Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Les mots de passe sont-ils obsolètes? Les alter...

Renaud Lifchitz
December 11, 2023
Research
0
84

Les mots de passe sont-ils obsolètes? Les alternatives pour un avenir sécurisé

Les mots de passe ont presque tous les inconvénients possibles : trop nombreux, trop complexes, souvent réutilisés, pénibles pour l'utilisateur à utiliser, à renouveler, ou à choisir en fonction de telle ou telle politique de sécurité, ils permettent très souvent pour les attaquants des réutilisations ("password spraying") et des vols d'identité multiples, un redoutable calvaire pour les utilisateurs…

La biométrie n'est probablement pas une solution, car en plus d'être vulnérable à certaines attaques par rejeu, elle force l'utilisateur qui souhaite utiliser un service anonymement à se dévoiler, et peut être utilisée pour recouper des données depuis plusieurs services en ligne, en plus de n'être aucunement remplaçable en cas de vol de données biométriques. Qui souhaite avoir ses données d'identification compromises à vie ?

Alors la solution repose-t-elle dans l'authentification à plusieurs facteurs (MFA) ? Les "One Time Password" (OTP) ? Les authentifications comportementales ? Est-il encore possible de les envisager sachant que ces solutions n'empêchent nullement les attaques par phishing, et que le phishing est aujourd'hui particulièrement répandu pour le vol d'identité ?

Par ailleurs, qu'apportent les clés USB de sécurité ? Les utilisateurs sont-ils prêts à utiliser des solutions matérielles pour s'authentifier partout ? Comment peuvent-ils gérer les pertes et les pannes ?

Que valent les "passkeys", ces nouvelles solutions sans mot de passe poussées notamment par Google et Apple ? Est-ce bien raisonnable de donner toutes les clés de notre vie numérique aux GAFAM, même lorsque des services tiers (ou publics) sont utilisés ?

Est-il encore possible d'avoir des solutions d'authentification sûres, respectueuses de la vie privée et indépendantes ? C'est ce que nous aborderons dans cette présentation !

Renaud Lifchitz

December 11, 2023
Tweet

More Decks by Renaud Lifchitz

See All by Renaud Lifchitz
Crypto hardware wallets security
rlifchitz
1
200
Bitcoin Lightning Network en pratique (v2)
rlifchitz
0
370
Blockchains dans la cybersécurité et cybersécurité des blockchains
rlifchitz
0
400
Bitcoin Lightning Network en pratique
rlifchitz
0
120
Cybersecurity Uses of Blockchains
rlifchitz
0
170
Age post-quantique : quels sont les risques, comment se préparer ?
rlifchitz
0
230
Debunking fake USB flash drives
rlifchitz
0
860
DIY DNA OSINT! or... how to enhance your social engineering skills using recent genomics
rlifchitz
0
1.3k
Ordinateurs quantiques et futur de la sécurité
rlifchitz
0
720

Other Decks in Research

See All in Research
RCEへの近道
kawakatz
1
800
機械学習による言語パフォーマンスの評価
langstat
6
670
Active Adaptive Experimental Design for Treatment Effect Estimation with Covariate Choices
masakat0
0
210
[第62回NLPコロキウム]「なりきり」を促すHCI設計:対話型接客ロボットの遠隔操作者へのリアルタイム変換音声フィードバックの適用
nami_ogawa
0
300
20240710_熊本県議会・熊本市議会_都市交通勉強会
trafficbrain
0
770
Language is primarily a tool for communication rather than thought
ryou0634
4
710
snlp2024_multiheadMoE
takase
0
410
「並列化時代の乱数生成」
abap34
3
780
Weekly AI Agents News! 8月号 論文のアーカイブ
masatoto
1
150
Generative Predictive Model for Autonomous Driving 第61回 コンピュータビジョン勉強会@関東 (後編)
kentosasaki
0
200
Weekly AI Agents News! 8月号 プロダクト/ニュースのアーカイブ
masatoto
1
170
Introducing Research Units of Matsuo-Iwasawa Laboratory
matsuolab
0
640

Featured

See All Featured
Fireside Chat
paigeccino
32
3k
Visualization
eitanlees
144
15k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
The Cost Of JavaScript in 2023
addyosmani
45
6.6k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Git: the NoSQL Database
bkeepers
PRO
425
64k
A Tale of Four Properties
chriscoyier
156
23k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k

Transcript

  1. Version 1.0 Classification Les mots de passe sont-ils obsolètes ?

    Les alternatives pour un avenir sécurisé Public Lundi de la cybersécurité , 11 décembre 2023 Renaud Lifchitz, Directeur Scientifique

  2. 2 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 Présentation de l’intervenant ➢ Expert en sécurité informatique, Directeur scientifique chez Holiseum ➢ Principales activités: ➢ Tests d’intrusion & audits de sécurité ➢ Recherche ➢ Formations & sensibilisations ➢ Centres d’intérêt : ➢ Sécurité des protocoles (authentification, cryptographie, fuites d’information, preuves à divulgation nulle de connaissance...) ➢ Théorie des nombres (factorisation, tests de primalité, courbes elliptiques...)

  3. 3 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 HOLISEUM Pure Player de la Cybersécurité des infrastructures critiques et industrielles CHIFFRES-CLÉS De dépenses investies en R&D 2018 Création de Holiseum 40 Collaborateurs 20% Continents couverts avec ¼ du CA réalisé à l’international 5 Innovation & disruption Excellence & expertise Vision & approche à 360° de la sécurité Légitimité issue des expériences terrain Scalabilité & efficience opérationnelle NOTRE ADN Conseil & services Éducation & formations Édition logicielle 3 PILIERS RÉFÉRENCES

  4. 4 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 QUALIFICATIONS & RÉFÉRENCEMENTS Qualification PASSI* sur les 5 portées Sélection pour la phase expérimentale PACS** Référencement par France Relance (audits & remédiation) Statut de Jeune Entreprise Innovante SECTEURS D’ACTIVITÉ Maritime Finance Autres Luxe Energie *PASSI : Prestataire d’Audit de Sécurité des Systèmes d’Information **PACS : Prestataire d’Accompagnement et de Conseil en Sécurité des systèmes d’information CHIFFRES-CLÉS Audits 360 réalisés 1er Tir à Blanc de Ransomware® du marché 3 Distinctions remportées pour nos solutions innovantes +150 Pentests / an effectués +250 HOLISEUM Pure Player de la Cybersécurité des infrastructures critiques et industrielles HOLISEUM EST MEMBRE DE

  5. 5 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 1. Hier 2. Aujourd’hui 3. Demain Les mots de passe sont-ils obsolètes ? Sommaire

  6. Hier : Identification et confiance par défaut 01

  7. 7 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 01. Hier… ➢ Réseaux de confiance : collègues, utilisateurs avertis, … ➢ Accès basé sur la connaissance du système ➢ Accès à un périmètre physique/logique suffisant (comme le « shadow IT » aujourd’hui) ➢ « Sécurité par l’obscurité » ➢ Identification plutôt qu’authentification ➢ Déclarer plutôt que prouver : principe de la photo du porteur sur un badge porté ➢ Toujours le cas de pas mal de systèmes : ➢ Cartes RFID LF (« Low Frequency ») très souvent utilisées pour leur identifiant censé être unique : ex. HID Classic ➢ ou certaines cartes RFID HF/NFC avec une authentification utilisant une cryptographie faible (= faciles à dupliquer) : ➢ Clés par défaut ➢ Rétrocompatibilité : downgrade de la sécurité ➢ Mauvaise utilisation des fonctions de sécurité ❖ Déclaratif ≠ « Zero Trust »

