Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Les mots de passe sont-ils obsolètes? Les alternatives pour un avenir sécurisé

Renaud Lifchitz
December 11, 2023
Research
0
33

Les mots de passe sont-ils obsolètes? Les alternatives pour un avenir sécurisé

Les mots de passe ont presque tous les inconvénients possibles : trop nombreux, trop complexes, souvent réutilisés, pénibles pour l'utilisateur à utiliser, à renouveler, ou à choisir en fonction de telle ou telle politique de sécurité, ils permettent très souvent pour les attaquants des réutilisations ("password spraying") et des vols d'identité multiples, un redoutable calvaire pour les utilisateurs…

La biométrie n'est probablement pas une solution, car en plus d'être vulnérable à certaines attaques par rejeu, elle force l'utilisateur qui souhaite utiliser un service anonymement à se dévoiler, et peut être utilisée pour recouper des données depuis plusieurs services en ligne, en plus de n'être aucunement remplaçable en cas de vol de données biométriques. Qui souhaite avoir ses données d'identification compromises à vie ?

Alors la solution repose-t-elle dans l'authentification à plusieurs facteurs (MFA) ? Les "One Time Password" (OTP) ? Les authentifications comportementales ? Est-il encore possible de les envisager sachant que ces solutions n'empêchent nullement les attaques par phishing, et que le phishing est aujourd'hui particulièrement répandu pour le vol d'identité ?

Par ailleurs, qu'apportent les clés USB de sécurité ? Les utilisateurs sont-ils prêts à utiliser des solutions matérielles pour s'authentifier partout ? Comment peuvent-ils gérer les pertes et les pannes ?

Que valent les "passkeys", ces nouvelles solutions sans mot de passe poussées notamment par Google et Apple ? Est-ce bien raisonnable de donner toutes les clés de notre vie numérique aux GAFAM, même lorsque des services tiers (ou publics) sont utilisés ?

Est-il encore possible d'avoir des solutions d'authentification sûres, respectueuses de la vie privée et indépendantes ? C'est ce que nous aborderons dans cette présentation !

Renaud Lifchitz

December 11, 2023
Tweet

More Decks by Renaud Lifchitz

See All by Renaud Lifchitz
Bitcoin Lightning Network en pratique (v2)
rlifchitz
0
280
Blockchains dans la cybersécurité et cybersécurité des blockchains
rlifchitz
0
380
Bitcoin Lightning Network en pratique
rlifchitz
0
99
Cybersecurity Uses of Blockchains
rlifchitz
0
160
Age post-quantique : quels sont les risques, comment se préparer ?
rlifchitz
0
210
Debunking fake USB flash drives
rlifchitz
0
800
DIY DNA OSINT! or... how to enhance your social engineering skills using recent genomics
rlifchitz
0
1.2k
Ordinateurs quantiques et futur de la sécurité
rlifchitz
0
700
From LoRaWAN 1.0 to 1.1, what are the security enhancements?
rlifchitz
2
1.2k

Other Decks in Research

See All in Research
継続的な研究費獲得のための考え方
moda0
1
320
Accurate Method and Variable Tracking in Commit History
tsantalis
0
250
Webスケールデータセットに対する実用的なポイズニング手法 / Poisoning Web-Scale Training Datasets is Practical
nttcom
0
120
株式会社リクルートホールディングス 企業分析
frandle256
0
130
「歴史的農業環境閲覧システム」と「迅速測図」について
wata909
1
610
[ICLR'24] Towards Assessing and Benchmarking Risk-Return Tradeoff of OPE
harukakiyohara_
0
200
ICLR2024 LLMエージェントの研究動向
masatoto
6
2.1k
論文紹介 DSRNet: Single Image Reflection Separation via Component Synergy (ICCV 2023)
tattaka
0
180
オープンな日本語埋め込みモデルの選択肢 / Exploring Publicly Available Japanese Embedding Models
nttcom
14
5.5k
サウナでのプロジェクションマッピングの可能性の検討 / EC71koizumi
yumulab
0
170
Alternative Photographic Processes Reimagined: The Role of Digital Technology in Revitalizing Classic Printing Techniques【SIGGRAPH Asia 2023】
toremolo72
0
430
10-ot-generic-bio.pdf
gpeyre
0
140

