Moi je ne suis pas d'accord, la biométie, le visage ou la rétine c'est encore moins fiable que les mots de passe.

Dans tous les cas faut stoker le moyen d’authentification dans une bdd, si un pirate récupère (niveau software j'entends, pas physiquement) ou imite un doigt, un visage ou une rétine c'est foutue.
Pire encore, si le pirate y arrive on ne peut pas le changer, contrairement à un mots de passe. A moins de se payer une petite chirurgie esthétique à 10000€.

Et enfin, un mots de passe chiffrer correctement par des algo qui sont au jour d'aujourd'hui dit fiable/inviolable, normalement y'a 0 probleme si un hacker récupère la base. Apparemment, yahoo utilisait MD5, sans commentaire.

La biométrie aujourd'hui c'est fiable, uniquement car les pirates ne s'y intéresse pas encore car trop peu utilisé.
Coup de gueule : Si les entreprises stockaient moins de donné sur nous, elles aurait de moins valeur et donc se ferait moins hacker
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 15/10/2016 à 13:03
Je viens de faire une étude, "moi-même", "personnellement", assis "tout seul" dans mon salon et mes conclusions sont sans appel:

Les entreprises doivent se passer de tout système informatique pour les 1'000 prochaines années à cause des ces incessantes failles sécuritaires que l'on trouve à longueur de journée dans n'importe quel système (du jeu à la pokemon au logiciel bancaire!!!)
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 15/10/2016 à 16:53
Citation Envoyé par sazearte  Voir le message
Moi je ne suis pas d'accord, la biométie, le visage ou la rétine c'est encore moins fiable que les mots de passe.

La biométrie par réseau veineux est très fiable.

Le problème le plus souvent est que les entreprises ne prennent pas les bonnes précautions. Pas de réelles politiques de sécurité informatique, peu importe le moyen qu'elles utilisent.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 15/10/2016 à 19:06
le problème c'est que l'authentification à 2 facteurs(qui est en fait une identification avec 3 facteurs) nécessite de faire usage à des systèmes externes souvent plus faciles à pirater tel que l'adresse email ou l'apel/SMS sur un téléphone on à aussi droit aux autentificator tel que celui de Blizard, Steam, Microsoft, Google, ... donc rien n'est parfait le plus sûr étant la méthode alternative de Google de la liste des mdp à usage unique dont je me sert quand je suis à l'étranger
Avatar de yann2 yann2 - Membre expérimenté https://www.developpez.com
le 17/10/2016 à 1:36
Citation Envoyé par nirgal76  Voir le message
La biométrie par réseau veineux est très fiable.

Il faut lire le commentaire de Sazearte jusqu'au bout. Il y a bien un moment où une conversion Réseaux veineux --> bits est faite. Et, si des personnes mal intentionnées arrivent à récupérer ces bits il n'y a plus qu'à changer de réseau veineux Ce n'est pas fiable parce qu'on ne peut pas le changer.

Pour ma part, j'estime que le mot de passe à encore de beaux jours devant lui Voici mes deux astuces (même si je ne les applique pas tout le temps malheureusement) :
- Utiliser un coffre fort de mot de passe (l'inconvénient c'est que dès que le coffre est compromis, il faut passer l'après midi à tout changer. Autre inconvénient : il ne faut surtout pas perdre le mot de passe du coffre fort )
- Utiliser l'option de "J'ai perdu mon mot de passe". Il suffit de rentrer un mot de passe complètement aléatoire et, si possible, compliqué (vous n'avez pas besoin de le retenir car vous utilisez l'option à chaque connexion). C'est un peu comme un coffre fort++ : il faut juste retenir le mot de passe de la boite mail. C'est certainement la meilleure protection que je connaisse vu que le mot de passe change à chaque connexion. Bien entendu il faut encore que la boite mail soit suffisamment protégée.
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 18/10/2016 à 10:08
Citation Envoyé par yann2  Voir le message
Il faut lire le commentaire de Sazearte jusqu'au bout. Il y a bien un moment où une conversion Réseaux veineux --> bits est faite. Et, si des personnes mal intentionnées arrivent à récupérer ces bits il n'y a plus qu'à changer de réseau veineux Ce n'est pas fiable parce qu'on ne peut pas le changer.

Ben, en changeant une clé qui encode le hashcode obtenu du réseau veineux, ou un système de signature ou à clé public/privée pour authentifier l'expéditeur (donc le dispositif dbiométrique), ça rends son interception obsolète rapidement voir infructueuse car on ne peut pas se substituer à lui. enfin, j'suis pas un pro là dedans, mai sj'imagine qu'il y a plétore de moyen pour empêcher un tiers de se faire passer pou un autre. C'est comme tout dispositif, mal utilisé, il ne joue pas son rôle.
Et bon, ça se passe souvent avec l'humain, genre "on est le service info, il nous faudrait votre mot de passe blablabla", combien de gens se sont fait avoir avec ça. Ou avec des mot de passe trop simple. Et les serveurs jamais mis à jour et j'en passe, le problème est surtout et avant tout humain, du coté utilisateur comme administrateur.
Avatar de yann2 yann2 - Membre expérimenté https://www.developpez.com
le 18/10/2016 à 11:30
Salut

