Coffre-forts vulnérables et mauvaises pratiques des utilisateurs sonneront-ils le glas des mots de passe ? Rien n’est moins sûr à ce stade, selon Frédéric Vilanova, RSSI dans la santé et la banque.
Frédéric Vilanova, actuellement RSSI d’une organisation bancaire parisienne confirme que l’authentification des utilisateurs est une question d’actualité, notamment dans les secteurs où il prodigue ses conseils.
Pour autant, est-il envisageable de se passer totalement des mots de passe dès cette année 2023 ?
« J’ai encore une position d’études à ce niveau-là. Le sujet exige de travailler d’une part, avec les métiers sur les habilitations RH – tel collaborateur a le droit d’agir sur telle ressource partagée – et, d’autre part, avec les informaticiens qui règlent techniquement les droits d’accès. Les clés de chiffrement, l’authentification multi-facteurs, et les bastions d’administration contribuent à délivrer des autorisations d’accès aux services déployés sur site et aussi dans le cloud. Je ne sais pas encore si l’on pourra se passer totalement des mots de passe. Cela dépendra des technologies de substitution et des résultats des tests que l’on fera. »
La nationalité de l’éditeur pourra s’avérer essentielle
Selon le Vice-Président de l’association CIP Méditerranée également référent cybersécurité de l’association Medinsoft, ce débat rejoint celui de la blockchain. Au-delà de l’intérêt des smart contracts, la nationalité du fournisseur pourra être déterminante : « En choisissant un éditeur français de blockchain, on sait au moins où à démarré la chaîne de blocs. Les besoins confirmés par les entreprises de la santé et les banques ont trait à la traçabilité des actions des métiers, et à la traçabilité d’actions plus techniques, » confirme-t’il.
Pour en savoir plus, lire l’interview ci-dessous accordée à DCloud News, lors de Ready for IT en mai dernier :
De mauvaises pratiques à proscrire
Revenons sur les limites des mots de passe avec Alexandre Cogné, expert cyber chez Ping Identity : « Les exploits liés aux mots de passe découlent souvent de mauvaises pratiques des utilisateurs, » confirme-t’il.
« Certains utilisent le même mot de passe pour sécuriser leurs comptes personnels et professionnels. Si un pirate réussit à compromettre un mot de passe fréquemment utilisé, il peut obtenir un large accès à toutes les ressources que le mot de passe protège.
La conservation du mot de passe par défaut des routeurs et autres appareils connectés facilite aussi les tentatives d’accès des pirates.
Les professionnels ont tendance à partager leurs mots de passe pour accéder aux services cloud communs des environnements de travail. Dans ce cas, il n’y a aucun moyen de déterminer si la personne qui accède à l’application doit y accéder.
Les mots de passe simples à mémoriser sont encore trop répandus, les pirates en profitent pour les deviner à l’aide d’outils d’attaque de mots de passe spécialisés.
L’usage de protocoles réseaux et de bases de données non sécurisés encouragent l’interception de connexion non chiffrée afin de voler un mot de passe transmis à la vue de tous.
L’évolution vers des formes d’authentification sans mot de passe témoigne de la vulnérabilité de l’authentification par mot de passe. Pour réduire les risques de violation des mots de passe, les organisations gagnent à envisager l’authentification unique et l’authentification multi-facteurs. »
