Biométrie, cartes, mots de passe à usage unique … Les alternatives aux traditionnels mots de passe se développent, et les usages grand public de ces technologies poussent les portes de l’entreprise.
État de l’art des technologies, de leurs utilisations et de leurs limites.
Pour l’ensemble des experts interrogés, le mot de passe a encore de beaux jours devant lui. Pour autant, ses limites sont bien connues. Il peut être oublié et volé et, compte tenu des difficultés de mémorisation, aura souvent tendance à ne pas être changé régulièrement, ce qui le rend encore plus vulnérable. Si le supprimer totalement est à ce jour inenvisageable, on peut dès à présent en limiter l’utilisation, mais également utiliser des outils complémentaires pour en renfoncer la sécurité.
Tous ces outils devront être évalués selon trois critères généralement concurrents : le coût, la sécurité, l’ergonomie. L’ergonomie du mot de passe est considérée comme médiocre. Son coût est par contre très faible et sa sécurité relativement bonne, surtout si un système en limite le nombre, en contrôle la qualité et le changement régulier. Les technologies biométriques présentent pour leur part des ergonomies variables – très bonne pour les empreintes digitales, moins pour l’iris par exemple –, avec des niveaux de sécurité eux aussi variables et, notamment, un coût élevé à grande échelle.
LA BIOMÉTRIE : DES USAGES LIMITÉS
La biométrie permet d’identifier de manière unique une personne. Néanmoins, la plupart des technologies présentent des limites non négligeables. Ainsi, certaines ne permettent pas de distinguer deux vrais jumeaux (telle que la détection des formes du visage ou de la main). D’autres ne fonctionnent pas sur toutes les personnes (les empreintes digitales sont par exemple beaucoup plus fines chez certaines populations asiatiques, les personnes atteintes de certaines maladies génétiques ou ayant manipulé régulièrement des substances chimiques agressives…). Enfin, comme notre corps vieillit, certains paramètres peuvent changer significativement au cours du temps (couleur de l’iris, voix…).
La lecture d’empreinte digitale est la technologie la plus courante. Pour obtenir une cartographie des empreintes, il existe de nombreux types de capteurs : imagerie par caméra, capteurs 2D reposant sur les effets piézo-électriques, capacitifs et/ou thermiques, capteurs 3D à ultra-sons, etc. Ils valent d’une dizaine d’euros pour les modèles les plus basiques à quelques centaines d’euros pour les modèles à usage professionnel. La démocratisation des lecteurs incorporés dans certains smartphones pourraient étendre le champ d’application à l’entreprise si les technologies propriétaires sous-jacentes (telles que Apple TouchID, Windows Hello ou FIDO Alliance) prouvent leur bon niveau de sécurité. Ainsi, lorsqu’Apple prétend que le TouchID a un taux de faux positifs inférieur à 1 pour 50 000, aucun organisme tiers n’a pu vérifier cette information.
Même si la reconnaissance faciale a fait de nombreux progrès – la technologie de Google incluse dans Picasa en est la preuve – et fait désormais statistiquement souvent mieux que l’œil humain, elle présente encore souvent des taux de faux positifs trop importants.
Les identifications de l’iris ou de la rétine sont de bien meilleure qualité, mais les lecteurs restent coûteux et la méthode de scan peu ergonomique. Les contours de la main sont quant à eux utilisés par de nombreuses cantines scolaires en remplacement des cartes. Mais sa fiabilité ne semble pas suffisante pour un usage professionnel. La biométrie veineuse, qui cartographie les veines (typiquement d’un doigt), semble une voie plus prometteuse. Il semble en effet très difficile de créer un clone, du fait que le doigt doit être « vivant ». Pour autant, le coût des capteurs – actuellement plusieurs milliers d’euros – ne permet son utilisation que dans des cas critiques.
La reconnaissance vocale, malgré sa fiabilité limitée, n’est pas à éliminer systématiquement. Son très faible coût (la plupart des ordinateurs et tous les smartphones étant équipés d’un micro) et sa simplicité d’utilisation en font par exemple une technologie utilisée par de nombreux centres d’appels pour valider l’ouverture de session. Quant aux autres technologies, telles que l’écriture, la signature ou la façon de frapper au clavier, leurs usages restent trop limités pour pouvoir démontrer une réelle efficacité.