Bon, j'avoue ne pas être un expert en sécurité (simple développeur) mais, oui, c'est bien l'encodage du mot de passe qui est important. Sauf qu'on voit que certaines sociétés sont incapables de
  • protéger leurs bases de données
  • uiliser un algorithme d'encodage efficace


Donc "l'encodage" du mot de passe c'est transformer une information A en information B et l'information A (le mot de passe en clair) ne doit pas être retrouvé à partir de l'information B (le mot de passe encodé). Il me semble que l'algorithme qui a le vent en poupe depuis un petit moment est BCrypt. Malheureusement, certaines sociétés ne font pas attention à ça et vont utiliser un simple MD5 sans sel et, à l'aide de dictionnaires prêt à l'emploi, il est très aisé de retrouver A à partir de B (il y a un même un site en ligne pour ça : http://www.md5online.fr ). Même avec un sel, un hacker est capable de facilement retrouver l'information A, il lui suffit de s'inscrire (si cela est possible) et de regarder, dans la base (on suppose que celle ci a fuité ce qui est déjà un gros problème de sécurité....) pour voir comment son information A a été transformée.

Avec ce constat, il faut partir du principe qu'un login/mot de passe rentrés sur un site web peuvent être retrouvés par une personne mal intentionnée. Pour ce qui est du système d'encodage qui part du client vers le serveur d'authentification, qu'il soit en "clair" ou déjà encodé ne changera rien. D'ailleurs c'est très grave d'encoder le mot de passe sur un poste client puisque ça donne des informations sur l'algorithme utilisé (enfin, c'est vraiment un truc qu'on ne fait jamais. Le mot de passe doit partir en clair et c'est la couche de transport qui est, elle, sécurisée).

Bref, en partant de ce constat :
  • Un pirate peut récupérer la signature numérique d'un/une empreinte/rétine/réseau veineux)
  • Peut savoir quel est l'algorithme d'encodage utilisé par un service d'authentification


Mais, vraiment, la première information lui suffit. Utiliser une signature numérique d'un réseau veineux n'est rien d'autre que d'utiliser ce réseau veineux comme un mot de passe. Mais un mot de passe qu'on ne peut pas changer.

Pour un système à base de clé publique/clé privé comment pensez vous utilisez la biométrie ? Pour définir la clé privé (non, je ne pense pas) ? La passphrase ? Je ne vois pas l'avantage par rapport à une paire de clés générées. J'ai vraiment du mal avec cette idée car, comme l'a bien dit Sazearte, on ne peut pas modifier son corps (bon... si, on peut mais modifier sa signature biologique est plus compliqué mais même dans bienvenu à Gatacca ils y arrivent très bien ). Quoiqu'il en soit, une authentification par clés publiques/privées serait certainement plus fiable que le simple login/mot de passe. Mais pas facile à mettre en place par un site web parce que l'utilisateur serait obligé d'avoir sa clé privé sur tous les dispositifs à partir desquels il accède au site web, je me trompe ? Il me semble que, dans le passé, le site des impôts utilisait une authentification par certificat. C'était vraiment bien mais il fallait balader ce certificat d'un dispositif à un autre... ils sont revenus à un système beaucoup plus classique sur le web Identifiant fiscal/mot de passe. Je pense que beaucoup d'utilisateurs devaient être perdus devant ce système d'authentification.

Sinon, on est tout à fait d'accord, beaucoup d'utilisateurs ne sont pas suffisamment sensibilisés à la sécurité informatique. C'est un gros chantier parce que ça peut provoquer des dégâts.
Avatar de yokosano yokosano - Membre du Club https://www.developpez.com
le 18/10/2016 à 18:21
Bonjour,

«Heureusement, les technologies de contrôle d’accès intuitives comme la reconnaissance d’appareils, les services de menace et la vérification de la géolocalisation ; toutes ces couches de sécurité aident les organisations à renforcer leur sécurité, permettant aux utilisateurs de rester sécurisés et productifs sans pour autant gêner leurs routines quotidiennes. »

«Autrement dit, le recours à l'authentification à deux facteurs seule n’est plus suffisant pour assurer la sécurité des organisations.»

À la lecture de ces assertions, on a l'impression que l'auteur ne connaît qu'une façon de faire de l'authentification à deux facteurs et que toutes les méthodes visant à tracer l'utilisateur de façon certaines ont sa préférence, à l'image de tous les acteurs qui font de nos données leur fond de commerce.

Un petit rappel pour les non spécialistes de l'authentification. On évoque souvent de trois niveaux d'authentification :

  • Authentification à un facteur : un parmi ce que je sais (ex mot de passe), ce que je possède (ex carte à puce), ce que je suis (ex empreinte du doigt)
  • Authentification à deux facteurs : deux parmi ceux évoqués ci-dessus
  • Authentification à trois facteurs : les trois


Que peut-on en dire ?

