Apple

MobileIron, Google et d'autres travaillent pour supprimer les mots de passe

Par Maximus , le 4 juin 2019 - 13 minutes de lecture

Si je m'approchai de vous et vous disais que vous ne deviez plus jamais entrer un mot de passe pour vous connecter, vous pourriez me jeter dans les bras et agir comme si c'était le V-J Day de 1945 à Times Square. Les mots de passe sont la pierre angulaire de nos huîtres numériques, et toute la friction de les créer avec des règles arbitraires et obsolètes, de les mémoriser ou de les gérer, de les modifier selon un calendrier et de les saisir parfaitement ne forme malheureusement jamais une perle.

C'est pourquoi la société de sécurité d'entreprise MobileIron a mis à niveau sa gamme de produits d'authentification pour permettre aux responsables informatiques de supprimer le mot de passe, en s'appuyant sur des périphériques mobiles pour ce qu'elle appelle un accès «zéro connexion». La société s'appuie sur les fonctionnalités de sécurité du matériel moderne couplées à d'autres signaux pour créer un identifiant de connexion sans mot de passe aussi sécurisé que celui avec un mot de passe.

Pour l'instant, MobileIron est à l'avant-garde du virage des mots de passe. Mais le mouvement est loin d’être aussi radical que cela puisse paraître, et d’autres sociétés travaillent sur des technologies permettant de donner aux applications grand public et aux sites Web une sécurité accrue nécessitant moins de travail de notre part. Si le mot de passe est sur le point de disparaître, sa mort sera tout aussi agréable que vous l’attendiez.

La technologie des années 1960, les défis du 21ème siècle

Le mot de passe est devenu presque par accident le quantum d'identité par défaut. On pense que son origine remonte aux années 1960, date à laquelle il a été introduit dans un système à temps partagé précoce au MIT. À l'époque, cela fournissait un moyen simple de garder les fichiers confidentiels sur un seul ordinateur alors que peu d'ordinateurs existaient dans le monde.

La gestion d'un mot de passe pour un ordinateur était assez simple. Mais personne n'a prédit que les gens auraient autant de données en ligne à sécuriser. Multipliez des milliards d'appareils par des milliards de comptes et il est clair depuis un certain temps que les mots de passe ne sont pas évolutifs.

Les logiciels de gestion de mots de passe tels que 1Password et LastPass peuvent constituer une aide précieuse, mais ils s’appuient toujours sur le mot de passe pour prouver sa légitimité. L’authentification à deux facteurs (2FA) est souvent citée comme un moyen de résoudre les problèmes de mot de passe. Elle décourage les détournements de compte qui reposent entièrement sur un mot de passe. seconde mot de passe qu'un moyen de s'éloigner complètement des mots de passe. Et 2FA ne fournit pas de défense de données imperméable, en particulier lorsque le facteur est envoyé via la messagerie texte. (Le projet de livre blanc du NIST sur les meilleures pratiques de sécurité en 2016, qui suggérait d’éliminer les SMS, a été édulcoré pour supprimer cette recommandation lors de sa publication en 2017. On ne sait pas qui est à l'origine du changement.)

La plupart des gens n'utilisent toujours pas de gestionnaire de mot de passe, ce qui en amène beaucoup à sélectionner le mot de passe le plus faible possible, quelles que soient les règles définies par une organisation ou un site. Cela rend la plupart des mots de passe assez vulnérables à la fissuration. De nombreuses entreprises ayant recours à plusieurs types de services pour effectuer leurs tâches, un service autorisant des mots de passe faibles – ou faisant l'objet d'une violation – peut rendre de nombreux autres services liés vulnérables.

Eviter un mot de passe, c'est s'appuyer sur une approche associant identité et accès. Une fois que vous vous êtes inscrit en prouvant suffisamment qui vous êtes et que vous possédez un appareil nécessitant la biométrie, une empreinte digitale ou un scan du visage, un mot de passe ne fournit aucune aide supplémentaire.

MobileIron veut s’appuyer sur cette partie «mobile» de son nom. «L’une des choses qui a radicalement changé au cours des dernières années est l’utilisation du mobile comme principal moyen de communication. [devices] un employé s’acquittera de ses tâches », a déclaré le PDG Simon Biddiscombe.

Avec cette approche mobile first ou mobile toujours disponible, MobileIron peut modifier le poids des facteurs d'authentification. Dans les systèmes de sécurité multi-facteurs, les facteurs sont généralement décrits comme quelque chose que vous savez, quelque chose que vous avez et ce que vous êtes. Ce que vous savez, c'est généralement le mot de passe, qui est à la base de la sécurité. Mais si un système de sécurité peut accorder un accès basé sur quelque chose que vous possédez (comme votre appareil mobile) et quelque chose que vous êtes (un paramètre biométrique), vous n’avez besoin de rien savoir et le mot de passe n’est pas nécessaire.

L'exemple le plus répandu est celui des systèmes de paiement mobiles tels que Apple Pay et Google Pay, qui vous permettent d'inscrire une carte de crédit ou de débit. Lorsque vous payez avec cette carte, les systèmes autorisent la transaction en fonction de quelque chose que vous possédez (votre téléphone, votre montre ou votre tablette) et de quelque chose que vous êtes (une confirmation biométrique via une technologie telle que l’identité faciale ou tactile de Apple). «Apple Pay est mon exemple préféré d’application grand public qui ressemble énormément à ce que nous faisons sur le marché des entreprises», déclare Biddiscombe.

Les détails de la nouvelle option sans mot de passe de MobileIron intéresseront ses clients actuels et futurs, qui seront moins stressés par les violations et la gestion des mots de passe. Mais ses implications sont beaucoup plus larges. L'idée subversive de supprimer les mots de passe au niveau de l'entreprise donne une idée de la façon dont le marché des petites entreprises et des consommateurs pourrait s'éloigner fortement de l'élément informatique le plus détesté.

Trop de mots de passe

L’authentification de MobileIron est l’authentification. Vous penserez donc que ce serait centré sur les mots de passe plutôt que d’essayer de les supprimer. À l’époque du nouvel iPhone, les fondateurs de la société ont reconnu que les dirigeants achèteraient le téléphone d’Apple et voudraient accéder au courrier électronique, tandis que les services informatiques seraient irrités par ces nouveaux appareils qu’ils n’avaient pas vérifiés et soucieux de fournir un accès sécurisé.

Ces dernières années, MobileIron est passé à toutes sortes de services de sécurité pour les terminaux mobiles (et de bureau) et d’accès à connexion unique via des services intranet, cloud et hébergés avec lesquels les employés d’une même entreprise peuvent interagir en permanence. Les travailleurs peuvent utiliser Office 365, Dropbox, Salesforce et un serveur de messagerie d'entreprise en même temps, et souhaitent accéder facilement à tous, où qu'ils se trouvent.

Biddiscombe souligne également que de plus en plus de travailleurs mobiles ne sont pas les employés en col blanc sur lesquels se concentrent traditionnellement les logiciels d’entreprise. Leurs chiffres incluent également les lecteurs de compteurs, les livreurs de colis, les ouvriers d'usine, les débroussailleuses, les personnes acceptant un retour de voiture de location et bien d'autres. L’imputation de mots de passe sur ces travailleurs, qu’ils soient généralement sur le terrain ou dans une usine, n’aide pas leur productivité. Et cela nuit à l’efficacité globale d’une entreprise.

Dans ce contexte, MobileIron entend beaucoup, beaucoup de commentaires de la part de ses clients informatiques sur la douleur des mots de passe. La connexion unique (souvent abrégée en SSO) à plusieurs comptes était supposée alléger ce problème en permettant aux entreprises d’utiliser leurs identifiants de connexion internes pour valider l’accès à des services tiers. Mais SSO signifie toujours que les deux signent beaucoup de places et entrer un mot de passe plusieurs fois.

Le problème est réel

MobileIron a récemment commandé un sondage à 200 dirigeants et autres responsables des décisions en matière de cybersécurité, principalement dans des entreprises de plus de 1 000 employés. Les personnes interrogées ont déclaré qu’elles élimineraient les mots de passe de moitié. L'enquête a également révélé que près de la moitié des demandes d'assistance avaient trait à des verrouillages de mots de passe ou à des facteurs multiples.

Quatre-vingt-dix pour cent des responsables de la cybersécurité ont déclaré que les identifiants volés avaient conduit à des tentatives d'accès non autorisées, tandis que 86% ont déclaré qu'ils donneraient des mots de passe si ils le pouvaient.

[Animation: MobileIron]

Ces problèmes et ces attitudes font suite à de nombreuses années d’experts en sécurité et de spécialistes de l’informatique qui tentent de dissuader les entreprises et les particuliers de s’appuyer sur les mots de passe pour la sécurité et la sécurité.