  8. Aujourd’hui : Transition entre complexité et interopérabilité 02

  9. 9 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les fameux mots de passe ➢ Avantages : ➢ Compatibilité universelle sur la plupart des périphériques ➢ Inconvénients : ➢ Trop nombreux ➢ Nécessité d’être suffisamment complexes sinon faciles à bruteforcer en ligne ou hors ligne ➢ Nécessité d’être différents par service, souvent réutilisés en pratique : « password reuse » / « password spraying » / « credential stuffing » ➢ Nécessité de se souvenir et/ou centraliser ses mots de passe utilisés ➢ Nécessité de restauration de temps en temps des mots de passe oubliés avec les risques associés (phishing, sécurité du compte mail, …) ➢ Partiellement nominatif à cause du login (pseudo, adresse mail) ➢ Croisements possibles de données utilisateurs par les fournisseurs de service par login/mail ➢ Utiliser des mots de passe est donc non sécurisé pour beaucoup de raisons et coûteux en temps

  10. 10 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Authentification forte « traditionnelle » (1/2) ➢ Avantages : ➢ En principe plus difficile à attaquer ➢ Inconvénients : ➢ Certaine lourdeur pour l’utilisateur ➢ Les SMS utilisés sont assez facilement piratables (peu ou pas chiffrés « on air », « SIM swapping ») ➢ La boîte mail utilisée peut avoir été piratée ➢ Contournement presque tout autant facile pour l’attaquant par vol de session (cookies notamment) ➢ Vulnérabilité au phishing ➢ « MFA fatigue » ➢ Nombreux outils de vols existants : OTP-Bot, telbot-otp, SMSBotBypass, SMSBypass, …

  11. 11 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Authentification forte « traditionnelle » (2/2)

  12. 12 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Biométrie (1/2) ➢ Avantages : ➢ On l’a toujours sur soi, impossible à oublier ➢ Plutôt unique et fiable : une empreinte digitale a moins d’une chance sur 1 milliard d’être identique, y compris pour de vrais jumeaux (National Forensic Science Technology Center) ➢ Inconvénients : ➢ Inchangeable : compromission à vie ➢ La plupart du temps rejouable ➢ Implémentations parfois mauvaises (notamment car traces partielles) ➢ Règlementé en Europe ➢ Sensible aux accidents de la vie : ➢ Que se passe-t-il si on perd des doigts, la main, un bras ? ➢ Reconnaissance vocale : un rhume suffit à la rendre inopérante, les outils d’IA ➢ Reconnaissance faciale : les outils d’IA permettent de générer autant de photos et vidéos que souhaité ➢ L’intelligence artificielle rend quasi-inopérants les procédures de KYC (« Know Your Customer »)

  13. 13 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Biométrie (2/2)

  14. 14 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les SSO ➢ « Single Sign On » ➢ Bouton « Se connecter avec » … ➢ Propriétaires : Google, Apple, Facebook, … ➢ Open source : OpenID ➢ Inconvénients : ➢ Disponibilité : complexe car service très centralisé ➢ Donne un privilège incroyable à ces services ➢ Rend encore plus « valuable » les comptes

  15. 15 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (1/3) ➢ En français : « clés d’accès » ? ➢ Développés par l’Alliance FIDO : Google, Apple, Microsoft, Samsung, Amazon, Meta, … ➢ 2 principes (authentification forte) : ➢ Reconnaissance de l’appareil : ➢ A l’enrôlement : clé privée générée dans l’appareil, clé publique complémentaire dans le service ou l’application ➢ Reconnaissance de l’utilisateur : ➢ Déverrouillage biométrique, code PIN, schéma, … ➢ Avantages : ➢ Authentification forte ➢ Simplicité pour l’utilisateur ➢ Protège contre la plupart des attaques par phishing (dépend de l’implémentation)

  16. 16 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (2/3) ➢ Inconvénients : ➢ Compatibilité faible : peu d’applications compatibles ➢ Interopérabilité : quasi nulle à l’heure actuelle (migration difficile, parfois par QR code) ➢ Frictions pour des utilisateurs sur plusieurs écosystèmes : Android/iOS/Microsoft ➢ Travail en cours sur des normes d’interopérabilité ➢ Difficulté/impossibilité à sauvegarder, complexité en cas de perte/dommage du périphérique ➢ Forte liaison au service cloud du provider/périphérique pour ce qui est de la sauvegarde ➢ Disponibilité : importante dépendance au périphérique d’authentification