Featured

See All Featured
The Language of Interfaces
destraynor
151
23k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Docker and Python
trallard
34
2.7k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
241
1.2M
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Statistics for Hackers
jakevdp
789
220k
It's Worth the Effort
3n
180
27k
Raft: Consensus for Rubyists
vanstee
132
6.3k
Six Lessons from altMBA
skipperchong
21
3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k

Transcript

  1. Version 1.0 Classification Les mots de passe sont-ils obsolètes ?

    Les alternatives pour un avenir sécurisé Public Lundi de la cybersécurité , 11 décembre 2023 Renaud Lifchitz, Directeur Scientifique

  2. 2 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 Présentation de l’intervenant ➢ Expert en sécurité informatique, Directeur scientifique chez Holiseum ➢ Principales activités: ➢ Tests d’intrusion & audits de sécurité ➢ Recherche ➢ Formations & sensibilisations ➢ Centres d’intérêt : ➢ Sécurité des protocoles (authentification, cryptographie, fuites d’information, preuves à divulgation nulle de connaissance...) ➢ Théorie des nombres (factorisation, tests de primalité, courbes elliptiques...)

  3. 3 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 HOLISEUM Pure Player de la Cybersécurité des infrastructures critiques et industrielles CHIFFRES-CLÉS De dépenses investies en R&D 2018 Création de Holiseum 40 Collaborateurs 20% Continents couverts avec ¼ du CA réalisé à l’international 5 Innovation & disruption Excellence & expertise Vision & approche à 360° de la sécurité Légitimité issue des expériences terrain Scalabilité & efficience opérationnelle NOTRE ADN Conseil & services Éducation & formations Édition logicielle 3 PILIERS RÉFÉRENCES

  4. 4 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 QUALIFICATIONS & RÉFÉRENCEMENTS Qualification PASSI* sur les 5 portées Sélection pour la phase expérimentale PACS** Référencement par France Relance (audits & remédiation) Statut de Jeune Entreprise Innovante SECTEURS D’ACTIVITÉ Maritime Finance Autres Luxe Energie *PASSI : Prestataire d’Audit de Sécurité des Systèmes d’Information **PACS : Prestataire d’Accompagnement et de Conseil en Sécurité des systèmes d’information CHIFFRES-CLÉS Audits 360 réalisés 1er Tir à Blanc de Ransomware® du marché 3 Distinctions remportées pour nos solutions innovantes +150 Pentests / an effectués +250 HOLISEUM Pure Player de la Cybersécurité des infrastructures critiques et industrielles HOLISEUM EST MEMBRE DE

  5. 5 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 1. Hier 2. Aujourd’hui 3. Demain Les mots de passe sont-ils obsolètes ? Sommaire

  6. Hier : Identification et confiance par défaut 01

  7. 7 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 01. Hier… ➢ Réseaux de confiance : collègues, utilisateurs avertis, … ➢ Accès basé sur la connaissance du système ➢ Accès à un périmètre physique/logique suffisant (comme le « shadow IT » aujourd’hui) ➢ « Sécurité par l’obscurité » ➢ Identification plutôt qu’authentification ➢ Déclarer plutôt que prouver : principe de la photo du porteur sur un badge porté ➢ Toujours le cas de pas mal de systèmes : ➢ Cartes RFID LF (« Low Frequency ») très souvent utilisées pour leur identifiant censé être unique : ex. HID Classic ➢ ou certaines cartes RFID HF/NFC avec une authentification utilisant une cryptographie faible (= faciles à dupliquer) : ➢ Clés par défaut ➢ Rétrocompatibilité : downgrade de la sécurité ➢ Mauvaise utilisation des fonctions de sécurité ❖ Déclaratif ≠ « Zero Trust »