Ce que je sais
Avantages : c'est une information que je peux noter, modifier à volonté, donner ou pas, écrire et protéger. Facile à mettre en œuvre au niveau logiciel/système
Inconvénients : cette information peut être interceptée, écoutée, volée

Ce que je suis
Avantages : facile d'utilisation, car je l'ai toujours avec moi
Inconvénients : facilement récupérable à mon insus, impossible à changer une fois usurpé. Nécessite des périphériques coûteux pour effectuer une identification de confiance

Ce que je possède
Avantages : je peux en changer lors d'un vol ou une usurpation, l'objet est souvent sécurisé par un code (ce que je sais)
Inconvénients : objet que je dois avoir avec moi, nécessite souvent un périphérique (lecteur) mais peu coûteux, peut être volé

Conclusions
Pas besoin de recourir au traçage des individus (géolocalisation, empreinte du terminal...) pour obtenir une sécurité suffisante, une authentification à deux facteurs peut suffire à condition de choisir correctement les deux facteurs. Pour ma part, compte-tenu de ce qui a été évoqué ci-dessous (avantages/inconvénients), ma préférence va pour le couple ce que je sais/ce que je possède avec des couples comme carte à puce/code , clef OTP/code.

Le couple ce que je sais/ce que je suis pourrais convenir mais l'aspect unique et non recouvrable de ce que je suis pose trop de problèmes (difficultés d'en changer, usurpation facile, flicage)

Enfin, pour des besoins de sécurité forts, le triplet reste d'actualité.

Note : le besoin de s'authentifier une seule fois sur des multiples outils est résolus depuis longtemps par les systèmes de SSO qui malheureusement tardent à se mettre en place même dans les entreprises.
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 19/10/2016 à 14:00
Citation Envoyé par nirgal76  Voir le message
Ben, en changeant une clé qui encode le hashcode obtenu du réseau veineux, ou un système de signature ou à clé public/privée pour authentifier l'expéditeur (donc le dispositif dbiométrique), ça rends son interception obsolète rapidement voir infructueuse car on ne peut pas se substituer à lui. enfin, j'suis pas un pro là dedans, mai sj'imagine qu'il y a plétore de moyen pour empêcher un tiers de se faire passer pou un autre. C'est comme tout dispositif, mal utilisé, il ne joue pas son rôle.

Tout est résumé dans la partie mise en gras : les données issues des attaques nous montrent que certaines entreprises n'ont pas été capables d'utiliser correctement les dispositifs mis à leur disposition, et qu'ils gardaient une information en clair, ou décodable avec la clef pas loin.

Dans le cas de la fuite d'un mot de passe, même si une personne l'utilise pour plusieurs comptes, il pourra changer son mot de passe sur les autres sites, et ainsi se prémunir d'une usurpation de son compte.

Imaginons maintenant un monde merveilleux où ce n'est plus un mot de passe, mais mon réseau veineux qui me serve à m'identifier. Quelque part chez un fournisseur peu sécurisé, il y a un moyen de vérifier que ce que je présente est bien le bon réseau.
Maintenant, un vilain méchant vole cette base de données, et a donc une image de mon réseau veineux, en clair (ou qu'il peut décrypter).
Coup de chance, je suis mis au courant de la faille, et il se trouve que j'utilise mon réseau veineux sur d'autres sites.

Comment je fais pour changer mon authentification sur ces autres sites ?

C'est très simple, je ne peux pas.

Or le vol de données biométrique, ça a déjà été fait, par exemple avec une "simple" photo des empreintes digitales d'Angela Merkel lors d'un discours publique. Si cette empreinte lui sert à dévérouiller son smartphone, il lui reste l'opération chirurgicale pour changer ses empreintes, ou bien désactiver la lecture d'empreintes et la remplacer par un mot de passe....
Avatar de jlennon jlennon - Membre à l'essai https://www.developpez.com
le 19/11/2016 à 21:51
Il n'y a pas de système d'authentification infaillible. Imaginé et façonné par l'être humain, il ne peut en être autrement. Et il n'est juste que question de temps à chaque fois avant qu'une méthode de contournement soit identifiée.
L'objet de ce de document est de pointer la faiblesse de l'ultra populaire mot de passe. Pas parce qu'il ne permet pas de protéger efficacement l'information mais parce qu'il est juste mal utilisé (je ne vais pas rappeler les nombreuses mauvaises habitudes des utilisateurs). Comme à chaque fois, la faiblesse réside en l'humain.

Il y a, ce jour, des dispositifs plus efficaces car plus restrictif qu'un mot de passe style Sabrina01* répété sur 30 plateformes (à usage personnel mais aussi professionnel).
Offres d'emploi IT
Développeur PHP/Javascript
IT4Culture - Ile de France - Paris (75010)
Consultant DevOps (H/F)
SMILE - Rhône Alpes - Lyon (69000)
Ingénieur Sécurité Informatique & Administration Système (H/F)
NOVELTIS - Midi Pyrénées - Toulouse (31000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil