Le recours massif au télétravail pour maintenir une continuité des activités pendant la crise sanitaire a induit des changements profonds dans la manière dont les organisations abordent la sécurité, notamment la question de l’authentification. En informatique, ce mot désigne le processus par lequel un système s’assure de l'identité d'une personne. Il consiste généralement à donner au système une information qui ne peut être connue ou détenue que par les utilisateurs légitimes pour en permettre l'utilisation.
Forcées d’ouvrir une voie d’accès depuis l'extérieur vers leurs systèmes pour les télétravailleurs, les entreprises et les administrations multiplient du même coup les opportunités d’intrusion, par exemple par des cybercriminels usurpant l’identité d’utilisateurs légitimes. Aujourd’hui, dans un contexte où le télétravail semble s’installer durablement dans les usages, les responsables de la sécurité des systèmes sont à la recherche de solutions pour maintenir plus de souplesse dans les accès aux services pour les usagers tout en assurant une sécurité qui satisfasse les exigences les plus élevées.
Dans cette perspective, l’authentification multifactorielle (souvent appelée MFA, siglaison de l’anglais « multi factor authentication ») a le vent en poupe et va vraisemblablement se généraliser en 2021. La MFA est une approche de l’authentification qui combine au moins deux informations d'identification. La meilleure pratique consiste à combiner des informations de différentes catégories : ce que l'utilisateur sait (un mot de passe, la réponse à une question, etc.), ce qu'il possède (un smartphone, un Token, une clé, etc.) et ce qu'il est (une vérification biométrique comme l’empreinte digitale ou la forme du visage).
Incontestablement l’utilisation d’un mot de passe (donc quelque chose que l’utilisateur connaît) est l’option la plus fréquemment utilisée par les systèmes avec un accès en authentification simple. Lorsqu’un système propose une authentification multifactorielle, c’est le plus souvent un mot de passe, combiné à une information d’une autre catégorie. Pour renforcer l’utilisation d’un mot de passe, deux éléments sont particulièrement populaires : le scan d’une empreinte digitale ou l’utilisation d’un Token (jeton d’authentification) éventuellement émulé par une application mobile.
L’utilisation d’un Token supprime presque totalement le risque d’usurpation de l’identité et résout du même coup l’une des plus grandes craintes des équipes de sécurité. Son utilisation s’est largement développée pendant la crise sanitaire. Cependant c’est un appareil supplémentaire qui peut être dérobé ou simplement perdu. Il peut être émulé sur un téléphone par des applications dédiées à cette fonction mais dans ce cas il ne peut pas servir de second facteur pour le téléphone lui-même qui est alors protégé le plus souvent par un simple PIN.
Si Apple ou Google commettent une erreur dans la programmation de leurs systèmes d’exploitation, cela peut donc avoir des effets dévastateurs. Un simple bug permettant de contourner le code PIN de déverrouillage de l’appareil, par exemple, permettrait à un utilisateur non légitime d’accéder aux ressources d’une organisation et à un très grand nombre d’informations privées du propriétaire.
L’un des grands avantages de la connexion biométrique comme l’utilisation de l’empreinte digitale, c’est qu’elle remplace un appareil physique dédié. Dans une architecture idéale, le téléphone peut être utilisé comme interface seulement pour la procédure d’identification (lecteur d’empreinte) mais il ne conserve aucune donnée biométrique. L’appareil envoie un hash de vos données biométriques, il n’est qu’un moyen de transmission de l’information qui est confirmée dans le cloud. Le vol ou la perte d’un téléphone n’est plus une menace de sécurité, c’est votre empreinte digitale qui fait foi. L’utilisation du téléphone comme simple interface d’identification sera sans doute une des grandes transformations des approches de sécurité en 2021.
En parallèle, la biométrie va sans doute continuer de s’inscrire dans les usages pour devenir l’alliée la plus fréquente du mot de passe dans les stratégies d’authentification multiple facteur.
La CNIL définit la biométrie comme l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Elle précise également que les données biométriques sont des données à caractère personnel, car elles permettent d’identifier une personne. Pour la plupart, elles sont uniques et permanentes (ADN, empreintes digitales, etc.).
La biométrie avait le vent en poupe bien avant la pandémie. Apple, notamment, est pionnière dans l’utilisation systématique de capteurs d’empreintes digitales et maintenant faciales sur ses terminaux.
Outre les attributs biologiques les plus évidents tels que l’empreinte digitale, la voix ou le visage, la biométrie inclut également des options comportementales : comparer votre tentative avec vos heures ou vos lieux habituels de connexion, analyser votre démarche, votre rythme de frappe au clavier, sont des pratiques qui se développent. En soi l’analyse comportementale n’est pas nouvelle : la signature d’une personne est également d’ordre comportemental.
Cependant la pandémie a révélé une des limites de l’utilisation d’attributs biologiques dans les processus d’authentification. Lorsqu’ils impriment une proximité ou un contact, ils ne sont pas toujours compatibles avec des règles sanitaires strictes.
L’adoption de la biométrie va sans doute croître en même temps que l’authentification à deux facteurs à laquelle elle est de facto associée. Les solutions biométriques qui ne stockent pas les données sur l’appareil représenteront une étape clé dans l’évolution de l’authentification biométrique, car si l’application qui vérifie votre empreinte digitale est stockée sur votre téléphone, elle est moins sécurisée.
Dans une architecture d’authentification cloud, les données ne sont pas stockées sur votre téléphone. Elles sont dans le cloud. Le téléphone envoie simplement l’empreinte qu’il reçoit à une entité distante, qui détermine ensuite si c’est la bonne. Et votre appareil n’envoie pas vos données biométriques complètes mais un hash, comme c’est le cas avec les mots de passe actuellement. »
Si l’identification biométrique est un excellent moyen de réduire les failles de sécurité reposant sur le vol de compte ou d’identité, elle reste un domaine largement controversé, notamment sur le volet de la reconnaissance faciale. Les controverses entourant cette technologie ont suscité une demande de réglementation plus étroite. De nombreuses villes américaines ont déjà interdit son utilisation sur leurs territoires par les entreprises et les organisations publiques.
À ce jour l’utilisation généralisée de la « biométrie cloud » est résolue sur le plan technologique mais se heurte à un mauvais alignement des directives juridiques et à un débat éthique pour lequel un consensus international n’a pas encore émergé. L’utilisation des données biométriques permise sera sans doute variable selon les états et il reste bien des débats à mener sur leur utilisation judicieuse, cependant elles sont trop efficaces et utiles pour être abandonnées. Qu’il s’agisse de travailler à distance ou de gérer nos finances personnelles, les aspects les plus importants de nos vies sont numériques et donc de plus en plus menacés par des cyberattaques qui appellent à des solutions de sécurité de plus en plus robustes.
Par Stéphane Estevez, Directeur Produit chez Splunk
