En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

L’approche de FIDO révèle une confusion entre identité et accès, dit MyCena

Publication: 25 mai

Partagez sur
 
La Fast Identity Online Alliance (FIDO), un groupe de sociétés technologiques comprenant Apple, Google et Microsoft a suggéré que le passage à une suppression complète des mots de passe pourrait se produire plus tôt que prévu...
 

FIDO travaille depuis près d’une décennie sur un système permettant aux utilisateurs de se connecter à leurs comptes en ligne via un protocole sans mot de passe généralement sous la forme d’un code PIN ou de données biométriques telles que les empreintes digitales, les scans de l’iris ou la reconnaissance vocale.

Au lieu d’utiliser des mots de passe, FIDO propose de les stocker sur votre appareil et sur le service de synchronisation cloud associé au système d’exploitation. Votre téléphone devient le point d’accès et l’accès est authentifié en saisissant le code PIN de votre téléphone ou en utilisant l’identification par empreinte digitale ou faciale. Cela réduirait la dépendance aux mots de passe et donnerait aux utilisateurs un moyen de garder leurs informations d’identification à portée de main lorsqu’ils se passent d’un appareil à l’autre.

Cette approche de FIDO devrait être mise en œuvre sur les plateformes de Apple, Google et Microsoft plus tard cette année. FIDO estime que cela fournira une meilleure protection que l’authentification multifacteur existente et une meilleure protection contre les attaques de phishing.

Julia O’Toole, fondatrice et PDG de MyCena Security Solutions, estime que le point de vue de FIDO sur les mots de passe est erroné et révèle une confusion profonde entre accès et identité, conséquence de la transition numérique.

« Dans le monde physique, la différence entre les applications est simple. Votre identité est utilisée pour vous identifier, par exemple lorsque vous traversez la frontière d’un pays. Il ne vous donne pas automatiquement accès, mais valide simplement que vous êtes qui vous dites être. En revanche, votre porte d’entrée ne reconnaît pas votre identité ; au lieu de cela, vous utilisez vos clés pour déverrouiller l’accès. Vous ne martelez pas vos clés avant de les utiliser, et pas de clé signifie simplement pas d’accès, peu importe qui vous êtes. En tout bon sens, les entreprises remettent les clés aux employés ayant besoin d’un accès et les reprennent lorsqu’ils partent. »

« En passant dans le monde numérique, les gens ont perdu leurs points de référence et ont commencé à mélanger les deux. Cela nous a conduit à l’insécurité numérique dans laquelle nous vivons actuellement. On a demandé aux gens de créer et de se souvenir de leurs propres mots de passe, ou d’utiliser leur identité. Dans les entreprises, les employés utilisent leur identité et créent leurs propres mots de passe pour ouvrir les portes du réseau, systèmes et données des entreprises. Tous les mots de passe sont ainsi exposés au vol, à la fraude, à la revente et au partage, ce qui les rend compromis par défaut. La perte de contrôle des accès est le plus gros problème pour la sécurité des entreprises. »

« La proposition de FIDO génère une liste de problèmes encore plus importants », déclare O’Toole. « Tout d’abord, après avoir passé un seul point d’accès via votre code PIN ou vos données biométriques, une attaque pourrait signifier la perte de tous vos comptes à la fois. Deuxièmement, si vos données biométriques simplement une chaîne de 0 et 1 sont volées, elles ne peuvent pas être remplacées et sont perdues à jamais, ce qui vous rend vulnérable au vol d’identité à perpétuité. Enfin, la proposition transformerait dans les faits toute personne marchant dans la rue avec un appareil mobile en portefeuille ambulant, attirant les agressions. Ces vols ont déjà commencé à Londres. Les agresseurs n’auront plus qu’à vous forcer à donner votre code PIN ou vos données biométriques pour voler tout ce que vous avez. »

« En revanche, les mots de passe ne sont que des clés et ont les mêmes propriétés que les clés physiques. Ils n’ont pas besoin d’être liés à l’identité d’un utilisateur et vous pouvez avoir autant que de clés que vous avez de portes. Ils n’ont pas besoin d’être mémorisés ou tapés. En fait, grâce au chiffrage de bout en bout au niveau organisationnel, ces mots de passe n’ont même pas besoin d’être connus par quiconque. »

« Lorsque les mots de passe sont utilisés comme clés, les organisations peuvent reprendre le contrôle de leur accès à leurs employés en créant et en distribuant simplement des mots de passe chiffrés uniques et forts à leurs employés. Ne connaissant aucun mot de passe, les individus évitent totalement les attaques intermédiaires comme le phishing des mots de passe. Il n’y a pas non plus de risque de mots de passe oubliés, puisque vous ne pouvez pas oublier un mot de passe que vous n’avez jamais connu en premier lieu. »

O’Toole conclut : « La proposition de FIDO vient d’un monde où les mots de passe ne sont pas utilisés comme ils devraient l’être. Les mots de passe ne sont que des clés numériques à remettre aux employés lorsqu’ils rejoignent l’entreprise et retirés lorsqu’ils partent, et non à fabriquer eux-mêmes. Éduquer les individus sur la différence entre identité et accès ferait une énorme différence dans la façon dont les gens protègent leur identité et leurs clés d’accès en ligne. De même, éduquer les organisations serait une première étape pour qu’elles retrouvent le contrôle de leurs accès. Cela déchargerait automatiquement leurs employés de la charge mentale de se souvenir des mots de passe et de la responsabilité de la sécurité de leur entreprise, qu’on n’aurait jamais dû leur confier en premier lieu. »

https://www.mycena.co/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: