Gilles Dounès : Il est difficile de répondre autrement que « les deux », et ce d’autant plus que les deux volets de la question ne font pas référence à la même échelle de la réalité. D’un point de vue global, les protocoles utilisés sur Internet n’ont jamais été aussi sûrs, ni aussi avancés. Les méthodes de chiffrement sont de plus en plus complexes, et les méthodes d’authentification-du côté de l’utilisateur-sont de plus en plus rigoureuses avec la généralisation de l’identification en deux étapes.
Mais, dans le même temps, la « surface d’utilisation » d’Internet a considérablement augmenté par rapport aux seuls usages du courrier électronique, de connexion à quelques sites Web et éventuellement, de logiciels de messagerie des débuts de la toile : le smartphone est en effet devenu, à travers les applications, un formidable levier d’utilisation d’Internet qui ne dit pas son nom. Et chaque nouvel usage, chaque nouvelle application, parce qu’ils ont besoin d’une identification et le plus souvent un nouveau mot de passe, ouvre un vulnérabilité potentielle supplémentaire dans l’environnement numérique de l’utilisateur.
D’une part parce que la multiplication des mots de passe demandés est telle que l’utilisateur lambda va avoir tendance à utiliser toujours les mêmes, peu ou prou. Et d’autre part, parce que la multiplication des points de recueil que sont les sites et les applications que nous utilisons quotidiennement en nombre sans cesse croissant multiplie également le risque statistique de voir fuiter potentiellement non seulement le mot de passe proprement dit, mais également les informations personnelles d’identification qui lui sont associées. Un autre grand classique repose sur l’hameçonnage, avec l’envoi de mail contre faisant l’identité de tel ou tel organisme, bancaire notamment, qui re-dirige l’internaute vers un site factice destiné à lui faire livrer son identifiant et son mot de passe de son plein gré.
Une vieille blague court les salles informatiques de support-utilisateur, selon laquelle 80 à 90 % des problèmes trouvaient leur origine entre le clavier et le dossier de la chaise… mais c’est également vrai en ce qui concerne les développeurs ou les administrateurs systèmes : il n’est pas rare que des géants du secteur comme Facebook ou Yahoo ! ne soient obligés de manger leur chapeau, et d’avouer que les données personnelles (adresse mail, mot de passe, question confidentielle) de millions d’utilisateurs dans le cas d’Instagram, et même de milliards pour Yahoo, avaient été stockées en clair sur des serveurs ouverts aux quatre vents. Et donc potentiellement vendus à l’encan sur le Dark Web.
Jean-Paul Pinte : on parle de plus en plus souvent ces dernières années d’avoir une bonne gestion de ses mots de passe, de gestionnaire de mots de passe, voir d’une disparition totale de leur emploi pour s’identifier sur les services du Net et pourtant ils sont encore là dans la plupart des identifications.
Il y a deux ou trois ans sur le parlait en ironique que les internautes ont évolué dans la créativité de leurs mots de passe en passant de 12345 à 123456 (quand il ne s’agit pas de 000000…).
Les mots de passe sont pénibles nous dirons certains mais sur n’a pas trouvé mieux et les autres méthodes d’identification comme la reconnaissance faciale ou encore la biométrie ont leurs propres problèmes qui sont dans certains cas pires que les mots de passe traditionnels.
Sur constat cependant que l’utilisation de malwares pour voler les mots de passe a connu une augmentation significative en 2019. Selon les données de Kaspersky, le nombre d’utilisateurs par ces programmes malveillants a connu un bond entre les 1ers semestres 2018 et 2019, passant de 600 000 à 940 000.
La société allemande de sécurité informatique Avira a publié un communiqué de presse sur les mots de passe les moins sécurisés. Selon elle, les problèmes de sécurité des mots de passe sont des fabricants d’appareils et non aux utilisateurs qui ne pensent pas à la menace d’attaques de pirates informatiques.
Selon les experts d’aviation, les problèmes de mots de passe non sécurisés sont des fabricants des appareils et non aux utilisateurs trop paresseux pour modifier les combinaisons de normes. Ainsi, les gens ordinaires ne pensent pas à la menace d’attaques de pirates informatiques.
