Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Les mots de passe sont-ils obsolètes? Les alter...

Renaud Lifchitz
December 11, 2023
Research
0
88

Les mots de passe sont-ils obsolètes? Les alternatives pour un avenir sécurisé

Les mots de passe ont presque tous les inconvénients possibles : trop nombreux, trop complexes, souvent réutilisés, pénibles pour l'utilisateur à utiliser, à renouveler, ou à choisir en fonction de telle ou telle politique de sécurité, ils permettent très souvent pour les attaquants des réutilisations ("password spraying") et des vols d'identité multiples, un redoutable calvaire pour les utilisateurs…

La biométrie n'est probablement pas une solution, car en plus d'être vulnérable à certaines attaques par rejeu, elle force l'utilisateur qui souhaite utiliser un service anonymement à se dévoiler, et peut être utilisée pour recouper des données depuis plusieurs services en ligne, en plus de n'être aucunement remplaçable en cas de vol de données biométriques. Qui souhaite avoir ses données d'identification compromises à vie ?

Alors la solution repose-t-elle dans l'authentification à plusieurs facteurs (MFA) ? Les "One Time Password" (OTP) ? Les authentifications comportementales ? Est-il encore possible de les envisager sachant que ces solutions n'empêchent nullement les attaques par phishing, et que le phishing est aujourd'hui particulièrement répandu pour le vol d'identité ?

Par ailleurs, qu'apportent les clés USB de sécurité ? Les utilisateurs sont-ils prêts à utiliser des solutions matérielles pour s'authentifier partout ? Comment peuvent-ils gérer les pertes et les pannes ?

Que valent les "passkeys", ces nouvelles solutions sans mot de passe poussées notamment par Google et Apple ? Est-ce bien raisonnable de donner toutes les clés de notre vie numérique aux GAFAM, même lorsque des services tiers (ou publics) sont utilisés ?

Est-il encore possible d'avoir des solutions d'authentification sûres, respectueuses de la vie privée et indépendantes ? C'est ce que nous aborderons dans cette présentation !

Renaud Lifchitz

December 11, 2023
Tweet

More Decks by Renaud Lifchitz

See All by Renaud Lifchitz
Bitcoin Lightning Network en pratique
rlifchitz
0
9
Crypto hardware wallets security
rlifchitz
1
210
Blockchains dans la cybersécurité et cybersécurité des blockchains
rlifchitz
0
410
Bitcoin Lightning Network en pratique
rlifchitz
0
120
Cybersecurity Uses of Blockchains
rlifchitz
0
180
Age post-quantique : quels sont les risques, comment se préparer ?
rlifchitz
0
240
Debunking fake USB flash drives
rlifchitz
0
860
DIY DNA OSINT! or... how to enhance your social engineering skills using recent genomics
rlifchitz
0
1.3k
Ordinateurs quantiques et futur de la sécurité
rlifchitz
0
720

Other Decks in Research

See All in Research
12
0325
0
190
Weekly AI Agents News! 7月号 論文のアーカイブ
masatoto
1
220
クロスセクター効果研究会 熊本都市交通リノベーション~「車1割削減、渋滞半減、公共交通2倍」の実現へ~
trafficbrain
0
250
尺度開発における質的研究アプローチ(自主企画シンポジウム7:認知行動療法における尺度開発のこれから)
litalicolab
0
350
20240918 交通くまもとーく 未来の鉄道網編(こねくま)
trafficbrain
0
230
VisFocus: Prompt-Guided Vision Encoders for OCR-Free Dense Document Understanding
sansan_randd
1
240
システムから変える 自分と世界を変えるシステムチェンジの方法論 / Systems Change Approaches
dmattsun
3
860
テキストマイニングことはじめー基本的な考え方からメディアディスコース研究への応用まで
langstat
1
120
LiDARとカメラのセンサーフュージョンによる点群からのノイズ除去
kentaitakura
0
130
非ガウス性と非線形性に基づく統計的因果探索
sshimizu2006
0
360
言語と数理の交差点:テキストの埋め込みと構造のモデル化 (IBIS 2024 チュートリアル)
yukiar
3
730
20240820: Minimum Bayes Risk Decoding for High-Quality Text Generation Beyond High-Probability Text
de9uch1
0
120