  8. Aujourd’hui : Transition entre complexité et interopérabilité 02

  9. 9 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les fameux mots de passe ➢ Avantages : ➢ Compatibilité universelle sur la plupart des périphériques ➢ Inconvénients : ➢ Trop nombreux ➢ Nécessité d’être suffisamment complexes sinon faciles à bruteforcer en ligne ou hors ligne ➢ Nécessité d’être différents par service, souvent réutilisés en pratique : « password reuse » / « password spraying » / « credential stuffing » ➢ Nécessité de se souvenir et/ou centraliser ses mots de passe utilisés ➢ Nécessité de restauration de temps en temps des mots de passe oubliés avec les risques associés (phishing, sécurité du compte mail, …) ➢ Partiellement nominatif à cause du login (pseudo, adresse mail) ➢ Croisements possibles de données utilisateurs par les fournisseurs de service par login/mail ➢ Utiliser des mots de passe est donc non sécurisé pour beaucoup de raisons et coûteux en temps

  10. 10 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Authentification forte « traditionnelle » (1/2) ➢ Avantages : ➢ En principe plus difficile à attaquer ➢ Inconvénients : ➢ Certaine lourdeur pour l’utilisateur ➢ Les SMS utilisés sont assez facilement piratables (peu ou pas chiffrés « on air », « SIM swapping ») ➢ La boîte mail utilisée peut avoir été piratée ➢ Contournement presque tout autant facile pour l’attaquant par vol de session (cookies notamment) ➢ Vulnérabilité au phishing ➢ « MFA fatigue » ➢ Nombreux outils de vols existants : OTP-Bot, telbot-otp, SMSBotBypass, SMSBypass, …

  11. 11 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Authentification forte « traditionnelle » (2/2)

  12. 12 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Biométrie (1/2) ➢ Avantages : ➢ On l’a toujours sur soi, impossible à oublier ➢ Plutôt unique et fiable : une empreinte digitale a moins d’une chance sur 1 milliard d’être identique, y compris pour de vrais jumeaux (National Forensic Science Technology Center) ➢ Inconvénients : ➢ Inchangeable : compromission à vie ➢ La plupart du temps rejouable ➢ Implémentations parfois mauvaises (notamment car traces partielles) ➢ Règlementé en Europe ➢ Sensible aux accidents de la vie : ➢ Que se passe-t-il si on perd des doigts, la main, un bras ? ➢ Reconnaissance vocale : un rhume suffit à la rendre inopérante, les outils d’IA ➢ Reconnaissance faciale : les outils d’IA permettent de générer autant de photos et vidéos que souhaité ➢ L’intelligence artificielle rend quasi-inopérants les procédures de KYC (« Know Your Customer »)

  13. 13 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Biométrie (2/2)

  14. 14 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les SSO ➢ « Single Sign On » ➢ Bouton « Se connecter avec » … ➢ Propriétaires : Google, Apple, Facebook, … ➢ Open source : OpenID ➢ Inconvénients : ➢ Disponibilité : complexe car service très centralisé ➢ Donne un privilège incroyable à ces services ➢ Rend encore plus « valuable » les comptes

  15. 15 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (1/3) ➢ En français : « clés d’accès » ? ➢ Développés par l’Alliance FIDO : Google, Apple, Microsoft, Samsung, Amazon, Meta, … ➢ 2 principes (authentification forte) : ➢ Reconnaissance de l’appareil : ➢ A l’enrôlement : clé privée générée dans l’appareil, clé publique complémentaire dans le service ou l’application ➢ Reconnaissance de l’utilisateur : ➢ Déverrouillage biométrique, code PIN, schéma, … ➢ Avantages : ➢ Authentification forte ➢ Simplicité pour l’utilisateur ➢ Protège contre la plupart des attaques par phishing (dépend de l’implémentation)

  16. 16 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (2/3) ➢ Inconvénients : ➢ Compatibilité faible : peu d’applications compatibles ➢ Interopérabilité : quasi nulle à l’heure actuelle (migration difficile, parfois par QR code) ➢ Frictions pour des utilisateurs sur plusieurs écosystèmes : Android/iOS/Microsoft ➢ Travail en cours sur des normes d’interopérabilité ➢ Difficulté/impossibilité à sauvegarder, complexité en cas de perte/dommage du périphérique ➢ Forte liaison au service cloud du provider/périphérique pour ce qui est de la sauvegarde ➢ Disponibilité : importante dépendance au périphérique d’authentification