Alors que le mot de passe est un secret – certes pas toujours très bien gardé -, la donnée biométrique est en quelque sorte publique. N’importe qui peut collecter des empreintes digitales à l’insu de la personne ; l’iris ou la forme de la main peuvent être photographiés ou filmés assez facilement ; la voix enregistrée puis reproduite… Pour ces raisons, la France, à la différence de la Suisse par exemple, limite fortement l’usage des technologies biométriques. Le législateur et la CNIL distinguent en tout cas les données biométriques à traces (les empreintes digitales par exemple) et celles sans traces (telle la cartographie du système veineux d’un doigt).
Indépendamment, la donnée biométrique, à la différence du mot de passe, n’est pas modifiable. On comprend dès lors l’impact que peut avoir un vol massif de données biométriques, au niveau du système de sécurité cette fois-ci, tel celui qui a récemment concerné 5 millions d’empreintes de fonctionnaires fédéraux américains.
CARTES ET JETONS : DES TECHNIQUES ANCIENNES TOUJOURS D’ACTUALITÉ
Windows propose depuis plus de 15 ans l’ouverture de session par carte à puce. Cette technologie est désormais peu coûteuse, très bien sécurisée, mais nécessite de gérer les certificats. Gemalto propose par exemple des lecteurs USB d’entrée de gamme à partir d’une vingtaine d’euros. Pour les cas les plus critiques, il est possible d’utiliser des lecteurs dotés d’un clavier permettant la saisie d’un code PIN. Ainsi, même en cas de vol, la carte reste inutilisable.
Plus ergonomiques, les cartes sans contact NFC (Near Field Communication) ont le vent en poupe. En effet, de nombreuses sociétés s’en servent déjà pour l’accès aux bâtiments ou au restaurant d’entreprise. Et il est possible d’utiliser la même carte pour l’ouverture de session, à l’aide d’un lecteur spécifique. Toutefois, le niveau de sécurité est généralement bien moins bon que celui des cartes à puces. En effet, les cartes NFC sont « facilement » reproductibles et les communications sont faiblement voire non chiffrées : dans certains cas, un smartphone suffit pour lire et dupliquer le code d’authentification. Il vaudra donc mieux limiter son usage aux applications non critiques, ou utiliser des cartes NFC disposant d’un niveau de sécurité accru, qui se révèlent alors beaucoup plus chères.
À l’inverse, les tokens (ou jetons) sont moins plébiscités, en particulier les modèles non connectés. Ces petits dispositifs, généralement disponibles sous forme de porte-clés, affichent un code qu’il faut saisir à la place du mot de passe. Les modèles connectés communiquent avec l’ordinateur ou la tablette par Bluetooth, Wi-Fi, NFC, par le port USB ou même par le port audio. Particularité : il faut prévoir une solution quand le dispositif est perdu, cassé ou volé, la difficulté principale résidant dans le cas où le collaborateur est en déplacement.
LE NOUVEL ELDORADO DES MOTS DE PASSE À USAGE UNIQUE
Le mot de passe unique, ou OTP pour One Time Password, est devenu banal pour les transactions bancaires sur Internet. N’ayant qu’une durée de vie réduite, il limite les risques de fraude. Étant généralement envoyé par SMS ou par mail, il nécessite juste un deuxième moyen de communication, le plus souvent le téléphone ou smartphone du collaborateur.
Le coût de la solution est très réduit. Les risques encourus sont essentiellement liés au piratage du compte mail ou du téléphone (ou à son vol). « Il est possible d’améliorer encore plus l’ergonomie et la sécurité de la solution grâce à l’installation d’une application spécifique sur Android, iOS, ou Windows Phone », explique Fabien Tanguy, Chief Technical Security Officer chez Qualys. Ainsi, qu’il s’agisse de l’application Duo ou de celle proposée par InWebo, lors de la phase d’authentification, le serveur envoie un code sécurisé au smartphone, qui affiche un message demandant la confirmation de l’utilisateur, avec éventuellement fourniture d’un code PIN. « Compte-tenu de l’ergonomie du dispositif, plusieurs requêtes de ce type peuvent avoir lieu dans une même journée sans gêne excessive du côté de l’utilisateur », précise Fabien Tanguy.