Featured

See All Featured
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Rails Girls Zürich Keynote
gr2m
94
13k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Gamification - CAS2011
davidbonilla
80
5k
Code Reviewing Like a Champion
maltzj
520
39k
Embracing the Ebb and Flow
colly
84
4.5k
Producing Creativity
orderedlist
PRO
341
39k
Scaling GitHub
holman
458
140k

Transcript

  1. Version 1.0 Classification Les mots de passe sont-ils obsolètes ?

    Les alternatives pour un avenir sécurisé Public Lundi de la cybersécurité , 11 décembre 2023 Renaud Lifchitz, Directeur Scientifique

  2. 2 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 Présentation de l’intervenant ➢ Expert en sécurité informatique, Directeur scientifique chez Holiseum ➢ Principales activités: ➢ Tests d’intrusion & audits de sécurité ➢ Recherche ➢ Formations & sensibilisations ➢ Centres d’intérêt : ➢ Sécurité des protocoles (authentification, cryptographie, fuites d’information, preuves à divulgation nulle de connaissance...) ➢ Théorie des nombres (factorisation, tests de primalité, courbes elliptiques...)

  3. 3 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 HOLISEUM Pure Player de la Cybersécurité des infrastructures critiques et industrielles CHIFFRES-CLÉS De dépenses investies en R&D 2018 Création de Holiseum 40 Collaborateurs 20% Continents couverts avec ¼ du CA réalisé à l’international 5 Innovation & disruption Excellence & expertise Vision & approche à 360° de la sécurité Légitimité issue des expériences terrain Scalabilité & efficience opérationnelle NOTRE ADN Conseil & services Éducation & formations Édition logicielle 3 PILIERS RÉFÉRENCES

  4. 4 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 QUALIFICATIONS & RÉFÉRENCEMENTS Qualification PASSI* sur les 5 portées Sélection pour la phase expérimentale PACS** Référencement par France Relance (audits & remédiation) Statut de Jeune Entreprise Innovante SECTEURS D’ACTIVITÉ Maritime Finance Autres Luxe Energie *PASSI : Prestataire d’Audit de Sécurité des Systèmes d’Information **PACS : Prestataire d’Accompagnement et de Conseil en Sécurité des systèmes d’information CHIFFRES-CLÉS Audits 360 réalisés 1er Tir à Blanc de Ransomware® du marché 3 Distinctions remportées pour nos solutions innovantes +150 Pentests / an effectués +250 HOLISEUM Pure Player de la Cybersécurité des infrastructures critiques et industrielles HOLISEUM EST MEMBRE DE

  5. 5 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 1. Hier 2. Aujourd’hui 3. Demain Les mots de passe sont-ils obsolètes ? Sommaire

  6. Hier : Identification et confiance par défaut 01

  7. 7 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 01. Hier… ➢ Réseaux de confiance : collègues, utilisateurs avertis, … ➢ Accès basé sur la connaissance du système ➢ Accès à un périmètre physique/logique suffisant (comme le « shadow IT » aujourd’hui) ➢ « Sécurité par l’obscurité » ➢ Identification plutôt qu’authentification ➢ Déclarer plutôt que prouver : principe de la photo du porteur sur un badge porté ➢ Toujours le cas de pas mal de systèmes : ➢ Cartes RFID LF (« Low Frequency ») très souvent utilisées pour leur identifiant censé être unique : ex. HID Classic ➢ ou certaines cartes RFID HF/NFC avec une authentification utilisant une cryptographie faible (= faciles à dupliquer) : ➢ Clés par défaut ➢ Rétrocompatibilité : downgrade de la sécurité ➢ Mauvaise utilisation des fonctions de sécurité ❖ Déclaratif ≠ « Zero Trust »

