Vous n’êtes pas sans savoir que dernièrement , le réseau social LinkedIn a été victime de piratage. Une faille de sécurité dans la version mobile du réseau serait en cause dans le piratage de 6,5 millions de comptes. A ce jour, des centaines de milliers de mots de passe ont été décryptés. Jan Valcke, Président et COO de VASCO Data Security, éditeur leader spécialiste des solutions d’authentification forte, vous donne quelques conseils pour sécuriser vos informations sur les réseaux sociaux.
Combien de comptes en ligne possédez-vous ? Vous ne le savez pas vraiment ? Comptez avec nous : au moins un compte e-mail ; un ou plusieurs comptes pour vous connecter à vos réseaux sociaux, des comptes pour faire du shopping, des jeux en ligne ou lire votre journal ; un autre compte pour votre club de sport local ou pour le forum de votre site préféré. Outre cela, vous avez aussi de multiples autres comptes dans votre environnement de travail : pour l’accès à votre CRM, au webmail, aux diverses applications de l’entreprise, ou pour consulter les revues spécialisées auxquelles votre entreprise est abonnée. Dans ce contexte est-ce que le terme « protégé(e) » est le terme le plus approprié pour décrire votre situation ?
Inventer des mots de passe est un éternel compromis
Si les mots de passe sont trop simples, il est facile pour les pirates de les découvrir et de les intercepter. Toutefois, lorsque les mots de passe sont trop complexes, ils sont oubliés ou couchés par écrit sur un post-it (en général pas trop loin de l’écran…). Un grand nombre de problèmes se posent aussi lorsque nous utilisons des mots de passe statiques. Tout d’abord, l’utilisateur moyen n’a guère d’imagination quand il s’agit d’inventer un mot de passe. Les noms des enfants, des proches ou des animaux domestiques, les dates de naissance ou des combinaisons de touches simples sur le clavier, telles que 123456 sont cousues de fil blanc. De plus, les gens ont tendance à utiliser les mêmes mots de passe pour différents comptes. Une différence entre les applications privées et de travail est rarement faite. Pour les hackers, c’est un jeu d’enfant que d’intercepter ces mots de passe. Dans le but de contrer ce problème, certaines entreprises contraignent leurs employés à changer de mot de passe après une certaine période de temps (par exemple après 30 jours). Cependant, ces mots de passe sont souvent oubliés, impliquant une charge de travail supplémentaire pour les départements informatiques dans le domaine de la gestion de mots de passe.
Un faux sentiment de liberté
Nous pouvons nous plaire à penser que la cybercriminalité ne nous touchera jamais. Cependant, nous sommes en réalité plus vulnérables sur Internet que nous ne pouvons le croire. Jetons un coup d’œil, par exemple, sur les réseaux sociaux. Facebook, LinkedIn, Twitter : qui n’a pas au moins un compte sur ces réseaux de nos jours ? Un réseau social est un endroit idéal pour rencontrer et garder contact avec nos amis, relations d’affaires ou avec des personnes qui habitent loin. Ces réseaux apparaissent comme des environnements agréables et aimables où les informations peuvent être partagées, que ce soit à des fins professionnelles ou dans un cadre privé. Comme il n’y a pas de barrière physique, les utilisateurs n’ont pas d’inhibition à y divulguer des détails sur leur entreprise ou sur leur propre vie privée. Les utilisateurs ne sont pas conscients du fait qu’ils ouvrent les fenêtres en grand sur leur propre vie. Les pirates suivent l’argent et sont conscients des gains pouvant être obtenus par l’exploitation d’informations publiées par les utilisateurs sur les réseaux sociaux. Les données-cibles sont aussi bien des informations personnelles que des informations de propriété intellectuelle ou des informations sur l’entreprise voire même des numéros de sécurité sociale ou de cartes de crédit.
Internet, un monde cruel
Disposer d’un niveau de sécurité adéquat est nécessaire sur Internet car le réseau est parsemé de dangers. Les attaques par dictionnaire, le hameçonnage (phishing), les enregistreurs de frappe (keyware), les logiciels espions (spyware) et les attaques dites « de l’homme du milieu » (MITM, man-in-the-middle) sont les plus communes.
