Avec la multiplication en 2017 des piratages ciblant les consommateurs, les entreprises, et les organisations gouvernementales, la protection des informations personnelles identifiables n’a jamais été aussi importante. Il est certain que de nouvelles menaces vont continuer à apparaître, le futur semble néanmoins prometteur en termes d’avancées et d’innovations dans la cybersécurité. D’ailleurs, le gouvernement français a récemment annoncé lors de la FIC 2018 mettre les bouchées doubles en termes de cyberdéfense avec le recrutement de 1000 cyber combattants supplémentaires ainsi qu’un investissement global de 1,6 milliard d’euros sur la période 2019-2025, budget qui sera consacré aux efforts de cyberguerre.
Car même si les mentalités évoluent en termes de sécurité en ligne, les bonnes pratiques et la prudence peinent à s’imposer. La culture autour du mot de passe en est le parfait exemple. Année après année, les experts président sa mort. Pour autant, le mot de passe est toujours là, plus répandu que jamais et souvent le premier rempart entre nos données personnelles et ceux qui souhaitent en faire commerce. Aujourd’hui, ce bouclier est pourtant loin d’être suffisant. Pour preuve, en décembre 2017, des chercheurs en sécurité ont découvert sur un forum du dark web une base de données de 41 Go comptant 1,4 milliard d’identifiants et mots de passe
Fort heureusement des technologies sont en voie de faire leur apparition et se démocratiser dans un futur très proche afin d’ajouter un rempart supplémentaire à la protection des données personnelles.
Popularisation de la biométrie faciale
L’authentification multi-facteur (MFA) a déjà considérablement progressé avec l’ajout de techniques biométriques telles que les capteurs d’empreintes digitales. Pourtant, c’est lorsqu’Apple a commercialisé son iPhone X avec la fonction Face ID que la biométrie faciale a attisé les curiosités. Android prévoirait également de l’adopter largement dans son écosystème à partir de l’an prochain.
La question est de savoir si l’authentification par reconnaissance faciale se répandra avec autant de force que l’identification par empreintes digitales. Le débat est lancé, notamment sur la mise en pratique et la généralisation de cette fonctionnalité sur le marché. Dans tous les cas, la biométrie faciale ne peut plus être ignorée. Tout comme la reconnaissance vocale, qui semble déjà être le chapitre suivant dans la saga de l’identification, promettant encore plus de précisions dans l’authentification.
Fin des questions personnelles et nouvelles formes de preuve d’identité
Cependant, les méthodes de preuve d’identité telles que les techniques KBA (Knowledge-Based Authentication), reposant sur des questions dont seul l’utilisateur connaît la réponse, semblent être en voie de disparition. En se basant sur le cas du piratage de la base de données « secrète » d’Equifax ou aux questions comme « quel est le nom de jeune fille de votre mère », il est désormais très facile de trouver la réponse en quelques clics via les réseaux sociaux. Pour remplacer ces « questions secrètes », il faut s’attendre à voir émerger des services reposant sur des moyens tels que « prenez en photo votre pièce d’identité physique » voire d’autres requêtes encore plus poussées, mais protégeant encore plus les utilisateurs.
Les méthodes d’authentification multi-facteur davantage ciblées par les cyberattaques
Plus que jamais, il est primordial de réfléchir à de nouvelles façons de prouver son identité, de s’identifier, afin de développer des techniques moins faillibles, et surtout, des façons de les combiner pour garantir toujours plus de sécurité. Aussi efficace que soit l’authentification multi-facteur (MFA) pour limiter les attaques opportunistes, il n’est malheureusement pas toujours possible de bloquer un pirate déterminé et persévérant. Depuis que la MFA apparait comme un aspect plus normalisé de la protection d’identité, il est probable que les acteurs malveillants commencent à chercher des méthodes de collecte et que les auteurs de scripts malveillants déjoueront les efforts que nous déployons tous pour les mettre en échec.
Repousser les possibilités de la Blockchain
Bien que la Blockchain soit majoritairement associée au monde financier, elle pourrait avoir aussi une toute autre utilité. Etant donné que les technologies Blockchain via les crypto monnaies intègrent des millions d’utilisateurs ayant investi sur ce marché via des « crypto portefeuilles », ils possèdent dès lors leur propre identité dans le réseau. Ces identités reposent toutes sur des clés publiques, les clés privées étant déjà gérées par les portefeuilles. Il y a fort à parier que dès cette année, ces identités Blockchain soient utilisées dans d’autres domaines que les crypto monnaies. Et donc pourquoi pas au profit de l’authentification justement ? Après tout, la chaînes de blocs est réputée pour son imperméabilité face aux attaques et sa grande rigueur quant à la sécurité…
Au fur et à mesure, le cérémonial de l’authentification va commencer à s’estomper. A mesure que les technologies sans identifiant prendront forme, l’authentification en continu reposant sur des facteurs passifs sera de plus en plus répandue. Cela permettra d’aboutir à une situation inédite où les utilisateurs seront nettement plus authentifiés, mais se le verront demander moins fréquemment. Ces évolutions qui se profilent en matière d’identité donnent matière à repenser les usages. Rythme effréné, nouvelles technologies, vieilles menaces qui resurgissent… autant de raisons qui poussent à accélérer le train de l’authentification.
_____________
Arnaud Gallut est Directeur commercial Europe du Sud – Ping Identity