Salut c’est Val, bienvenue dans ce nouvel article. Aujourd’hui, dans cette vidéo, je vais vous montrer comment vous protéger grâce aux mots de passe en cybersécurité. Je vous expliquerai également pas à pas le fonctionnement des solutions de sécurité qui vont vous permettre de vous protéger.
Avant de commencer, jetons un rapide coup d’œil à l’histoire du mot de passe et à la création des différentes solutions de sécurité qui ont permis de résoudre le problème du mot de passe.
L’histoire des mots de passe
Est-ce que vous vous êtes déjà demandé s’il y avait une meilleure solution que de retenir vos mots de passe par la connaissance ?
L’idée du mot de passe a émergé au MIT en 1960 avec Fernando Corbató. À cette époque, le CTSS, Compatible Time Sharing System, était un système d’exploitation à usage général qui a introduit le multithreading et a permis à des terminaux séparés d’accéder à un ordinateur central partagé. C’était d’ailleurs le premier système à proposer un courrier électronique entre utilisateurs. Les utilisateurs avaient leur propre ensemble de fichiers et afin de protéger ces données privées, Fernando Corbató a introduit le mot de passe.
Au fur et à mesure que les ordinateurs devenaient de plus en plus accessibles au grand public, notamment via l’introduction de l’ordinateur personnel, les mots de passe devenaient de plus en plus exposés sur le Web, car comme vous le savez, ils reposent sur une authentification faible. C’est pourquoi, les chercheurs se sont réunis et ont commencé à proposer des solutions « sans mot de passe » que nous appelons aussi plus généralement en anglais le « passwordless ».
Le passwordless
Les tentatives pour résoudre ce problème de passwordless sont nombreuses. Nous pouvons aujourd’hui citer la clef Yubikey ou encore SecurID qui sont des porte-clés physiques pour l’utilisation d’un mot de passe unique généralement connu sous le nom de OTP pour One-Time Password. Cette dernière permet de générer une chaîne de caractères alphanumériques qui ne peut être utilisée qu’une seule fois.
Puis, dans les années 1990, des chercheurs ont proposé l’idée d’une authentification unique que nous appellerons l’authentification SSO pour Single Sign-On. L’authentification SSO élimine l’utilisation d’un mot de passe par application et authentifie un utilisateur sur tout un réseau d’applications.
L’authentification multi-facteur (MFA)
Au milieu des années 2000, une méthodologie de passwordless a été développée telle que l’authentification multi-facteur où il était nécessaire de fournir deux ou plusieurs facteurs d’authentification.
Qu’est-ce qui existe à ce jour pour protéger ses données personnelles sur internet ?
Je vous en ai parlé dans une précédente vidéo, et si vous ne l’avez pas vue, je vous recommande fortement d’aller la voir. Dans cette même vidéo, je vous présentais une solution de sécurité : les gestionnaires de mot de passe pouvant être couplés à une technologie d’authentification que nous appellerons le « MFA » pour Multi-Factor Authentication, comprenez en français : authentification par facteurs multiples. Vous l’utilisez tous les jours, notamment quand vous vous connectez à un site e-commerce : par exemple, avec les informations de votre compte, vous recevez généralement un code par sms pour confirmer l’authentification auprès du serveur. Ce procédé est tout simplement ce que nous appelons l’authentification multi-facteur (MFA). Cependant, elle dispose aussi de ses faiblesses.
Les vulnérabilités de ces technologies
Maintenant, même si vous détenez un mot de passe très complexe et très fort, eh bien rien n’empêche sa divulgation sur internet car la vulnérabilité première pour un système d’information est tout simplement l’être humain. Par exemple, dans une technique d’attaque via Spyware (le logiciel « espion »), si un attaquant installe un keylogger (un enregistreur de frappe), il peut retenir ce que vous tapez sur votre clavier et donc forcément retenir ce mot de passe maître qui permettra d’accéder à tous les mots de passe de votre gestionnaire de mots de passe.
Les solutions à l’usage des mots de passe : la cryptographie asymétrique
Pour cela, les grandes entreprises de la tech, comme Apple avec la solution passkeys, se sont penché sur le sujet et dans cette vidéo, je vais vous montrer le fonctionnement de leur solution qui reste encore très méconnue du grand public.
Entrez dès à présent dans la solution de sécurité FIDO2.
FIDO, qui signifie Fast Identity Online, est une association industrielle dont la mission est de réduire la dépendance mondiale aux mots de passe. Avec l’organisme de standardisation ou World Wide Web Consortium (W3C), ces groupes visent à améliorer la sécurité, la commodité ainsi que l’évolution des services d’authentification en ligne. L’authentification FIDO est basée sur ce que nous appelons la cryptographie à clé publique.
Nous allons avoir deux utilisateurs : l’utilisateur A et l’utilisateur B.
L’utilisateur A va vouloir envoyer le message « rejoins le Cyberinstitut ! » à l’utilisateur B. Pour ce faire, l’utilisateur B va envoyer sa clé publique à l’utilisateur A. Ce qui va permettre par la suite de lui chiffrer le message et de le lui renvoyer. Une fois que le message aura atteint l’utilisateur B, ce dernier va utiliser sa clé privée pour pouvoir déchiffrer le message et retrouver le message original.
Le modèle de FIDO2 est très similaire à celui de la clé publique, puisqu’un utilisateur qui souhaite créer un compte sur un site web va créer une paire de clés privées publiques sur son appareil (comme un iPhone). L’utilisateur enverra alors sa clé publique au serveur et conservera sa clé privée sur son appareil. Pour authentifier l’utilisateur, l’appareil utilisera sa clé privée stockée localement. Enfin, les clefs privées ne peuvent être déverrouillées que par une empreinte digitale ou encore la reconnaissance faciale.
Il est à retenir qu’aucune des solutions ne sera sécurisée à 100 %, notamment avec FIDO2, puisque des questions se posent encore sur le stockage de la clé privée. En effet, les grands géants de la tech voudraient les stocker directement dans le cloud et c’est pourquoi des questions de sécurité se posent à ce niveau-là. Si demain vous souhaitez par exemple garder votre clé privée uniquement sur votre iPhone stockée localement, comment cela se passera-t-il ? Dans ce cas précis, vous casserez votre téléphone pour récupérer cette clé.
Cependant, l’entreprise du projet FIDO2 est un pas dans la bonne direction pour la suppression des mots de passe par connaissance. Je souhaiterais notamment que vous participiez à ce débat directement en commentaire ou en me contactant via mon adresse mail pour savoir si oui ou non les mots de passe vont continuer à exister ou s’ils seront voués à disparaître à l’avenir.
Pour aller plus loin sur le sujet …
J’espère que vous aurez appris de nouvelles choses sur le domaine de la cybersécurité. Si vous souhaitez en apprendre un peu plus dans le domaine de la théorie, je vous recommande de vous orienter vers les articles du Cyberinstitut et si vous souhaitez passer un cap et mettre directement un pas dans la pratique, je vous recommande notre article sur la programmation en cybersécurité qui sont également disponibles sur le Cyberinstitut.
Je vous souhaite une très bonne continuation. C’était Val. Ciao, ciao.
Ressources mentionnées dans l’article :
1) Comment les clés FIDO vont accélérer un futur sans mot de passe : https://www.journaldunet.com/solutions/dsi/1514621-comment-les-cles-fido-vont-accelerer-un-futur-sans-mot-de-passe/
2) L’authentification FIDO : https://fidoalliance.org/fido2/
3) Passkeys de Apple :https://developer.apple.com/passkeys/