Les banques et les entreprises ont pris conscience cependant de la flité des systèmes actuels de traitement des mots de passe de voiture les modes opératoires verser hacker les mots de passe ne manquent pas aujourd’hui !
L’éclairage (ou hameçonnage) reste encore le moyen le plus utilisé pour obtenir les mots de passe des utilisateurs. Il consiste à créer un faux site Internet prenant l’apparence d’un service légitime, et à l’inciter l’utilisateur à s’y connecter. Son mot de passe en clair peut être volé en toute tranquillité.
D’autres procédés touchant à l’ingénierie sociale permettent, dans le cas de services peu regardant sur leur sécurité, de la mot de passe de manière encore plus simple. Certaines plateaux posent des questions de sécurité à l’utilisateur comme « Quel était le nom de votre premier animal de compagnie ? » ou » Dans quelle ville avez-vous votre premier emploi ? « lors de la procédure de recouvrement de compte ). Les réponses à ces questions peuvent être dénichées sur les comptes Facebook ou Twitter, et les utilisateurs y ayant répondu à l’existence d’un exposé.
L’attaque par force brute ou bruteforce se compose d’un hackeur à demander à un ordinateur de prendre un compte et potentiellement tester des milliers de mots de passe par seconde. Les mots de passe courts et les d épenses de caractères spéciaux sont particulièrement vulnérables.
La technique de la force brutale inversée se compose aussi à prendre un mot de passe répété et à l’essai au hasard jusqu’à ce que cela marche.
L’attaque par « l’homme du milieu » est une famille d’attaques très utilisée pour espionner les communications d’un utilisateur à son insu. Le piratage peut par exemple compromettre un point Wifi public (qui n’est pas protégé par un mot de passe ou qui ne chiffre pas ses communications) de façon à observer tout le trafic Internet qui passe par celui-ci, y compris les mots de passe saisis sur des sites web.
Des logiciels de frappologie qui enregistrent tout ce que vous frappez sur le clavier ou encore appels keyloggers constituant aussi de de la troie chevaux de Troie pour s’de vos mots de passe !
Le logiciel libre Hashcat dédié au cassage de mots de passe est un véritable «serrurier numérique», en quelque sorte. Les procédures employées par le logiciel des variables plus sophistiquées de la méthode de force brutale expliquée plus haut. Vaincre l’onu hachage moderne nécessite cependant d’immenses capacités de calcul et des ordinateurs conçus à cette fin.
30 000 MOTS DE PASSE CRACKÉS FR 5 MINUTES !
La variante de l’attaque par dictionnaire, l’ordinateur essaye en premier une série de mots courants, par exemple des mots du dictionnaire, ainsi que certains mots de passe les plus fréquemment utilisés. D’autres procédés, comme la table arc-en-ciel, repos sur des raisonnements mathématiques plus complexes.
Rappelons-nous aussi en août 2013 les 3 milliards de comptes touchés sur Yahoo !
C’est pourquoi l’on s’oriente, pour les banques et les entreprises vers des systèmes où, sur les smartphones Android, vous vous connectez à certains sites de Google, sans saisir de mots de passe, grâce à vos empreintes digitales. Pour rappel, Android soutient déjà les capteurs biométriques depuis des années et il est possible de se connecter aux applications de Google en utilisant ces capteurs.
Firefox 70 vous vous avertissez aussi désormais vos vos vos identifiants et mots de passe sont compromis. Mozilla intègre peu à peu son service indépendant Firefox Monitor et le nouveau gestionnaire de mots de passe Firefox Lockwise directement dans Firefox. La fondation envisage également l’ajout de services premium sur ces fonctionnalités dans le futur.
Jean-Paul Pinte : L’authentification forte du payeur consiste à faire le Cabinet Mathias Avocats à instituer deux niveaux d’identification du payeur lors d’une transaction en ligne. En effet, il convient de s’assurer que la personne utilise le moyen de paiement est son titulaire effectif. L’authentification forte apporte un niveau de garantie élevé quant à la personne du payeur. Il s’agit de réduire les risques d’usurpation d’identité ou de fraude.
