Tribune Renaud Bidou – Sécurité IT : Veillez à changer vos empreintes !

AuthentificationSécuritéVirus
Renaud-Bidou-trend-micro

Une chronique libre de Renaud Bidou, Directeur Technique pour l’Europe du Sud chez Trend Micro (solutions de sécurité IT).

Le syndrome de Cassandre n’est ni un mythe ni un concept. C’est une réalité. Une dure réalité que nous vivons au quotidien.

Ainsi, la problématique des empreintes digitales comme moyen d’authentification a très rapidement été soulevée.

En effet, un des éléments de résistance des credentials est leur capacité à être modifiés régulièrement voir, à l’extrême, à chaque authentification. C’est ce que nous appelons les OTP (One Time Password). Et cela existe depuis le milieu des années 90.

La biométrie est, par essence, a l’opposé de ce concept et représente donc un moyen d’authentification dont la résistance s’affaiblit irrémédiablement au cours du temps. Simplement parce que la biométrie est un moyen d’identification et non d’authentification.

Cette confusion a, dans notre contexte, des conséquences non négligeables. Une fois volée, l’empreinte peut être réutilisée à l’envi pour s’authentifier ad vitam aeternam sur l’ensemble des terminaux qui y sont associés.

Cependant, l’authentification biométrique  répond  à d’autres critères que la sécurité : ergonomie, unicité et estime.

L’ergonomie est un facteur évident : nul besoin de mémoriser un mot de passe compliqué, de rentrer un code à 8 chiffres qui change toutes les minutes, d’utiliser une calculatrice ou de présenter une carte à puce que l’on a oubliée.

L’unicité peut apparaître comme un élément de sécurité (et il l’est) inhérent à la biométrie, car elle invalide de facto l’usage de comptes génériques. Ce n’est toutefois qu’un effet secondaire de la confusion  des notions d’authentification et d’identification.

L’estime enfin, car l’authentification par empreinte digitale est encore un acte inhabituel qui reste suffisamment  surprenant pour conférer à son utilisateur une image avant-gardiste.

Autant de critères qui satisfont tant les utilisateurs que les administrateurs, ce qui est suffisamment rare pour expliquer son adoption sans réelle résistance.

Ainsi, avec le temps et l’évolution des technologies sous-jacentes, ce qui était l’apanage des films d’anticipation et d’espionnage est devenu une réalité. Dans les entreprises d’abord, puis dans le grand public.

Génie tactique

L’adoption de la biométrie par le plus grand nombre s’est faite par le biais de l’iPhone 5 sorti en même temps que l’affaire Snowden.

En dépit de l’absence évidente de lien entre ces phénomènes, la bombe médiatique qu’a provoqué le second a largement contribué à la méfiance vis-à-vis du mode d’authentification biométrique proposé par le dernier né des smartphones d’Apple.

Une grossière erreur d’appréciation! Le risque n’est pas que la NSA accède à vos empreintes digitales, elle les a déjà… Est-il utile de rappeler que depuis 2002, toute personne entrant sur le sol des États-Unis est soumis à l’enregistrement de ses données biométriques ?

Non, le vrai risque est l’adoption massive de la biométrie comme moyen d’authentification valide aussi bien dans la sphère privée que professionnelle.

Car si vous aviez des mots de passe différents pour vos terminaux personnels et professionnels, vous n’avez plus aujourd’hui qu’une empreinte digitale unique pour l’ensemble de vos accès.

Un véritable SSO (Single Sign On) global et une cible de choix pour les hackers du monde entier.

Et c’est là que se situe le véritable génie tactique : attendre que la paranoïa anti-NSA retombe et attaquer là où on ne s’y attend pas.

Car l’offensive ne s’est pas concentrée sur iOS mais sur le système Android qui a discrètement intégré cette technologie quelques mois après Apple. Une offensive différée et à contre-pied, imparable !

C’est ainsi que des millions d’empreintes se sont retrouvées dans la nature, aux côtés des numéros de carte de crédits, accès bancaires et autres listes de clients de services d’escort girls.

Et ces empreintes digitales donnent accès à tous les systèmes sur lesquels elles ont été enregistrées, pour toujours.

Il ne reste aux victimes qu’à en changer.

Une chronique libre de Renaud Bidou, Directeur Technique pour l’Europe du Sud chez Trend Micro (solutions de sécurité IT).

Lire aussi :