  8. Aujourd’hui : Transition entre complexité et interopérabilité 02

  9. 9 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les fameux mots de passe ➢ Avantages : ➢ Compatibilité universelle sur la plupart des périphériques ➢ Inconvénients : ➢ Trop nombreux ➢ Nécessité d’être suffisamment complexes sinon faciles à bruteforcer en ligne ou hors ligne ➢ Nécessité d’être différents par service, souvent réutilisés en pratique : « password reuse » / « password spraying » / « credential stuffing » ➢ Nécessité de se souvenir et/ou centraliser ses mots de passe utilisés ➢ Nécessité de restauration de temps en temps des mots de passe oubliés avec les risques associés (phishing, sécurité du compte mail, …) ➢ Partiellement nominatif à cause du login (pseudo, adresse mail) ➢ Croisements possibles de données utilisateurs par les fournisseurs de service par login/mail ➢ Utiliser des mots de passe est donc non sécurisé pour beaucoup de raisons et coûteux en temps

  10. 10 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Authentification forte « traditionnelle » (1/2) ➢ Avantages : ➢ En principe plus difficile à attaquer ➢ Inconvénients : ➢ Certaine lourdeur pour l’utilisateur ➢ Les SMS utilisés sont assez facilement piratables (peu ou pas chiffrés « on air », « SIM swapping ») ➢ La boîte mail utilisée peut avoir été piratée ➢ Contournement presque tout autant facile pour l’attaquant par vol de session (cookies notamment) ➢ Vulnérabilité au phishing ➢ « MFA fatigue » ➢ Nombreux outils de vols existants : OTP-Bot, telbot-otp, SMSBotBypass, SMSBypass, …

  11. 11 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Authentification forte « traditionnelle » (2/2)

  12. 12 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Biométrie (1/2) ➢ Avantages : ➢ On l’a toujours sur soi, impossible à oublier ➢ Plutôt unique et fiable : une empreinte digitale a moins d’une chance sur 1 milliard d’être identique, y compris pour de vrais jumeaux (National Forensic Science Technology Center) ➢ Inconvénients : ➢ Inchangeable : compromission à vie ➢ La plupart du temps rejouable ➢ Implémentations parfois mauvaises (notamment car traces partielles) ➢ Règlementé en Europe ➢ Sensible aux accidents de la vie : ➢ Que se passe-t-il si on perd des doigts, la main, un bras ? ➢ Reconnaissance vocale : un rhume suffit à la rendre inopérante, les outils d’IA ➢ Reconnaissance faciale : les outils d’IA permettent de générer autant de photos et vidéos que souhaité ➢ L’intelligence artificielle rend quasi-inopérants les procédures de KYC (« Know Your Customer »)

  13. 13 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Biométrie (2/2)

  14. 14 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les SSO ➢ « Single Sign On » ➢ Bouton « Se connecter avec » … ➢ Propriétaires : Google, Apple, Facebook, … ➢ Open source : OpenID ➢ Inconvénients : ➢ Disponibilité : complexe car service très centralisé ➢ Donne un privilège incroyable à ces services ➢ Rend encore plus « valuable » les comptes

  15. 15 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (1/3) ➢ En français : « clés d’accès » ? ➢ Développés par l’Alliance FIDO : Google, Apple, Microsoft, Samsung, Amazon, Meta, … ➢ 2 principes (authentification forte) : ➢ Reconnaissance de l’appareil : ➢ A l’enrôlement : clé privée générée dans l’appareil, clé publique complémentaire dans le service ou l’application ➢ Reconnaissance de l’utilisateur : ➢ Déverrouillage biométrique, code PIN, schéma, … ➢ Avantages : ➢ Authentification forte ➢ Simplicité pour l’utilisateur ➢ Protège contre la plupart des attaques par phishing (dépend de l’implémentation)