Cette notion pose le principe selon l’identité d’un internaute, une transaction est vérifiée par l’utilisation de deux éléments ou plus appartenant aux catégories suivantes :
En pratique, à titre d’exemple, un achat en ligne peut être réalisé au moyen d’un numéro de carte bancaire et de sa confirmation par un code reçu par sms via le dispositif 3D Secure. Ce système constitue un moyen de sécurisation courant utilisé dans l’e-commerce. Selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement pour l’année 2017, 73% des commerçants en avril 2018 en être équipés.
Par ailleurs, la norme technique de la réglementation relative à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication adoptée le 27 novembre 2017 précise que les prestataires de services de paiement doivent s’assurer de l’indépendance de ces éléments « afin que la compromission de l’un ne remet pas en question la fiabilité des autres ». En effet, cette disposition était le cas où le payeur se servait d’un même appareil électronique pour effectuer la transaction et authentifier le paiement, comme un téléphone mobile ou une tablette.
Les apports de la directive DSP2 sont aussi bien détaillés dans ce site de Wavestone.
Bertrand Carlier dans cet article nous avons rencontré cependant en avant les limitations de la directive DSP2.
Dans les faits, les acteurs, et en particulier les agriculteurs, réalisent aujourd’hui des opérations sur l’ensemble des comptes des utilisateurs, notamment leurs comptes d’épargne. Un des enjeux de ces agrégateurs étant de fournir des services à valeur ajoutée touchant à l’ensemble de l’activité de l’utilisateur sur ses comptes : comptes courants, comptes d’épargne, chèque, cartes, crédits, plan en actions, …
En réglementant uniquement sur l’accès aux comptes de paiement, nous dit-il, la commission européenne et l’Abe met en lumière le fonctionnement des agrégateurs (rejette des secrets de connexion utilisateurs) sans fournir une solution à l’ensemble des problématiques des échanges entre ces acteurs non bancaires (agrégateurs) et les banques.
Dans l’intérêt du développement des agriculteurs, des solutions devront être mises en œuvre pour plus de temps. Par ailleurs, les travaux engagés par les banques dans le cadre de la DSP2 les ayant amenées à construire l’architecture nécessaire à l’exposition de services sur internet, une évolution de ces services à plus des comptes et à plus de services utilisateurs est probablement à venir.
Contrairement à l’initiative OpenBanking UK, sur le standard reconnu du groupe de travail Financial API, au sein de la fondation OpenID, les nouveaux services offerts par les banques dans le cadre de la DSP2 se fondent sur des exigences réglementaires plutôt que sur des normes de sécurité. Il y a donc selon Bertrand Carlier une incompatibilité avec les standards existants.
La DSP2 va enfin obliger les banques à partager ces informations via les interfaces de programmation applicative (API) qui sont des sécurisées, ce qui n’est pas toujours une évidence, permettant à ces entreprises tierces d’accéder aux données bancaires, et ce de manière sécurisée.
Dans un article des ECHOS on nous rappelle également que, plus les API sont nombreuses, plus les initiateurs et agrégateurs ont accès à des informations riches, mieux ils seront à même de développer des services à forte valeur ajoutée pour les utilisateurs. Cependant, les textes qui encadrent les nouvelles obligations des établissements bancaires ne stipulent pas toujours avec précision quels jeux de données doivent être partagés, laissant place à une certaine marge d’interprétation. Évidemment, les banques, qui développent également de nouveaux services pour faire face à la concurrence, ne sont pas encore tout à fait prêtes à ouvrir grand les portes de leurs immenses bases de données.
Gilles Dounès : Les utilisateurs dits « sensibles », dans des entreprises ou des administrations susceptibles de faire l’objet de curiosité malsaine ont des procédures de sécurité qui leur sont propres mais, pour l’ensemble de la population, il est très important de ne pas faire confiance aveuglément aux acteurs du secteur, aussi puissants soient-ils. Cela vaut particulièrement pour les réseaux sociaux. Au niveau des mots de passe, en utilisant des mots de passe « forts » suggérés par les navigateurs, et accessibles grâce à un unique mot de places de « trousseau ». Encore faut-il que le système d’exploitation soit lui-même suffisamment sécurisé, mais des solutions de développeur tiers existent également comme Dashlane ou Keepass pour Windows, mais les utilisateurs d’Apple ont tout avantage à utiliser le gestionnaire iCloud sur l’ensemble de leurs appareils.
