Cessons de rêver de biométrie

 |  | 1269 mots
Lecture 6 min.
(Crédits : DR)
Le mot de passe n'est pas mort! par François Amigorena, PDG d'IS Decisions

On prédit la mort du mot de passe pratiquement depuis que celui-ci existe. Bill Gates soi-même prophétisait sa disparition dès 2004. Aujourd'hui des voix s'élèvent pour réclamer sa mise au rebut chaque fois qu'une faille de sécurité fait les gros titres, les dernières en date étant le piratage d'identifiants et de mots de passe au sein de l'ICANN ou encore chez Sony Pictures.

Et effectivement les mots de passe présentent des failles. Ou, plus exactement, la façon dont nous les utilisons. Nous en choisissons de trop simples, oublions les plus complexes, les partageons avec nos collègues ou nos subordonnés, ou avec quiconque exerce une forme d'autorité. Une étude d'IS Decisions révèle que pas moins de 23 % des utilisateurs américains et britanniques partagent leurs mots de passe professionnels avec un ou plusieurs collègues.

 Biométrie : le rêve

Il n'est donc pas étonnant que les technologies de nouvelle génération en matière de sécurité informatique paraissent séduisantes, en particulier la biométrie dont les avantages peuvent apparaître comme intéressants. Impossible en effet d'oublier notre empreinte digitale ou rétinienne. Tout utilisateur d'un iPhone récent sait combien il est facile de déverrouiller son portable ou de payer une application au moyen de son empreinte digitale. La procédure est à la fois sécurisée et très simple, rendant l'authentification facile et fluide.

 Biométrie : la réalité

Mais cette fluidité ne constitue pas nécessairement un avantage réel dans le domaine de la sécurité des réseaux. Fondamentalement, la biométrie constitue une approche différente de celle des mots de passe. Alors qu'un mot de passe est un élément que l'utilisateur connaît, un marqueur biométrique est un élément qui le caractérise. On peut également évoquer les tokens (« jetons ») physiques, ou les clés, des éléments que l'utilisateur possède.

Chaque méthode possède ses propres avantages et inconvénients et, s'il est certes difficile de partager une empreinte digitale, il est étonnamment facile de leurrer un lecteur d'empreintes digitales ou de reconnaissance rétinienne, comme l'ont récemment démontré les hackers du Chaos Computer Club. Se pose alors le problème de la pérennité : si un mot de passe est compromis, il est possible d'en changer, ce qui n'est bien sûr pas le cas d'une empreinte digitale.

 La biométrie ne peut être utilisée isolée

La réalité est que la biométrie peut difficilement être utilisée comme mesure de sécurité isolée. Même Apple, dans sa mise en œuvre de la lecture d'empreintes digitales, associe cette technologie à l'emploi de mots de passe. Dès lors que l'utilisateur veut rallumer son téléphone ou faire un achat via iTunes pour la première fois, il a besoin de saisir un mot de passe. Dans l'application Apple Pay, des mesures sont prises pour protéger la confidentialité des informations de carte de crédit de sorte que, même si un voleur parvenait d'une manière ou d'une autre à reproduire l'empreinte digitale de l'utilisateur, il rencontrerait des difficultés pour effectuer un achat par carte sans disposer des autres données de sécurité.

La technologie biométrique est donc utilisée en conjonction avec le bon vieux mot de passe, car la combinaison de deux facteurs d'authentification semble a priori plus robuste que l'utilisation d'un seul. Mais la réalité est plus complexe. Une authentification à deux facteurs peut en effet amener les utilisateurs à se contenter de mots de passe plus simples, de sorte que si le premier facteur est contourné, le second facteur devient vulnérable.

 Une technologie marquée par sa lourdeur, en entreprise

L'autre inconvénient de la biométrie est la lourdeur, et donc la lenteur prévisible, de son déploiement en entreprise. Les entreprises sont aujourd'hui beaucoup plus réticentes à adopter les nouvelles technologies que le grand public, et il n'y a aucune raison de penser qu'il en sera différemment pour la biométrie.

Et de fait, les entreprises les plus préoccupées par la sécurité sont souvent parmi les plus lentes à évoluer. Nombre d'entre elles, dans les secteurs pourtant sensibles des services financiers, de la défense ou de la santé ne migrent que depuis peu de Windows XP, un système d'exploitation vieux de 13 ans, vers Windows 7. Et encore n'abandonnent-elles XP que parce que Microsoft en a arrêté le support. Les entreprises sont logiquement prudentes et veulent très légitimement avoir un minimum de garanties sur la fiabilité d'une technologie avant de se risquer à l'adopter.

Les technologies de sécurité biométrique ont été encore relativement peu testées à grande échelle et seront coûteuses à mettre en œuvre. Il coulera donc beaucoup d'eau sous les ponts avant que même les entreprises les plus soucieuses de sécurité n'envisagent de les déployer massivement.

 Renforcer les mots de passe

Et cela ne constitue pas un réel problème. La biométrie a peut-être de beaux jours, bien que lointains, devant elle mais, pour l'instant, il reste beaucoup à faire pour renforcer la sécurité offerte par les mots de passe.