  16. 16 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (2/3) ➢ Inconvénients : ➢ Compatibilité faible : peu d’applications compatibles ➢ Interopérabilité : quasi nulle à l’heure actuelle (migration difficile, parfois par QR code) ➢ Frictions pour des utilisateurs sur plusieurs écosystèmes : Android/iOS/Microsoft ➢ Travail en cours sur des normes d’interopérabilité ➢ Difficulté/impossibilité à sauvegarder, complexité en cas de perte/dommage du périphérique ➢ Forte liaison au service cloud du provider/périphérique pour ce qui est de la sauvegarde ➢ Disponibilité : importante dépendance au périphérique d’authentification

  17. 17 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (3/3)

  18. Demain : l’identité réappropriée par les utilisateurs ? 03

  19. 19 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. Une tendance qui s’esquisse ? ➢ Dé-GAFA-isation des accès ? ➢ Réappropriation par l’utilisateur de son identité : l’idée est de conserver tous les secrets côté utilisateur ➢ Avantages : ➢ Choix des données personnelles partagées ? (chiffrement par attributs) ➢ Décentralisation des secrets d’authentification : ➢ Meilleur pour la disponibilité ➢ Évite les fuites de données massives d’authentification ➢ Inconvénients : ➢ C’est à l’utilisateur de faire des sauvegardes ou d’utiliser des solutions de restauration…

  20. 20 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (1/4) ➢ Protocole ouvert et inviolé ➢ Protocole hors chaîne, utilisé avec Bitcoin Lightning ➢ Spécifications LNURL-AUTH ouvertes et simples : https://github.com/fiatjaf/lnurl-rfc/blob/legacy/lnurl-auth.md ➢ Aucune confiance à accorder à un tiers ➢ Secrets résident sur le périphérique client ➢ Exemple : https://lightninglogin.live/ L’utilisateur se rend sur l’application souhaitée L’utilisateur se voit présenter un QR code à l’écran L’utilisateur lance l’application d’authentification sur son smartphone et scanne le QR code présenté avec son appareil photo L’utilisateur tape sur « Confirmer » et est immédiatement authentifié L’application mobile présente l’identité de l’application qui souhaite l’authentification 1 4 3 2 5 CINEMATIQUE

  21. 21 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (2/4)

  22. 22 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (3/4)

  23. 23 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (4/4) ➢Avantages : ➢ Sécurité : ➢ Authentification forte tout en conservant une facilité et une fluidité d’usage ➢ Protection totale contre le phishing ➢ Le secret peut être enfoui dans une enclave sécurisée du téléphone, garantie par le constructeur ➢ Sans tierce partie de confiance contrairement à de nombreuses solutions concurrentes (portes dérobées possibles) ➢ Pérennité : ➢ Compatible avec tous les smartphones avec appareil photo ➢ Standard ouvert contrairement à de nombreuses solutions concurrentes ➢ Vie privée et conformité : ➢ Aucune donnée personnelle partagée implicitement entre l’utilisateur et l’application ➢ Une identité différente entre applications utilisées, non recoupable par des moyens techniques ➢Inconvénients : ➢ Tous les secrets sont et restent côté client : sauvegarde à la charge de l’utilisateur

  24. 24 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. Social recovery ➢ Vient pallier les problème de sauvegardes de secrets côté client ➢ Plusieurs « gardiens » (>= 3) choisis par l’utilisateur ➢ Signature d’une majorité de gardiens pour changer la clé privée de signature de l’utilisateur ➢ Wallets : Argent wallet, Loopring wallet ➢ Principe d’ « account abstraction » sur la blockchain Ethereum (EIP-4337) ➢ On attend la démocratisation de ce principe qui permettra une totale réappropriation de son identité par l’utilisateur

  25. Holiseum | SAS au capital de 10.000€ | RCS Paris

    841 088 024 | n°TVA FR 77 841088024 | 9-11 Allée de l’Arche | Tour Egée, 92400 Paris La Défense www.holiseum.com Faïz DJELLOULI Président & Co-Fondateur +33 6 69 72 29 64 | [email protected] An NGUYEN Directeur Général & Co-Fondateur +33 6 98 84 39 97 | [email protected] Holiseum est membre de Hexatrust, groupement français de la Cybersécurité et du Cloud de confiance Questions & réponses ! [email protected]