Malheureusement la solution n’est pas non plus parfaite. Aussi bien en France qu’à l’étranger, il existe de nombreuses situations où les portables ne peuvent se connecter au réseau. Les SMS ne sont pas non plus d’une fiabilité à toute épreuve. Là encore, « il faut prévoir un mode dégradé en cas de vol, de casse, ou simplement d’inaccessibilité des réseaux, et ne pas hésiter à multiplier les solutions pour s’adapter aux différentes populations », ajoute Olivier Morel, responsable avant-vente chez Ilex.
UNE AUTHENTIFICATION MULTI-FACTEUR
Supprimer les mots de passe est probablement une chimère. Pour autant, il est indispensable d’en limiter l’usage et d’en augmenter la sécurité. Plutôt que de connaître un grand nombre de mots de passe, une première solution consiste à utiliser des « coffres forts à mots de passe ». Toutefois, « la sécurité de ces coffres forts est généralement limitée », indique Loïc Guézo, évangéliste sécurité de l’information pour l’Europe du Sud chez Trend Micro. En cas de vulnérabilité, c’est l’ensemble des mots de passe qui devient exploitable. » Comme ces coffres sont enregistrés sur les ordinateurs eux-mêmes, l’administration et le suivi des usages sont difficiles, ce qui rend les solutions de Single Sign On (SSO) et de fédération d’identités beaucoup plus intéressantes en entreprises. Ne se souvenir que d’un seul mot de passe permet de mieux le sécuriser (typiquement en le rendant un plus long et plus complexe), mais aussi d’en changer plus souvent et de ne pas avoir besoin de recourir aux « fameux post it situés sur le côté de l’écran ou sous le clavier ».
Mettre en œuvre les mécanismes de délégation de rôle disponibles dans certains systèmes permet aussi de limiter les besoins de communication de son mot de passe à des tiers. Grâce aux outils d’audit, il est possible de limiter la sédimentation des droits d’accès et de garder la main sur les connexions des utilisateurs. La critique souvent faite au SSO est qu’une fois l’utilisateur authentifié, plus aucune vérification n’a lieu. « Les solutions les plus récentes, telle celle d’Okta par exemple, répondent à ce reproche en identifiant le contexte de connexion initiale de l’utilisateur, et en requérant des informations supplémentaires de connexion en cas de suspicion ou lors d’accès à des applications critiques ». Sur ce même principe, les SSO les plus récents proposent l’ajout d’un second facteur d’authentification (biométrique, carte, OTP…) en fonction du contexte. Grâce au lecteur d’empreintes, à la caméra ou au lecteur NFC qu’ils intègrent de plus en plus souvent, les PC portables, smartphones et tablettes ne nécessitent pas d’investissement matériel important pour mettre en œuvre ce système de sécurité. Et en cas de problème technique sur le second facteur, il est possible, pour un utilisateur donné, via le SSO, de revenir à une sécurité plus classique.
UNE AUTHENTIFICATION FORTE GRÂCE À FIDO
Regroupant plus de 200 membres, dont Google, Microsoft, de très nombreux services en ligne, des agences gouvernementales et des spécialistes de la sécurité, la FIDO Alliance propose un ensemble de techniques ouvertes et interopérables afin de réduire l’usage des mots de passe pour authentifier les utilisateurs (voir IT for Business no 2191 page 55). Pour cela, FIDO (Fast IDentity Online) suppose que chaque utilisateur possède au moins un appareil personnel (un téléphone, par exemple), qui sera enregistré dans le système afin de permettre son authentification. L’utilisateur pourra choisir d’opter pour un mot de passe classique, un code PIN ou un système biométrique pour s’authentifier, avec possibilité de double identification. Selon Vincent Bouatou, responsable du business developement technologique chez Safran Morpho, « la force de FIDO réside à la fois dans sa simplicité et dans sa sécurité ». C’est l’appareil qui s’occupe de valider les données biométriques de l’utilisateur, celles-ci n’étant jamais transmises à un tiers. De plus, un site web (ou une entreprise) utilisant l’authentification par FIDO ne centralise que la clé publique de l’appareil pour son service. En tout état de cause, le vol d’une clé d’accès à un service ne risque aucunement de permettre l’accès à d’autres services. Si FIDO conquiert le grand public, l’entreprise pourra en profiter à un coût alors réduit en comparaison de solutions propriétaires. Dès à présent, Safran Morpho propose une solution de reconnaissance faciale, certifiée FIDO, que Samsung intègre dans certains smartphones.
