top of page
Rechercher

Un avenir sans mot de passe : mythe ou réalité ?

Photo du rédacteur: Laure BouquetyLaure Bouquety

Dernière mise à jour : 23 janv.

En 2004, lors d’une intervention à la RSA Conference, Bill Gates annonçait la disparition prochaine des mots de passe : « Il ne fait aucun doute qu’avec le temps, les gens se fieront de moins en moins aux mots de passe. Ils utilisent le même mot de passe sur différents sites, ils les écrivent sur un bout de papier et ils en créent qui ne sont absolument pas adaptés à ce qu’ils souhaitent sécuriser. »


Littéralement sans mot de passe; vous accédez au SI de votre entreprise sans mot de passe. Il faut bien avouer que pour les bons élèves, la liste de mots de passe est longue comme le Nil.


Le contrôle d'accès et la gestion des identités (IAM)

L'architecture mise en place s'appuie sur des protocoles et des normes qui ont été évalués par des pairs et qui sont adoptés par le marché.  Les produits IAM offrent deux fonctions essentielles : l’authentification (Authenticating), qui confirme qu’un utilisateur est bien celui qu’il prétend être, et l’autorisation (Authorization), qui contrôle ce à quoi un utilisateur peut ou ne peut pas accéder.


D'autres fonctionnalités peuvent répondre aux besoins spécifiques de l'entreprise comme :

  • Provisionnement et déprovisionnement (Provisionning) automatisés des utilisateurs. Ces processus créent, suppriment ou modifient automatiquement les comptes d’utilisateurs, par exemple lors de l’intégration de nouveaux employés.

  • JSON Web Token (JWT) est une norme ouverte définie dans la RFC 7519 qui permet une communication sécurisée entre deux parties. C'est le format standard pour les jetons d'identité dans OIDC et est largement utilisé pour les jetons d'accès OAuth 2.0. Grâce au JWT, le client peut décoder le jeton et extraire les informations de l'utilisateur (Identities) sans faire de demandes supplémentaires au fournisseur d'identité.

  • Identité fédérée. (Federation) Fourniture des capacités telles que Security Assertion Markup Language (SAML), OpenID Connect ou d’autres facilités pour la fédération d’identité au sein d’une organisation et avec des partenaires et des applications SaaS.

  • L’autorisation ouverte - OAuth (Delegated Access) est un cadre d’autorisation standard ouvert qui permet aux applications d’accéder aux ressources protégées d’un utilisateur final (photos, calendriers, publications sur les médias sociaux, etc.), ceci sans avoir besoin de l’identifiant ou du mot de passe du compte de l’utilisateur.

Secure Identity Management Foundation
Secure Identity Management Foundation

C'est quoi l'authentification multi-facteurs ?

Ce sont des processus qui valident les utilisateurs en les authentifiant à l’aide d’un ou plusieurs facteurs.


Something you know (password)

+

Something you have (trust devices)

+

Something you are (biometrics)


C'est quoi l'authentification sans mot de passe ?


Passwordless = Something you have + Something you are


Biométrie : enjeux clés et usages


L'aspect important est la phase d'enregistrement, notamment en ce qui concerne les éléments biométriques. Où sont ils stockés ? Sur votre téléphone ? L'ordinateur ? Sur votre carte d'identité ou passeport ? La clé ? Ailleurs ?


Sauf ceux qui ont fait le test ADN aux États Unis, vos éléments biométriques vous appartiennent et sont chiffrés sur le matériel. En gros ne le(s) perdez pas même si les données sont chiffrées !


Comme mentionné par Google "Vous laissez vos empreintes sur de nombreux éléments que vous touchez, y compris votre téléphone ou votre tablette" alors faites attention !


Le pire danger n’est autre que vous-même !

Il y a aussi des services de vérification d'identité numérique qui émergent, tels que France Identité (device, biometrics, PIN), Persona de LinkedIn (reconnaissance faciale) ou encore signature électronique qualifiée avec YouSign. Pour ce dernier l'identité peut être enregistrée dans un portefeuille numérique sur le téléphone !


Se pose la question d'une manière unique de s'authentifier auprès de différents acteurs, tel les câbles USB-C devenu la norme dans leur domaine (ceux qui ont eu à faire de près ou de loin avec l'INPI savent de quoi je parle). Nos éléments biométriques, nous les laissons justement un peu partout, le débat est ouvert ....


@Shamneesh Sharma
@Shamneesh Sharma

Revenons à l'authentification sans mot de passe, une première phase d'onboarding (enrôlement) est nécessaire, avec la fourniture d'informations en cas de perte. Le processus de récupération doit être pensé de tel manière à être sans friction. En gros, prévoir plusieurs clés par exemple ou une clé par domaine d'activité pour la segmentation. Aussi, il est d'usage de prévoir un système de désactivation du matériel (Blacklist).


Utilisez-vous à la maison ce genre de clé pour lutter contre le phishing? C'est la version au-dessus du Timed-OTP (ces applications qui génèrent des codes uniques basés sur l'heure et une clé secrète partagée). D'ailleurs, avez-vous vérifié la synchronisation des comptes en cas de perte ou de vol ? Ceux qui ont perdu leur téléphone savent dans quelle galère on se trouve après ! Ces applis TOTP, elles aussi, pourraient faire l'objet d'une norme. Enfin je dis ça....


Tout ça pour quoi en entreprise ?

Topologie entreprise @arubanetworks.com
Topologie entreprise @arubanetworks.com

La topologie des actifs de l'entreprise a changé à cause de nouveaux usages et technologies.


  • Télétravail (Remote Work)

  • Le cloud computing et le SaaS services

  • Bonnes pratiques pour la cybersécurité - Zero Trust Architecture, IAM et MFA

  • L'authentification unique (SSO) - Expérience utilisateur


Ces nouveaux usages conduisent à repenser la stratégie de sécurité de l'entreprise. Lorsque l'on regarde l'image précédente, tous les mots en "cyber" s'appliquait déjà avant et sont encore plus vrai dans la nouvelle configuration.


La fin des mots de passe aura-t-elle lieu ? Où avez vous consenti à stocker vos empreintes (ou plus largement votre identité) pour la dernière fois ?



"Challenger" vos grilles d'analyse !



Have fun ❤



 

Références


La puce de la nouvelle carte nationale d’identité - Ministère de l'intérieur


Google Pixel


Persona de LinkedIn


YouSign - Signature Électronique Qualifiée

0 vue0 commentaire

Posts récents

Voir tout

Comments


Commenting has been turned off.
bottom of page