Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Réglementation, sécurité et mobilité : pourquoi l’authentification forte est un enjeu critique

avril 2019 par Marc Jacob

La conférence organisée par Nexus, Axians Cybersecurité et SealWeb avait pour objectif de démontrer l’intérêt de mettre en place des solutions d’authentification forte tant pour des problèmes de sécurité que de conformité réglementaire. Il est vrai que cette technologie est encore trop peu démocratisée en France comparativement aux pays nordiques par exemple.

Jacques Szpiro, Axians, Philippe Fonton, Nexus et Jérôme Bordier SealWeb

Philippe Fonton, directeur de Nexus France, après les traditionnels remerciements, a lancé la thématique de cette matinée en expliquant l’importance de mettre en place de l’authentification forte pour remédier au problème de vol d’identité. Aujourd’hui Nexus axe ses solutions d’une part sur la protection de l’identité et d’autre part sur la protection des IoT.

Jérôme Bordier, un des experts de SealWeb, une société de conseils spécialisée en cyber sécurité, a mis en avant d’une part l’augmentation de la pression sécuritaire du fait de l’accroissement du niveau des risques et d’autre part la pression réglementaire avec entre autre le RGPD, la LPM.... les impacts des non conformités sont connus avec entre autre les sanctions financières dues aux amendes en cas de manquement et à la réalité des attaques. Il a donné quelques exemples comme les communications de l’ANSSI qui met l’accent sur la LPM, la PSSI... dont certains points des articles mettent en avant l’importance de l’authentification forte avec double facteur. Par ailleurs, des obligations dans le cadre de l’Europe avec l’eIDAS dont 12 pays de l’Europe ont déployé des mesures pour avoir des acteurs dans le domaine de l’identité. Ces derniers sont aujourd’hui capables de remettre des systèmes d’identités numériques forte avec non rejouabilité et d’autres mesures de sécurité pour commencer la mise en place d’identité numérique d’ici à 2020 pour leur population. Dans certains pays, il y a déjà des initiatives publiques et privées avec des fournisseurs légitimes. Les Etats ont la liberté de rentrer dans ce cadre. Évidement dans ce contexte l’authentification forte est indispensable. De plus, il a rappelé que le 14 septembre 2019 la DSP2 pour les paiements mobile devra être effective. De ce fait, les logins, mots de passe par SMS considérés comme dangereux devront faire place à un système d’authentification forte.

« Ainsi, se pose la question comment identifier les utilisateurs et comment je sécurise leur accès » a expliqué Jérôme Bordier. Il faut passer par une phase d’identification des clients par scanner d’une carte d’identité et d’une phase avec envoie d’une photo du client puis mis en place d’une plateforme d’authentification.

Authentification forte : une réponse possible pour lutter contre les attaques

Jacques Szpiro directeur des opérations chez Axians cybersécurité a analysé les problèmes de cyber sécurité en regard de l’authentification forte. Il a donné quelques exemples d’attaques comme celles sur Facebook pour faire du profiling des utilisateurs. Il a aussi cité Mirai Okiru qui a utilisé les ordinateurs de la planète pour faire du calcul. Cette attaque aurait été réalisée par l’Iran. Sans compter l’attaque sur Général Motors sur les autoradios des automobilistes pour faire du profiling et envoyer des publicités ciblées. Cette dernière montre que les IoT sont vulnérables. Entre autre attaque qu’il a cité on a celle de Dallas où un pirate a fait sonner 156 sirènes incendie. Par ailleurs, il a rappelé q’une attaque en Ukraine avec une phase de préparation de plusieurs mois, a abouti une coupure d’électricité durant quelques heures. Au Nigeria, une attaque informatique réussi a voulu faire exploser une usine heureusement la partie physique de l’attaque a échoué et l’usine n’a pas explosé. Toutefois, la partie logique avait belle et bien réussie. Dans quasiment toutes ces attaques, l’authentification forte était au cœur des vulnérabilités. Pourtant en France cette technologie est très en retard. D’ailleurs le CLUSIF dans son rapport annuel des cybermenaces a mis en avant ce problème.

Jacques Szpiro a mis en avant le problème des faiblesses des mots de passe. Il a rappelé qu’en 2017 80% des intrusions étaient dues à des mots de passe faibles, devinables ou crackables ou encore volés. Il a rappelé qu’en 2017, plus de 2,3milliard de mot de passe ont été volés.

En revanche, Jacques Szpiro a mis en avant que l’authentification forte pose le problème du coût de la complexité de mise en œuvre. De plus elle peut aussi engendrer ses propres risques avec par exemple le stockage des données. Quant au, certificat ils induisent des pannes comme celles dû à leur expiration qui ont par exemple induit 70% des interruptions. D’ailleurs, 71% des responsables informatiques affirment que leurs entreprises ne connaissent pas l’ensemble des certificats qu’elles gèrent.

Toutefois, il est admis que l’authentification forte est un facteur technique clé de cyber sécurité. En Europe, elle est très développée dans certain domaine mais elle n’est pas encore démocratisée partout. Une des pistes pour l’avenir pourrait être l’authentification adaptative avec des niveaux d’authentification différentes en fonction du contexte : bureaux, déplacements... une des pistes aussi est la mise en place de règle d’authentification dans le Soc afin de pouvoir lancer des alertes en cas de comportement anormal. Une autre piste qui devrait être suivi consiste en une analyse des comportements par rapport aux habitudes de l’utilisateur. La recherche aujourd’hui concerne aussi l’authentification prédictive liée aussi à des systèmes d’alerte en fonction des usages de l’utilisateur.




Voir les articles précédents

    

Voir les articles suivants