Quelles solutions d'identification pour un accès sécurisé au web ?

Le 28 février 2013

Partager sur Facebook Partager sur Twitter Partager sur Viadeo Partager sur LinkedIn
Les mots de passe que nous choisissons pour accéder à des services en ligne sont généralement peu sécurisés. De nouvelles solutions d'authentification commencent à être utilisées pour renforcer la protection des données sensibles sur Internet.

Selon une étude du cabinet Deloitte parue en février, la plupart des mots de passe utilisés sur Internet sont vulnérables. Nous avons pourtant besoin de mots de passe chaque jour pour accéder à notre compte bancaire, à notre messagerie, effectuer des formalités, partager nos informations sur les réseaux sociaux ou faire nos achats en ligne. En entreprise l'usage de mots de passe est lui aussi quotidien pour accéder à de nombreuses applications professionnelles.


Problème : notre capacité à mémoriser ces mots de passe, codes d'accès et logins étant limitée, nous choisissons souvent la simplicité... pour le plus grand bonheur des pirates informatiques. Une fois identifiés les mots de passe utilisés par un Internaute pour son compte de messagerie, les hackers lancent leurs attaques sur d'autres sites où le même Internaute utilisera probablement les mêmes identifiants... Le résultat peut être désastreux.

Les recommandations de l'ANSSI

Pour élever le niveau de protection de leurs identifiants, l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) conseille aux Internautes  :

  • d'utiliser un mot de passe distinct pour chaque service, et au minimum des mots de passe différents pour un usage professionnel ou personnel
  • d'exclure les mots de passe liés à la personne : date ou ville de naissance, nom de l'employeur... Autant d'informations faciles à repérer sur les réseaux sociaux
  • de modifier chaque trimestre les mots de passe protégeant des données sensibles
  • de ne pas stocker ses mots de passe dans sa messagerie ni sur papier
  • d'utiliser la méthode phonétique ("J'ai acheté 8 CD pour 100 € cet après-midi" devient ght8CD%E7am) ou la méthode des premières lettres ("Un tiens vaut mieux que deux tu l'auras" devient 1tvmQ2tl'A), en alternant majuscules et minuscules selon des règles que vous définirez (une lettre sur deux ou une lettre sur trois en majuscule...).

Vers une authentification multifacteurs

Compte-tenu du niveau toujours plus élevé du risque sur Internet, quelles solutions d'authentification utiliserons-nous à l'avenir ?

  • L'identification par mot de passe et login restera d'actualité pour les données peu sensibles. Les mesures de sécurité listées ci-dessus seront toujours fortement recommandées.
  • Autre solution déjà utilisée dans le cadre professionnel : l'identification par carte à puce associée à un code personnel. Demain cette méthode pourrait concerner aussi les particuliers. Elle est déjà pratiquée en Belgique pour certaines transactions en ligne.
  • L'authentification multifacteurs semble la solution d'avenir pour les données nécéssitant un maximum de sécurité. Le principe consiste à combiner mot de passe, login et un troisième élément qui peut être un code transmis par SMS ou généré par un boîtier électronique ou une application pour smartphone, ou encore un système de reconnaissance biométrique (voix, iris, empreinte digitale, forme du visage).

Cependant ces solutions présentent elles aussi leurs limites. Ainsi le site qui vous demande votre numéro de téléphone portable pour vous adresser un SMS d'authentification, ne pourra-t-il pas demain utiliser ce même numéro pour vous adresser une publicité ? Quant à l'identification biométrique, le problème est qu'il est possible de relever les empreintes digitales d'une personne, de photographier son visage ou d'enregistrer sa voix pour en faire ensuite un usage frauduleux.

En revanche la méthode qui associe mot de passe, login et un code composé par un boîtier électronique (token en anglais) ou par une application, semble intéresser les spécialistes des systèmes de sécurité.

Pour aller encore plus loin dans le niveau de sécurité, un élément supplémentaire pourrait être rajouté : une analyse détaillée du contexte dans lequel l'Internaute utilise ses identifiants (à partir de quelle adresse IP, à quelle heure de la journée...). Ces techniques sont aujourd'hui expérimentées par de grands groupes.

A lire également

Enquête 2015 sur les pratiques de veille et intelligence économique des entreprises bretonnes

Le 29/04/2015

Portée par CCI Innovation Bretagne et réalisée par l'ARIST Bretagne, en partenariat avec les CCI bretonnes, la Région Bretagne, BDI et la Direccte, cette enquête permet de recueillir et analyser les pratiques de veille et IE des entreprises de la région, de mesurer leurs réussites et difficultés, enfin d'enregistrer les principales évolutions.

La Région Bretagne ouvre les données sur ses marchés publics

Le 15/04/2015

Soutenue par la Région Bretagne, l'association Breizh SBA vient d'ouvrir le portail My Breizh Open Data - Marchés publics. Objectif : rendre la commande publique lisible et accessible à tous.

La CGPME et l'ANSSI publient un guide des bonnes pratiques de l'informatique

Le 15/04/2015

Douze règles pour sécuriser vos équipements numériques : c'est l'objet du guide publié conjointement par l'Agence nationale de sécurité des systèmes d'information et la Confédération générale des PME.