Authentication Multifacteur

La sécurité des données sur mobile : l’authentification multi-facteurs, une sécurité efficace ?

 

      De nos jours de plus en plus de personnes utilisent leurs smartphones comme outil de travail. La protection des données sur smartphone et tout autre objet connecté, est donc une nécessité. Il s’agit d’un domaine très vaste où il existe beaucoup de moyens de se protéger des attaques quotidiennes ayant pour but de récupérer vos données personnelles et stratégiques. Un type d’attaque possible est la récupération d’identifiants et de mots de passe pour se connecter à des sites importants comme les comptes bancaires en ligne ou les réseaux sociaux. Pour palier à ce problème, plusieurs méthodes sont mises en place afin de prouver et protéger son identité lorsque nous nous connectons.

Il faut savoir qu’en faisant cette action, deux choses se passent: une identification et une authentification. Nous pourrions voir cela comme le fait de répondre à deux questions: pour l’identification, “Qui êtes-vous ?” et l’authentification, “Est-ce vraiment vous ?”.

 

L’authentification multi-facteurs

      L’authentification est une étape de sécurité lors de la connexion à un compte en ligne. Les informations demandées sont des informations que seul l’utilisateur peut connaître ou posséder. Il est donc logique de s’imaginer que, plus il y a de méthodes d’authentification combinées, plus elles renforcent la fiabilité de l’identité à vérifier, c’est ce que nous appelons l’authentification multifacteur.  Ces facteurs sont nombreux et prennent différentes formes: physiologique, ondes, mouvements,… Nous allons vous présenter certaines des technologies existantes les utilisant.

 

Les moyens classiques

Ce premier type d’authentification est celui qui est le plus représenté. Il s’agit de vérifier l’identité d’une personne en lui demandant une information qu’elle seule devrait savoir ou pouvoir récupérer. Il y a évidemment, dans ce cas là, le mot de passe. Nous l’utilisons fréquemment sur nos comptes mails, nos pins,… Nous essayons d’y faire attention, mais il faut bien avouer que trouver un mot de passe à toute épreuve n’est pas tâche facile: soit notre combinaison est simple à deviner, soit elle est complexe mais difficile à mémoriser ou, de toute façon, elle sera déchiffrée via des sniffers. C’est pour cela qu’il est généralement combiné à d’autres moyens comme le choix d’une question et d’une réponse secrète. Suite à cela, lorsqu’est venu le moment de s’authentifier, on lui demandera la réponse spécifique à cette fameuse question. Une autre méthode assez répandue et encore plus sécurisée sont les “logiciels Token”. Ces logiciels permettent la génération de codes aléatoires et surtout temporaires. Ces derniers sont générés lors de l’authentification et envoyés de diverses façons comme par sms et email que seul le propriétaire possède. Cette méthode est très sécurisée car seul le propriétaire peut récupérer le mot de passe. De plus, dans l’éventualité où celui-ci serait divulguer, il serait inutile 15 minutes plus tard.

 

 

Une sécurité dans notre poche

      Si nous avons vu que nous pouvions nous authentifier par des manières numériques, nous pouvons aussi le faire grâce à des objets physiques qui vont prodiguer des données supplémentaires. Plusieurs technologies existent pour ce type de facteur, par exemple les cartes NFC qui transmettent automatiquement des données d’authentification. Cependant, cette technologie n’a que peu de portée en distance, étant donné qu’elle nécessite d’avoir un appareil pour le détecter. Il y a aussi l’utilisation de clef USB de sécurité qui peuvent proposer une bonne protection. Celle-ci contient une clef chiffrée participant alors à l’authentification. Le niveau de sécurité de ces méthodes, dans ce genre de situation, dépend du comportement de l’utilisateur.

Image de clé usb de sécurité, source : androidcentral.com

Notre corps un bon moyen de s’authentifier

      Les facteurs corporels et réactionnels font partie de la biométrie qui est très étudiée comme méthode d’identification et d’authentification. Il est maintenant reconnu que beaucoup de choses nous rendent unique par rapport à notre entourage que ce soit par notre physique ou notre comportement. Des caractéristiques dures à copier renforcent ainsi la sécurité de nos opérations.

      Dans ce domaine, la lecture d’empreinte digitale reste sans doute la méthode d’authentification dont nous entendons parler le plus. Saviez-vous d’ailleurs qu’il y aurait selon Sir Francis Galton “une chance sur 64 milliards” d’avoir des individus ayant des empreintes similaires? Cette unicité est sans doute ce qui justifie l’attrait pour ces méthodes. C’est sans doute dans cette optique que des entreprises tel que Atos, un groupe dans la cybersécurité et le Big Data, a développé une autre méthode biométrique permettant d’identifier une personne par son pouls. En effet, ce dernier n’est, comme il semblerait, jamais le même pour personne! Grâce à un bracelet s’occupant de la mesure, l’utilisateur est constamment identifié par le biais de technologies Bluetooth ou NFC. Celles-ci ne sont  que des des techniques biométrique parmi beaucoup d’autres car il y a aussi le scan rétinien, qui étudie les vaisseaux sanguins de l’oeil, ou encore la reconnaissance d’iris. Celles-ci sont toutes d’ordre physiologique mais d’autre sont plutôt basées sur le comportement.

Projet atos sur la mesure de Paul

      En effet, nos gestes peuvent être un bon moyen de nous qualifier. La signature manuscrite, la reconnaissance vocale ou encore l’authentification à l’aide de capteurs de mouvement, ouvrent de nombreuses possibilités. Nous pouvons notamment parler de la dynamique de touche, cette méthode fait généralement partie d’une authentification multifacteur car elle est observée avec l’entrée d’un code. Des algorithmes analysent le rythme de l’utilisateur lors de la saisie, et permettent d’estimer un profil grâce au temps passé entre chaque pression de caractères.

 

Des méthodes prometteuses à améliorer

      Si la biométrie permet de grande possibilité de sécurité, nous pourrons noter qu’une de ces méthodes seule ne serait pas forcément efficace. Cela va de même pour les autres autres types: mémoriel ou matériel, une parade peut toujours être trouvée. En 2014, des hackers allemands ont prouvé que le système « Touch ID », qui permet de déverrouiller un iPhone grâce à son empreinte digitale, n’était pas fiable. Plus récemment, des pirates ont déjoué l’identification oculaire du Galaxy S8 en utilisant une lentille par dessus une image. Bien que effrayant, cela pousse d’autant plus à développer des techniques innovantes pour parer ces méthodes et protéger l’identité d’autrui.

Beaucoup d’entre elles sont encore à améliorer, mais nous pouvons tout de même observer les possibilités que nous donne l’authentification multi-facteur. En effet, si les actions de piratage arrivent à passer à travers une étape d’authentification, il y en aura d’autres à combattre. Si le chemin vers la sécurité complète de nos données est difficile, nous avons déjà de bonnes manières à porter de main.

Laissez un commentaire

« »