L'alliance FIDO (Fast ID Online) a vu le jour en 2013 avec l'idée d'éliminer le paradigme des mots de passe en tant qu'élément d'authentification le plus important. L’ensemble des membres du groupe comprend presque tous les grands groupes financiers, des télécommunications, des réseaux informatiques et de l'informatique, notamment American Express, Amazon, Google, Facebook et Microsoft. (La liste peut être résumée de la manière suivante: «presque tout le monde sauf AT & T et Apple».)

FIDO insiste sur les clés publiques, la magie mathématique soignée qui permet aux personnes d’avoir une clé «privée» secrète tout en distribuant une clé publique jumelée utilisée pour prouver leur identité ou chiffrer les messages qu’elles peuvent déchiffrer uniquement. Lorsque vous utilisez un site Web qui prend en charge la norme U2F (Universal À deux facteurs), un utilisateur commence par s’inscrire et prouver son identité de différentes manières, notamment en enregistrant un jeton matériel (auprès d’entreprises comme Yubikey), qui intègre une paire de clés publique / privée unique et inviolable.

Lors d'une visite ultérieure, un visiteur utilisant U2F entre toujours un mot de passe dans un premier temps, puis tape ou clique sur la clé matérielle U2F qui génère et transmet un message signé. La vérification est également bidirectionnelle, contrairement à la plupart des connexions: l'utilisateur et le site transmettent de manière transparente les informations d'identification de sécurité pour prouver leur identité, ce qui permet de prévenir les attaques de phishing. (Les certificats de sécurité Web fonctionnent de la même manière, mais ne sont pas conçus spécifiquement pour protéger les comptes d’utilisateur.)

Imaginez maintenant le scénario ci-dessus, uniquement sans qu'un mot de passe ne soit impliqué. C’est l’objectif de l’alliance et un ensemble de normes plus récentes appelé FIDO2 l’a rapproché de la réalité.

[Animation: MobileIron]

Avec FIDO2, la spécification a été élargie pour permettre non seulement les clés matérielles autonomes requises auparavant, mais également tout matériel de bureau et mobile comprenant une puce de sécurité renforcée et distincte, qui gère les identités cryptographiques et biométriques. Cela inclut Secure Enclave d’Apple, présent dans tous les nouveaux iPhone depuis 2013; une variété de puces dans les téléphones Android modernes qui adhèrent à des principes similaires; et la puce Trusted Platform Module (TPM) présente dans de nombreux ordinateurs de bureau et ordinateurs portables et qui est en passe de devenir une fonctionnalité standard.

FIDO2 peut offrir aux applications et aux sites Web une expérience de connexion similaire à Apple Pay sur plus d’un milliard d’appareils, voire quelques milliards, sans effort supplémentaire de la part de l’utilisateur.

L'année dernière, Microsoft a adopté plusieurs options de connexion sans mot de passe, dont certaines reposent sur FIDO2. En février, Google a annoncé que tous les appareils Android fonctionnant sous la version 7 et les versions ultérieures étaient désormais conformes aux normes FIDO2, offrant ainsi une connexion sans mot de passe à une multitude d'utilisateurs.

Comme pour la FIDO Alliance, Apple semble pour le moment être la solution, bien que cela permette aux applications tierces – mais pas aux sites Web – d'utiliser Touch ID et Face ID pour l'authentification après inscription dans l'application. Si l’entreprise en faisait une priorité, ce ne serait probablement qu’un pas en avant pour prendre en charge les normes de connexion Web de FIDO2.

Le moment est venu

Si je vous avais dit il y a une décennie que vous deviez vous débarrasser de vos mots de passe, vous auriez pensé que je me trouvais dérangé, car tout indiquait que nous avions besoin de mots de passe meilleurs, plus puissants et plus longs pour vaincre les violations qui apparaissent déjà quotidiennement.

Mais dix années de violation de compte ont révélé que de nombreuses entreprises de toutes tailles font un travail terrible en matière de sécurisation des mots de passe. Il a également montré que de nombreux utilisateurs choisissent des mots de passe faibles, même s’il ne faut pas les en blâmer, puisqu’un mot de passe faible est la meilleure réponse à un système mal conçu.

Il est temps de supprimer le mot de passe. Avec des entreprises comme MobileIron pour le compte de sociétés et Google et Microsoft pour les mêmes consommateurs, nous pouvons dire adieu à un peu d'adieu à un morceau de chewing-gum fragile qui est parvenu à contenir les entrailles de sécurité ensemble.

L'avenir peut être aussi simple qu'un coup d'œil. Comme le dit Biddiscombe de MobileIron, "Je regarde mon appareil et celui-ci sait que c'est moi, et l'entreprise ouvre l'accès aux différents services dont j'ai besoin."

Maximus

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.