Les mots de passe, comme la biométrie, ne sont qu'une mesure de sécurité parmi d'autres et aucune d'entre elles n'assure la sécurité à 100 %. La bonne approche dans ce domaine consiste toujours à prendre l'ensemble des mesures appropriées pour atténuer tous les risques possibles. Cela peut signifier une approche au cas par cas, de la même manière qu'un niveau de sécurité différent s'applique à votre porte d'entrée et à la salle des coffres de votre banque.

 Utiliser des "couches" de sécurité

Le recours à une seule mesure de sécurité aboutit inévitablement à des vulnérabilités, c'est pourquoi nous entrons dans l'ère des couches de sécurité, et non de la disparition du mot de passe, qui ne constitue que l'une de ces couches. Un jour peut-être la technologie biométrique sera-t-elle suffisamment éprouvée pour que les entreprises l'adoptent comme couche supplémentaire mais, pour l'heure, les solutions choisies en matière de sécurité doivent être opérationnelles et pragmatiques, ce qui est très précisément le cas aujourd'hui du renforcement des mots de passe.

 Comme je l'ai rappelé en introduction, la faiblesse relative des mots de passe n'est pas intrinsèque, mais réside dans les erreurs humaines qui émaillent leur utilisation. C'est donc en remédiant à certains comportements des utilisateurs que nous pourrons renforcer l'efficacité des mots de passe. Des technologies fiables permettent aujourd'hui de restreindre l'accès des utilisateurs en fonction du lieu et/ou de l'heure, d'interdire les connexions simultanées (même identifiant, même mot de passe) et de réduire ainsi drastiquement la tentation de partager les mots de passe. L'entreprise peut sensibiliser ses utilisateurs en les alertant lorsque leurs identifiants sont utilisés à partir d'un nouveau lieu et surveiller étroitement l'activité sur le réseau en temps réel à la recherche de comportements d'accès inhabituels ou suspects.

 Toutes ces précautions ont pour effet d'atténuer le facteur « erreur humaine » du mot de passe traditionnel et contribuent à diminuer la surface d'attaque de votre réseau. Et même si arrive le jour d'une généralisation de la sécurité biométrique, un renforcement des contrôles d'accès des utilisateurs et de la sécurité des mots de passe continuera d'être indispensable.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 15/01/2015 à 18:22 :
"La biométrie ne peut être utilisée isolée" => bé oui ! La stéganographie était déjà utilisée au temps des pyramides et Jules (César) communiquait ses petits secrets stratégiques via des messages chiffrés. Il en va de même aujourd'hui et la biométrie est un plus et rien qu'un plus qui va avec. Pour mémoire, Joël de Rosnay n'a eu de cesse depuis une bonne vingtaine d'années de dire que les technologies évoluaient de manière COALESCENTE, autrement dit on continue de graver des pierres alors que les livres imprimés existent depuis plus de 1000 ans, et que l'on est censé ne lire que des ebooks. A force d'exemples, comme a diit Khun, on se dirige vers une loi universelle, une sorte de paradigme. Allez, disons -le, tout comme les 20/80 de Pareto, la variété requise d'Ashby, la coalescence est bien une loi universelle, donc pas de surprise la biométrie va avancer en même temps que d'autres systèmes vont subsister... Ceci n'enlève rien au plaisir que j'ai eu de lire votre article
a écrit le 15/01/2015 à 15:26 :
"La bonne approche dans ce domaine consiste toujours à prendre l'ensemble des mesures appropriées pour atténuer tous les risques possibles."
==> non, cette approche intégrale, bien qu'elle paraisse "de bon sens" aux néophytes, est inadaptée car elle finit toujours pas trop entraver l'utilisateur, qui du coup a tendance à essayer de tout contourner pour se "simplifier la vie".
La (seule) bonne approche est donc de mettre en oeuvre les mesures appropriées pour atténuer les seuls risques identifiés à un temps t comme suffisamment importants pour valoir le coup (humain, financier, organisationnel, etc.) de les atténuer...
Réponse de le 19/01/2015 à 14:23 :
100% d'accord Sof et je ne voulais pas dire autre chose en écrivant "mesures appropriées".
A mon sens, une mesure de sécurité appropriée prend en compte la psychologie des utilisateurs et est particulièrement soignée d'un point de vue ergonomique afin de limiter le recours aux contournements.
a écrit le 15/01/2015 à 12:10 :
Merci pour vos commentaires Marie et Yannick.
En termes de sécurité informatique, comme sur bien d'autres sujets, le pragmatisme doit à mon sens prévaloir sur les effets de mode ou la tentation du "hype" marketing ...
a écrit le 14/01/2015 à 9:05 :
Réflexions de simple bon sens.
En ce qui me concerne, pas question de risquer de me faire pirater des infos biométriques. Donc ça restera un refus systématique.
a écrit le 14/01/2015 à 0:09 :
Excellent article. Rare de voir des informations aussi objectives sur le sujet.
Merci

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :