Nous vous avons récemment parlé des applications d'authentification pour mieux vous protéger vos comptes. D'autres mécanismes existent et peuvent être utilisés en complément des mots de passe.

Nous vous proposons un aperçu de ces mécanismes pour vous permettre de comprendre leurs fonctionnements, leurs avantages et leurs inconvénients.

Regarder la vidéo sur YouTube
Regarder la vidéo sur Dailymotion

Si vous ne pouvez pas ou ne souhaitez pas regarder un format vidéo, le script de la vidéo est disponible ci-dessous.

Script de la vidéo

Avertissement - Les explications données dans cette vidéo ont pour unique but de vous sensibiliser à l’importance d'une authentification forte pour vous protéger au mieux et sécuriser au mieux vos données. Le fait de rechercher des failles dans un système ou d'essayer d'accéder à des informations qui ne vous appartiennent pas est répréhensible par la loi française.

Bonjour à tous - Nous devons tous saisir des mots de passe à longueur de journée pour s'authentifier auprès de dizaines de sites. Les technologies que l'on pensait futuristes il y a quelques années existent pourtant bel et bien aujourd'hui et peuvent même être utilisées. Pourtant nous sommes comme « bloqués » dans le passé, à devoir utiliser des mots de passe pour tout, même si ce n'est de loin pas le système le plus robuste.

Dans cette vidéo, nous allons voir ensemble d'autres mécanismes d'authentification qui pourraient compléter ou remplacer les mots de passe. On va voir les raisons pour lesquelles vous devriez les utiliser, comprendre leur fonctionnement et détailler leurs avantages et leurs inconvénients.

Pourquoi améliorer le mécanisme des mots de passe

Dans les précédentes vidéos1, nous avons beaucoup parlé de mots de passe pour vous sensibiliser et vous permettre de vous protéger au mieux et de protéger correctement vos données.

Nous vous avons notamment conseillé d'utiliser un mot de passe robuste, c'est-à-dire long, peu prévisible, et composé de caractères différents pour rendre la tâche plus difficile à un potentiel hacker de le retrouver.

Nous vous avons aussi conseillé d'utiliser un mot de passe différent pour chaque site que vous fréquentez et ainsi éviter que tous vos comptes soient piratés si l'un des sites venait à avoir une défaillance.

Enfin, nous vous avons aussi suggéré de vous munir d'un gestionnaire de mots de passe qui permet de stocker tous vos mots de passe car il est très difficile, voire impossible, de mémoriser ces longues séries de caractères aléatoires.

Si vous êtes soucieux et que vous appliquez tous ces conseils, vous mettez toutes les chances de votre côté pour sécuriser au mieux vos accès, mais ce n'est malheureusement pas sans faille, parce qu'au final la sécurité de l'accès repose uniquement sur la connaissance d'un élément. En réalité, les systèmes d'authentification utilisant uniquement un mot de passe ne vérifient pas vraiment l'identité de la personne, mais s'assurent uniquement que la personne connaît un mot secret précis. Le système ne fait pas donc la différence entre une personne et une autre, et quiconque connaîtrait ce sésame pourrait entrer sans difficulté.

Les hackers savent cela et utilisent toute sorte de stratagèmes pour récupérer votre mot de passe et ainsi accéder à tous vos comptes à votre insu.

Nous avons déjà parlé dans une vidéo précédente de l'attaque Bruteforce qui consiste à essayer toutes les possibilités et qui est particulièrement efficace lorsque le mot de passe de l'utilisateur est court, ou bien l'attaque par dictionnaire, efficace lorsque le mot de passe fait référence à un mot commun.

Ces techniques fonctionnent uniquement si l'attaquant a la possibilité de tester plein de combinaisons, ce qui rarement le cas car les systèmes sont généralement munis de protections qui empêchent les utilisateurs de réaliser un nombre infini de tentatives2.

La créativité des hackers est grande quand il s'agit d'essayer de trouver le mot de passe de sa cible.

Un attaquant pourrait par exemple se contenter simplement d'espionner sa proie ou de la filmer pour pouvoir étudier ensuite le mouvement de ses mains sur le clavier.

Pour illustrer cette attaque, je vais vous passer un extrait du documentaire Citizenfour3 qui montre la cavale d'Edward Snowden suite à ses révélations sur l'espionnage mondial réalisé par la NSA. On y voit Snowden demander à Glen Greenwald, journaliste assis à ses côtés, de lui donner ce qu'il appelle sa cape aux pouvoirs magiques pour qu'il puisse saisir son mot de passe en toute sécurité.

E. Snowden : « Vous pouvez me passer ma cape magique ? »
E. Snowden met la cape par-dessus lui pour ne pas être vu
G. Greenwald : « C'est pour éviter un éventuel... ? »
E. Snowden : « Espionnage visuel. Oui. »
G. Greenwald perplexe.
E. Snowden : « Au point où nous en sommes, plus rien ne peut nous choquer ! »

— Film-documentaire Citizenfour (2014), ~37:30

L'attaquant pourrait aussi espionner les communications de la victime et espérer qu'elle saisisse ses identifiants sur un site non sécurisé comme nous l'avons présenté dans une vidéo précédente4.

Ou bien, si l'attaquant a accès à la machine de l'utilisateur, même pendant un bref instant, il pourrait installer ce qu'on appelle un keylogger5. Il s'agit d'un programme permettant d'enregistrer toutes les frappes saisies par la victime, dont les mots de passe.

Enfin, l'attaquant pourrait inciter sa victime à saisir ses identifiants sur un faux site qui ressemblerait comme deux gouttes d'eau au site officiel. Cette technique appelée phishing6 se fait généralement en envoyant un e-mail à la victime en lui demandant de ressaisir ses identifiants pour n'importe quelle raison.

Toutes ces attaques sont relativement triviales et permettent de récupérer assez aisément le mot de passe d'une personne. Le fait de se munir d'un mot de passe robuste ou d'un gestionnaire de mots de passe ne change malheureusement pas grand-chose car ces attaques fonctionnent aussi bien si le mot de passe est court, long, simple ou compliqué.

Il faut donc apporter un mécanisme en complément des mots de passe pour améliorer davantage la sécurité de l'authentification et essayer de contrer toutes ces attaques.

L'authentification à deux facteurs

Les accès peuvent être sécurisés avec d'autres mécanismes qu'un simple mot de passe. On demanderait ainsi à l'utilisateur de saisir non pas une, mais deux preuves de son identité. On appelle cela l'authentification à deux facteurs, ou 2FA.

Le premier facteur d'authentification est bien souvent le mot de passe mais ce n'est pas une obligation. Le second facteur, lui, peut varier et peut être :

  • Soit une question secrète à laquelle l'utilisateur doit répondre ;
  • Soit une empreinte biométrique comme une empreinte digitale ou la reconnaissance faciale ;
  • Soit l'envoi d'un SMS avec un code aléatoire à saisir ;
  • Soit une application d'authentification qui permet aussi de générer un code à saisir ;
  • Soit une clé d'authentification qui est une sorte de clé USB, comme celle-ci7, qui permet de prouver votre identité.

Le mécanisme des questions secrètes consiste à demander à l'utilisateur de choisir des questions/réponses puis de lui redemander ensuite au moment de se connecter. Le choix de la question était rarement libre8 et il était souvent question de définir le nom de jeune de fille de sa mère ou le nom de son premier chien. D'un point de vue sécurité, on a fait mieux. N'importe qui qui connaîtrait un minimum la personne n'aurait aucun mal à trouver la réponse. Ce mécanisme devrait être là où il aurait dû toujours être : à la poubelle.

En ce qui concerne la biométrie, c'est-à-dire reconnaitre l'anatomie physique d'une personne, deux problèmes se sont toujours posés : son coût et les contraintes légales. Pour ce qui est du coût, ce n'est aujourd'hui plus un problème car la majorité des téléphones inclut désormais un lecteur d'empreintes digitales ou une caméra munie d'une technologie de reconnaissance faciale9. C'est pour cela qu'il est aujourd'hui commun de déverrouiller son téléphone avec son doigt ou simplement en regardant son objectif. Pour ce qui est du côté légal, c'est plus compliqué. La CNIL a toujours été très stricte10. À juste titre car un système d'authentification biométrique impliquerait que le site stocke les empreintes digitales ou faciales dans une base de données. Et quand on voit le nombre de fuites de données qui incluent les mots de passe, je n'ose pas imaginer le désastre si les empreintes digitales ou faciales se retrouvaient dans la nature.

Pour ce qui est des codes envoyés par SMS, c'est un mécanisme relativement populaire en ce moment11 car il a l'avantage d'être très simple à comprendre pour l'utilisateur, bien que d'un point de vue sécurité, l'utilisation de SMS est très discutable. Beaucoup de cas ont déjà été recensés où des hackers avaient réussi à intercepter le contenu d'un SMS12, notamment dans l'univers du Bitcoin où les enjeux financiers sont relativement importants.

Les clés d'authentification sont également très faciles à utiliser et consistent simplement à insérer la clé dans son ordinateur pour prouver son identité. Il existe aussi des versions munies de technologies sans fil qui peuvent se connecter à son téléphone portable. Elles ont cependant un coût d'une quinzaine d'euros et la contrainte de devoir l'avoir sur soi à tout moment si on souhaite se connecter.

Au contraire, les applications d'authentification ne sont, elles, pas très populaires, probablement parce que leur fonctionnement est moins évident. Il y a même de fortes chances pour que vous n'en ayez jamais entendu parler. Il s'agit d'une application13 à installer sur son téléphone qui permet de générer un code à usage unique à saisir au moment de s'authentifier14. Le mécanisme est déjà proposé par un bon nombre de services et a fait ses preuves. Il a aussi l'avantage d'être gratuit, aussi bien pour l'utilisateur que pour le fournisseur. Si vous voulez connaître son fonctionnement, nous avons écrit un article15 très simple à comprendre que je vous conseille de lire.

Tous ces mécanismes ont donc des avantages et des inconvénients. Le plus important est de ne pas se fier uniquement à la connaissance d'un mot de passe et de demander une preuve supplémentaire à l'utilisateur pour prouver son identité.

Catégories des preuves

Les mécanismes d'authentification que l'on vient de voir n'appartiennent pas tous à la même catégorie, car la nature de la preuve demandée à l'utilisateur n'est pas la même.

On fait la distinction entre trois catégories de preuves : celles que l'on connaît, celles que l'on possède et celles que l'on est.

Les mots de passe et le mécanisme de questions secrètes font appel à des éléments que l'on connaît. Ils appartiennent donc à la première catégorie.

Les codes reçus par SMS et les clés d'authentification nécessitent de posséder physiquement l'appareil. Ils appartiennent donc à la catégorie des éléments que l'on possède.

Enfin, les preuves biométriques demandent de posséder une caractéristique physique particulière, elles font donc partie des éléments que l'on est.

Conclusion

En couplant deux mécanismes, on améliore la sécurité de l'authentification car elle repose sur deux preuves différentes. Si un attaquant venait à connaître l'une des deux preuves, la sécurité ne serait pas remise en question. Cela veut dire que si pour une raison ou une autre votre mot de passe est dévoilé, un hacker ne pourrait pas automatiquement accéder à votre compte car une deuxième preuve serait nécessaire.

Même avec deux preuves, il existe cependant toujours des failles. L'objectif n'est pas de se croire à l'abri de tout mais d'améliorer la sécurité et de décourager au maximum un hacker de s'en prendre à vos accès et à vos données.

Alors restez vigilants, et à la prochaine.

Notes et références

  1. La problématique des mots de passe a été évoquée dans la vidéo « Les techniques des hackers pour trouver les mots de passe et les façons de s'en protéger » et dans la vidéo « Comment stocker les mots de passe pour éviter que les hackers ne les volent ».
  2. Les codes secrets des cartes bancaires autorisent uniquement 3 mauvaises tentatives, tout comme les codes PIN des téléphones portables.
  3. Film-documentaire Citizenfour (2014) : réalisation Laura Poitras, production Praxis Films, participant Media, HBO Films.
  4. La technique permettant à un attaquant d'espionner un internaute qui se connecte à un site non sécurisé par HTTPS a été évoqué dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  5. Le terme keylogger est traduit en français par le terme « enregistreur de frappes ».
  6. Le terme phishing est traduit en français par le terme « Hameçonnage ».
  7. La société Yubico fabrique des clés d'authentification (source).
  8. La société eBay propose à ses utilisateurs de configurer des questions secrètes pour sécuriser leur compte et de renseigner, par exemple, la ville où l'utilisateur a rencontré son conjoint.
  9. Les technologies TouchID et FaceID proposées par Apple et inclues dans les iPhone reposent sur la biométrie.
  10. La CNIL propose de nombreux articles sur le thème de la biométrie, notamment la biométrie dans les smartphones, la biométrie pour les particuliers, ou le contrôle d’accès biométrique sur les lieux de travail.
  11. De nombreuses banques françaises envoient un SMS à leurs clients lors d'un achat sur Internet pour s'assurer qu'ils en sont bien à l'origine.
  12. Un étudiant californien qui a été condamné à 10 ans de prison pour avoir piraté pour 7,5 millions de dollars de Bitcoin en utilisant une technique appelée SIM-Swap (source).
  13. L'application FreeOTP est un exemple d'application d'authentification.
  14. La société Stripe propose, par exemple, à ses clients de sécuriser leur compte avec une application d'authentification.
  15. Le fonctionnement des applications d'authentification a été évoqué dans l'article « Les applications d'authentification pour améliorer la sécurité de vos comptes ».