  17. 17 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (3/3)

  18. Demain : l’identité réappropriée par les utilisateurs ? 03

  19. 19 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. Une tendance qui s’esquisse ? ➢ Dé-GAFA-isation des accès ? ➢ Réappropriation par l’utilisateur de son identité : l’idée est de conserver tous les secrets côté utilisateur ➢ Avantages : ➢ Choix des données personnelles partagées ? (chiffrement par attributs) ➢ Décentralisation des secrets d’authentification : ➢ Meilleur pour la disponibilité ➢ Évite les fuites de données massives d’authentification ➢ Inconvénients : ➢ C’est à l’utilisateur de faire des sauvegardes ou d’utiliser des solutions de restauration…

  20. 20 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (1/4) ➢ Protocole ouvert et inviolé ➢ Protocole hors chaîne, utilisé avec Bitcoin Lightning ➢ Spécifications LNURL-AUTH ouvertes et simples : https://github.com/fiatjaf/lnurl-rfc/blob/legacy/lnurl-auth.md ➢ Aucune confiance à accorder à un tiers ➢ Secrets résident sur le périphérique client ➢ Exemple : https://lightninglogin.live/ L’utilisateur se rend sur l’application souhaitée L’utilisateur se voit présenter un QR code à l’écran L’utilisateur lance l’application d’authentification sur son smartphone et scanne le QR code présenté avec son appareil photo L’utilisateur tape sur « Confirmer » et est immédiatement authentifié L’application mobile présente l’identité de l’application qui souhaite l’authentification 1 4 3 2 5 CINEMATIQUE

  21. 21 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (2/4)

  22. 22 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (3/4)

  23. 23 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (4/4) ➢Avantages : ➢ Sécurité : ➢ Authentification forte tout en conservant une facilité et une fluidité d’usage ➢ Protection totale contre le phishing ➢ Le secret peut être enfoui dans une enclave sécurisée du téléphone, garantie par le constructeur ➢ Sans tierce partie de confiance contrairement à de nombreuses solutions concurrentes (portes dérobées possibles) ➢ Pérennité : ➢ Compatible avec tous les smartphones avec appareil photo ➢ Standard ouvert contrairement à de nombreuses solutions concurrentes ➢ Vie privée et conformité : ➢ Aucune donnée personnelle partagée implicitement entre l’utilisateur et l’application ➢ Une identité différente entre applications utilisées, non recoupable par des moyens techniques ➢Inconvénients : ➢ Tous les secrets sont et restent côté client : sauvegarde à la charge de l’utilisateur

  24. 24 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. Social recovery ➢ Vient pallier les problème de sauvegardes de secrets côté client ➢ Plusieurs « gardiens » (>= 3) choisis par l’utilisateur ➢ Signature d’une majorité de gardiens pour changer la clé privée de signature de l’utilisateur ➢ Wallets : Argent wallet, Loopring wallet ➢ Principe d’ « account abstraction » sur la blockchain Ethereum (EIP-4337) ➢ On attend la démocratisation de ce principe qui permettra une totale réappropriation de son identité par l’utilisateur

  25. Holiseum | SAS au capital de 10.000€ | RCS Paris

    841 088 024 | n°TVA FR 77 841088024 | 9-11 Allée de l’Arche | Tour Egée, 92400 Paris La Défense www.holiseum.com Faïz DJELLOULI Président & Co-Fondateur +33 6 69 72 29 64 | [email protected] An NGUYEN Directeur Général & Co-Fondateur +33 6 98 84 39 97 | [email protected] Holiseum est membre de Hexatrust, groupement français de la Cybersécurité et du Cloud de confiance Questions & réponses ! [email protected]