Les hackings de comptes sont de plus en plus fréquents de nos jours, que ce soit sur des applications d’entreprise ou d’ordre privé (tels que les réseaux sociaux), l’un des moyens les plus efficace utilisé par les hackers pour parvenir à leur fin est l’exploitation des failles liées aux mots de passe.
Malgré la prévention et les différents avertissements visibles sur le net (Voir : En combien de temps votre mot de passe peut-il être craqué ?[1]), nombre d’utilisateurs ne respectent pas les recommandations car trop complexes à leurs yeux. Face à ces problèmes de nouvelles solutions peuvent être mises en place, des solutions de Single-Sign On (telles que celles proposées par Avencis, Evidian, Ilex, Oracle…) sont souvent utilisées en entreprise pour unifier les mots de passe et former les utilisateurs alors que les géants du web tels que Google, Facebook ou plus récemment Twitter se sont lancés dans la mise en place de système d’authentification en deux étapes. Qu’est ce que l’authentification en deux étapes ? C’est un système d’authentification où le mot de passe n’est plus suffisant pour se connecter, un second élément permettant d’identifier l’utilisateur devient requis pour pouvoir se connecter à l’application, ce qui diminue considérablement les risques de hacking liés à la seule utilisation des mots de passe.
Malheureusement, tous les systèmes d’authentification en deux étapes ne sont pas infaillibles, celui de Twitter par exemple à été remis en cause par de nombreux experts sur sa faiblesse[2]. Twitter utilise une authentification en deux étapes basée sur l’envoi de SMS[3], ce qui ne permet pas d’exclure certaines attaques comme celles du type man-in-the-middle[4] par exemple.
Il existe de nouvelles solutions à l’authentification en deux étapes, nous allons vous présenter dans cette article trois solutions qui ont particulièrement retenu l’attention de SYNETIS :
- Authentification via la localisation
De plus en plus de monde aujourd’hui utilise des Smartphone, que ce soit pour le travail ou pour les affaires personnelles. Cette caractéristique peut être exploitée pour vous identifier sur votre poste de travail où sur vos réseaux favoris. En effet, certaines applications comme Toopher[5] proposent des solutions permettant de vous identifier si votre Smartphone est localisé proche de l’ordinateur à partir duquel l’authentification à lieu.
Une fois l’application téléchargé sur votre Smartphone (Android ou IOS), Il faut que l’utilisateur couple son terminal au site auquel il souhaite se connecter et autorise les accès à Toopher. La prochaine fois que l’utilisateur souhaiteras se connecter, cela sera fait automatiquement… à condition d’avoir son Smartphone avec soi. Ce type de solution rentre totalement dans l’esprit de l’authentification en deux étapes, elle ne supprime pas les mots de passe mais ajoute un second élément qui permet d’identifier l’utilisateur, cette fois-ci en utilisant l’un des objets les plus indispensables de nos jours, votre mobile. Ces solutions sont à la fois disponibles pour le grand public et pour les entreprises (une rapide modification des applications internes est alors à réaliser).
- Authentification via Hardware
Pour réaliser une authentification en deux étapes, l’un des principes clés est de coupler « ce que l’on sait », le mot de passe, à « ce que l’on a », un token, une carte à puce, etc… Ce type d’authentification est de plus en plus utilisé en entreprise mais pas forcément en dehors de l’entreprise. Certaines entreprises tels que Yubico produisent désormais des solutions abordables pour tout le monde. La Yubikey a été créée par Yubico dans ce but, la Yubikey est petite pièce de hardware de la taille d’une clé qui se branche sur le port USB de votre ordinateur et permet de vous identifier aussi bien sur vos applications d’entreprise que sur vos sites favoris à condition que ceux-ci soit compatibles avec la solution (plus de détails techniques sont disponibles sur le site de Yubico[6]).
- Le mot de passe dans la peau
Une alternative plus expérimentale à récemment été mise en avant lors de la conférence D11[7], Motorola a présenté une pilule à avaler permettant de vous transformer en mot de passe humain pour votre smartphone ou autres applications. La bien-nommée « vitamin authentication » pilule s’active dans l’estomac via les acides contenus dans celui-ci. Le chipset de la pilule génère ensuite un signal 18-bits relayé dans tout votre corps permettant l’authentification par le touché (le corps humain servant de conducteur pour le signal). Cette pilule, encore au stade expérimentale, présente cependant des inconvénients notamment celle d’avaler votre mot de passe tous les matins au réveil.
Au delà de l’importance de la technique utilisée pour le second facteur d’authentification, il est intéressant de noter que les grands acteurs de la sécurité ont décidé de s’impliquer et d’innover dans ce domaine et proposent de nouvelles solutions intéressantes à la fois pour la sphère professionnelle et la sphère privée. SYNETIS effectue une veille permanente sur ces innovations afin de répondre le plus rapidement possible aux changements de notre société et des systèmes d’information associés, afin de toujours proposer les meilleurs solutions à ses clients.
Vincent Gafanesch
Consutant Sécurité
[1] https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html
[2] http://www.techhive.com/article/2039753/twitters-stronger-security-isnt-bulletproof-experts-warn.html
[3] http://www.f-secure.com/weblog/archives/00002560.html
[4] http://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
[5] https://www.toopher.com/
[6] http://www.yubico.com/
[7] http://allthingsd.com/20130603/passwords-on-your-skin-and-in-your-stomach-inside-googles-wild-motorola-research-projects-video/?refcat=conferences