Mais c’est surtout au niveau de l’utilisation-même qui est fait des réseaux sociaux que se situe le plus souvent la faille, dite « d’ingénierie sociale » : le ou les petits malins recueillent patiemment les indices personnels semés sur la toile par sa cible , qu’il s’agit d’une célébrité, d’un membre du personnel d’une société ne cherche pas à infiltrer le système ou d’une personne de l’enTourage. Le point névralgique est bien souvent la prise de contrôle de l’adresse mail, grâce aux « questions personnelles » ne les réponses ont été naïvement s’ils sont ici et là par l’utilisateur lui-même.
Facebook, Instagram, Twitter, etc. Il faut donc non éviter de se répéter sur les réseaux sociaux, Facebook, Instagram, Twitter, etc. mais aussi clairement différencier compte personnel et professionnel si l’on en a absolument besoin, et même limiteur au maximum leur utilisation. Ceci est bien entendu aussi valable pour les plaques-formes mobiles, les applications gratuites notamment.
En ce qui concerne l’utilisation de ces fams « questions de sécurité», il s’agit d’utiliser toujours les mêmes et leurs réponses trop évidentes, quitte à un peu quand il s’agit de vérifier que l’on a atteint l’âge légal pour Consommer de l’alcool : quelle différence cela fait-il que l’on est né le 14 juillet 1968 ou le 8 mai 1971 pour s’offrir une caisse de Jurançon AOC ? Au vu de tout ce qui précède, est-il nécessaire de préciser qu’il ne faut jamais utiliser son mot de passe de messagerie électronique pour un site Web ou une application ?
Gilles Dounès : L’initiative Alicem que préparerait le gouvernement français pour l’authentification sur les sites officiels a porté tout récemment l’attention sur l’utilisation de la biométrie, mais celle-ci a fait son chemin plus ou moins discrètement depuis des années puisque le fabricant français de disques durs LaCie a proposé des disques sécurisés déverrouillés par empreintes digitales dès le milieu des années 2000. Apple a proposé sa propre solution baptisée Touch ID, d’abord sur l’iPhone 5S puis sur l’ensemble de sa gamme, à partir de l’automne 2013, avant d’être suivi par l’ensemble de ses concurrents avec il faut bien le dire des bonheurs divers et variés, comme encore tout récemment.
À présent, on semble vouloir s’orienter vers la reconnaissance faciale : Apple embarque depuis deux ans sur sa nouvelle génération de smartphone (iPhone X et suivants) une solution de reconnaissance faciale baptisée Face ID, développée « à la demande » pour la marque par une start-up normande, il faut le souligner. La tendance semble d’ailleurs vouloir aller encore plus loin avec une double identification, à la fois biométrique (ce que vous êtes) empreintes digitales, reconnaissance faciale, demain lecture de l’iris, et cryptogrammique (ce que vous savez ou que vous avez en votre possession) mot de passe, cryptogramme éventuellement aléatoire sur une carte bancaire, suite de chiffres éphémères envoyés par SMS, etc., un peu à la manière du dédoublement de l’identification en ligne réclamée à présent par la plupart des grands acteurs du secteur.
Jean-Paul Pinte : la biométrie simplifie toutes ces procédures en ne réclamant qu’un seul identifiant: votre corps… aime à nous rappeler le site Futura Sciences. Sa généralisation est lente mais touche peu à peu tous les domaines de la société et concerne chaque jour notre société de conso-divertissement à l’heure d’une hyper-connexion.
La biométrie est « l’analyse des caractéristiques physiques strictement propres à une personne » . Ces caractéristiques sont moins biométriques. Il peut s’agir par exemple des empreintes digitales, de l’Iris, du visage, de la voix ou même de l’ADN d’une personne.
La biomasse a été la première à se développer et depuis 2009 nos passeports sont biométriques. Elle touche maintenant les codes de la carte de crédit, les accès aux portes d’entrée d’immeuble, les mots identifiant de passe de messagerie, l’un réseau informatique, les mots de passe réclamés par certains sites Web, …
Sa généralisation grâce à la recherche la passe maintenant par l’iris, la reconnaissance faciale, la reconnaissance vocale, les systèmes de reconnaissance de voies, …
La biomasse a pourtant de beaux jours devant elle dans le secteur des paiements. Les solutions d’identification des consommateurs sur leur empreinte digitale, leur voix, ou leur image, ont de fortes chances de se répondre à l’heure où l’Union européenne a décidé de renforcer ses exigences en matière de sécurité des paiements en ligne.