Tout d’abord, l’exécution par les pirates d’attaques par dictionnaire sont liées au fait que la plupart des internautes utilisent des mots de passe simples ou réutilisent leurs mots de passe pour différents comptes. L’idée est de passer outre les techniques de chiffrement en composant une liste limitée de mots de passe possibles. Ces listes sont adaptées au pays dans lequel l’attaque est exécutée ou aux intérêts de la victime.
Ensuite, le hameçonnage est également une technique courante pour obtenir illégalement des mots de passe. Des escrocs envoient alors de faux e-mails à l’utilisateur pour le conduire à visiter un faux site web les incitant à fournir leur nom d’utilisateur et leur mot de passe.
Les criminels utilisent aussi des enregistreurs de frappe. Ces logiciels malveillants (malware) d’un genre un peu particulier enregistrent les touches frappées sur le clavier à l’insu de l’utilisateur afin de détecter le mot de passe, qui est ensuite envoyé au pirate sur le réseau. L’utilisateur est inconscient de tout préjudice. Ce malware peut entrer dans l’ordinateur par le biais de n’importe quel fichier possible et souvent de façon déguisée.
Les logiciels espions (spyware) recueillent des informations sur l’utilisateur via sa connexion Internet. La caractéristique d’un logiciel espion est qu’il est souvent délivré de façon invisible avec un freeware qui peut être téléchargé à partir d’Internet. Une fois installé, le logiciel espion surveille les activités de l’utilisateur sur Internet et il envoie les informations à un tiers. Au cours des dernières années, on note une augmentation significative du nombre de logiciels espions capables de recueillir des informations sur les adresses électroniques et mots de passe. Parfois, ces logiciels fonctionnent un peu comme des chevaux de Troie : les utilisateurs acceptent l’installation du virus sans le savoir sur leur ordinateur, en croyant avoir installé un autre programme.
Enfin, les attaques dites « de l’homme du milieu » (MITM, man-in-the-middle) sont un moyen d’écoute électronique. Le pirate s’insère dans une communication et est capable de lire les messages entre les deux parties, d’ajouter des choses ou de modifier le message. L’expéditeur ne se rend pas compte que le lien entre lui et le récepteur est compromis. Dans le cas d’une attaque de type MITM, l’authentification traditionnelle avec une combinaison de nom d’utilisateur et mot de passe statique n’est pas suffisante pour vérifier l’authenticité de la transaction. La communication complète peut être menée à travers un faux site Web, géré par le pirate (l’homme du milieu).
La solution ? Recourir à l’authentification forte
L’authentification forte apporte une réponse aux problèmes précédents. Chaque mot de passe statique est remplacé par un mot de passe dynamique. L’authentification à deux facteurs implique que l’utilisateur dispose de deux éléments. D’une part, il doit savoir quelque chose – par exemple un code PIN – et d’autre part, il doit posséder quelque chose, comme un dispositif matériel ou une application pour générer un mot de passe à usage unique (one-time password ou OTP). L’ouverture de session n’est possible que par la saisie de ce mot de passe à usage unique. Et ce mot de passe n’a qu’une validité limitée dans le temps, de quelques dizaines de secondes en général. Tenter l’interception de ce type de mots de passe se révèle donc être un effort futile de la part des pirates.
Comment cela fonctionne ?
D’un point de vue technique, un mot de passe à usage unique (OTP) est le résultat d’une opération cryptographique combinant une clé secrète et un paramètre variable. La clé secrète permet de s’assurer que les différents dispositifs génèrent des mots de passe différents, puisque la clé est différente pour chaque appareil. Le paramètre variable, utilisé comme second facteur, permet de s’assurer que chaque appareil génère un mot de passe OTP différent à différents moments, de sorte qu’un OTP différent puisse être utilisé à chaque connexion avec un même périphérique. Trois types de paramètres variables peuvent être distingués : le temps, le compteur et la demande d’identité (challenge).
Si le paramètre appliqué est le temps, l’heure et la date sont utilisées comme paramètre variable. Après tout, ceux-ci sont uniques pour chaque génération OTP. Lorsque ce facteur temps est utilisé, une durée de validité peut facilement être déterminée côté serveur. Le dispositif d’authentification ou l’application d’authentification génère alors un mot de passe valide uniquement pendant une période de temps limitée (par exemple pendant 30 secondes).
Si le compteur est le paramètre variable, le compteur est augmenté d’une unité chaque fois que l’utilisateur appuie sur le bouton. Dans tous les cas, le dispositif d’authentification ou application et le serveur d’authentification sont synchronisés à chaque authentification réussie.
Dans le cas du mode d’authentification défi/réponse (challenge-response authentication), utilisé uniquement dans un contexte bancaire, l’utilisateur entre un numéro et reçoit une réponse sur ce point. Dans le même temps, le défi est envoyé au serveur pour empêcher qu’il soit utilisé une seconde fois. L’opération cryptographique est une opération de chiffrement par bloc s’appuyant sur les protocoles 3DES ou AES.
Difficile ? Cher ? Pas du tout !
La question qui se pose est de savoir pourquoi l’authentification forte n’est pas encore généralement déployée. La réponse est que le déploiement de l’authentification à deux facteurs est considéré comme difficile et coûteux. A tort. Avec d’autres, VASCO Data Security fournit un serveur d’authentification pouvant être intégré dans toutes les applications existantes, quel que soit le modèle de données ou l’architecture, le tout sans achat de matériel ou de logiciel supplémentaire. La polyvalence de cette application permet de s’assurer que l’authentification forte est déployée de façon rentable et sans trop de problèmes. Il est possible de relier le serveur aux applications à travers une API SOAP – une interface de programmation d’application. Un assistant d’installation guide l’utilisateur à travers le processus, étape par étape. Une installation en douceur et sans effort est ainsi garantie.
Différents packs et applications sont aussi disponibles sur le marché. Il existe des serveurs d’authentification plug-and-play qui simplifient le déploiement de l’authentification à deux facteurs de façon substantielle. Certains fournisseurs offrent aussi une solution d’authentification prête à l’emploi (off-the-shelf) qui inclue tous les logiciels et matériels nécessaires en un seul package clé en main.
Pour ceux qui pensent que l’intégration et le maintien des systèmes de sécurité posent trop de difficultés, il existe aussi une solution d’authentification dans le cloud. Chaque demande de connexion est simplement envoyée à un serveur de sécurité hébergé qui traite le processus d’authentification. En tant que client, vous n’avez pas plus à vous soucier de la disponibilité et de l’évolution de la solution. Des solutions modernes telles que le DIGIPASS as a Service vont même un peu plus loin et offrent un package de service complet, comprenant l’installation et l’activation des dispositifs d’authentification. Grâce à l’externalisation, le processus devient transparent pour l’utilisateur final. Le message, comme la conception du dispositif d’authentification, peuvent être personnalisés conformément aux souhaits du client. De cette façon, nous n’avons pas à réinventer la roue et pouvons nous concentrer sur nos activités principales. La solution est prête à utiliser, possède une évolutivité quasiment illimitée et seule la capacité utilisée doit être payée.
Un concept innovant
Une autre solution pratique est mydigipass.com. Cette plateforme hébergée destinée aux particuliers garantit un login sécurisé aux applications et services web grâce à l’utilisation de l’authentification forte et résout parfaitement la double question de la sécurité et de l’ergonomie. Ce service simplifie la gestion de ses mots de passe par l’utilisateur final. La plateforme fournit un environnement d’authentification unique (SSO) : une fois qu’un utilisateur d’Internet a ouvert une session sur mydigipass.com, il a accès à chaque application qui est enregistrée sur la plateforme. Il n’a qu’à se connecter une fois avec son mot de passe fort et l’accès sera accordé à l’ensemble de ses applications. En outre, le service offre un emplacement central permettant à l’utilisateur de stocker, mettre à jour et partager ses informations d’identification. Imaginez combien de fois nous avons à inscrire notre nom, date de naissance ou adresse pour nous enregistrer et créer un compte sur un nouveau service. Ces tracas relèvent du passé avec mydigipass.com. L’utilisateur lui-même dispose d’un parfait contrôle sur les informations qu’il souhaite partager. La plate-forme permet aussi aux utilisateurs de télécharger gratuitement une version mobile de l’application DIGIPASS qui génère de façon dynamique des mots de passe forts sur le téléphone de l’utilisateur final.