  17. 17 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 02. Les Passkeys (3/3)

  18. Demain : l’identité réappropriée par les utilisateurs ? 03

  19. 19 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. Une tendance qui s’esquisse ? ➢ Dé-GAFA-isation des accès ? ➢ Réappropriation par l’utilisateur de son identité : l’idée est de conserver tous les secrets côté utilisateur ➢ Avantages : ➢ Choix des données personnelles partagées ? (chiffrement par attributs) ➢ Décentralisation des secrets d’authentification : ➢ Meilleur pour la disponibilité ➢ Évite les fuites de données massives d’authentification ➢ Inconvénients : ➢ C’est à l’utilisateur de faire des sauvegardes ou d’utiliser des solutions de restauration…

  20. 20 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (1/4) ➢ Protocole ouvert et inviolé ➢ Protocole hors chaîne, utilisé avec Bitcoin Lightning ➢ Spécifications LNURL-AUTH ouvertes et simples : https://github.com/fiatjaf/lnurl-rfc/blob/legacy/lnurl-auth.md ➢ Aucune confiance à accorder à un tiers ➢ Secrets résident sur le périphérique client ➢ Exemple : https://lightninglogin.live/ L’utilisateur se rend sur l’application souhaitée L’utilisateur se voit présenter un QR code à l’écran L’utilisateur lance l’application d’authentification sur son smartphone et scanne le QR code présenté avec son appareil photo L’utilisateur tape sur « Confirmer » et est immédiatement authentifié L’application mobile présente l’identité de l’application qui souhaite l’authentification 1 4 3 2 5 CINEMATIQUE

  21. 21 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (2/4)

  22. 22 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (3/4)

  23. 23 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. LNURL-AUTH (4/4) ➢Avantages : ➢ Sécurité : ➢ Authentification forte tout en conservant une facilité et une fluidité d’usage ➢ Protection totale contre le phishing ➢ Le secret peut être enfoui dans une enclave sécurisée du téléphone, garantie par le constructeur ➢ Sans tierce partie de confiance contrairement à de nombreuses solutions concurrentes (portes dérobées possibles) ➢ Pérennité : ➢ Compatible avec tous les smartphones avec appareil photo ➢ Standard ouvert contrairement à de nombreuses solutions concurrentes ➢ Vie privée et conformité : ➢ Aucune donnée personnelle partagée implicitement entre l’utilisateur et l’application ➢ Une identité différente entre applications utilisées, non recoupable par des moyens techniques ➢Inconvénients : ➢ Tous les secrets sont et restent côté client : sauvegarde à la charge de l’utilisateur

  24. 24 Classification : Public Holiseum - « Les mots de

    passe sont-ils obsolètes ? Les alternatives pour un avenir sécurisé » - Lundi de la cybersécurité – 11 décembre 2023 03. Social recovery ➢ Vient pallier les problème de sauvegardes de secrets côté client ➢ Plusieurs « gardiens » (>= 3) choisis par l’utilisateur ➢ Signature d’une majorité de gardiens pour changer la clé privée de signature de l’utilisateur ➢ Wallets : Argent wallet, Loopring wallet ➢ Principe d’ « account abstraction » sur la blockchain Ethereum (EIP-4337) ➢ On attend la démocratisation de ce principe qui permettra une totale réappropriation de son identité par l’utilisateur

  25. Holiseum | SAS au capital de 10.000€ | RCS Paris

    841 088 024 | n°TVA FR 77 841088024 | 9-11 Allée de l’Arche | Tour Egée, 92400 Paris La Défense www.holiseum.com Faïz DJELLOULI Président & Co-Fondateur +33 6 69 72 29 64 | [email protected] An NGUYEN Directeur Général & Co-Fondateur +33 6 98 84 39 97 | [email protected] Holiseum est membre de Hexatrust, groupement français de la Cybersécurité et du Cloud de confiance Questions & réponses ! [email protected]