Pourtant, rien ne peut être sécurisé dans ce monde numérique et les modes opératoires ne manquent plus pour usurper l’identité d’une personne. Selon une étude menée par Spiceworks, 48% des entreprises considèrent que le vol ou la fuite de données biométriques est le plus grand risque de sécurité lié à cette technologie.
Sur se rappelle la possibilité de copier l’empreinte de quelqu’un pour usurper l’accès à un Iphone par un simple moule d’empreintes qu’il a d’appeler sur la partie à la position du doigt. Il en ira de même pour la reconnaissance qui ne manquerait pas d’être usurpée sur ces matériaux.
Un autre problème des données biométriques est justement que certaines d’entre elles peuvent être facilement dupliquées.
De plus, une fuite de données biométriques est bien plus compromettante qu’une fuite de données classiques » . En effet, s’il est possible de changer un mot de passe après s’être fait pirater, il est impossible de modifier ses empreintes digitales ou son iris. Une fois ces données vérifiées, votre sécurité est mise en péril pour toujours comme l’indique le site Lebigdata.fr.
Ce que les chercheurs en dis :
« L’utilisation de sécurité biométrique comme les digitales est récente. Ainsi, la véritable portée du risque de vol d’empreintes digitales est encore inconnue.
Toutefois, il est important de se rappeler qu’une fois volées, vos empreintes digitales ne peuvent pas être changées, contrairement aux mots de passe.
Cela rend le volume des données d’empreintes digitales encore plus préoccupant. Elles ont remplacé les mots de passe alphanumériques dans de nombreux objets de consommation, tel que les téléphones. La plupart de leurs lecteurs d’empreintes digitales ne sont pas chiffrés, ainsi qu’un hacker développera une technologie pour les plus grands vos empreintes digitales, il obtiendra l’accès à tous vos informations personnelles telles que les messages, photos et moyens de paiement stockés sur votre appareil ».
Sur peut enfin citer ici quelques exemples parmi tant d’autres: les iPhones, Facebook, Yves Rocher, Option Way, la Gendarmerie…
Jean-Paul Pinte: la biométrie est un sujet « sensible » et encore peu que nous ayons fait regarder en face. Il concerne la nature sensible des données et plus particulièrement de nos données biométriques.
Entré en vigueur le 25 mai 2018 dans toute L’Union européenne, le Règlement général sur la protection des données (RGPD) a instauré un nouveau cadre juridique pour la protection des personnes.
Dans ce cadre, les acteurs de l’économie se doivent de se préoccuper des questions suivantes pour être en phase avec leur mise en place de collecte et de traitement de données personnelles.
Quels sont vos droits sur vos données personnelles ? Vous avez le droit :
Quelles sont les obligations des entreprises ? Les entreprises ont l’obligation :
En ce qui concerne le rapport de l’Assemblée Nationale d’avril 2019, qui touche au monde de la biomédecine, « Sortir des bouleversements actuels : la nécessité de définir un cadre juridique » adapté est utile et nous invitons à comprendre que si actuellement les règles Juridiques qui encadrent l’utilisation des techniques biométriques de nombreuses garanties, de multiples incertitudes, plus d’ailleurs que les garanties garanties par le cadre juridique en vigueur, constituant un obstacle à leur déploiement.
Ainsi, pour aborder correctement la question des conditions juridiques d’une utilisation des systèmes biométriques : protection des données personnelles et de la vie privée, il convient de distinguer trois domaines, même s’ils entretiennent entre eux, sur le plan juridique mais aussi pratique, des rapports plus ou moins étroits. Le premier recoupe peu ou prou celui de l’identification judiciaire : il s’agit du domaine touchant à la sécurité publique, la défense et la sûreté de l’Etat, selon les termes habituellement employés par les lois régissant la protection des données personnelles qui comportent des dispositions spécifiques applicables à ce domaine particulier. Le second se définit naturellement par rapport au premier et porte sur les traitements qui ne sont pas mis en œuvre à des fins de sécurité publique, de défense ou de sûreté de l’Etat et le troisième se rapporte aux échanges transfrontières de données.