Innovation 2017, thème : les mots de passe …

Les mots de passe font partie de notre quotidien ; le plus souvent composés de mots ou de séries de caractères, ils sont utilisés comme contrôle d’accès à un lieu, une ressource, un service, à l’usage d’un bien, au chiffrement numérique, au partage restreint d’informations, à l’authentification de la personne ou de la machine. Associé à un événement, le mot de passe permet de limiter l’accès dans le temps, dans l’espace, aux personnes et/ou aux machines.

Malgré l’importance que l’on attache à l’usage du mot de passe, à titre personnel ou professionnel, et en fonction du niveau de confiance que l’on lui confère pour contrôler nos accès, le mot de passe demeure de nos jours le « maillon faible ». Ceci est du à des négligences, que ce soit du fait de l’homme, de la machine, du monde numérique, d’événements aléatoires rendus visibles à travers un document ou de cas de force majeure liés à une obligation naturelle de divulgation.

Différentes raisons vont amener à la corruption des mots de passe souvent trop simples,  trop courts en nombre de caractères, ce qui les rend faciles à deviner par l’homme ou la machine.

Des millions de mots de passe sont ainsi découverts par des personnes malveillantes créant des préjudices humains et patrimoniaux de plus en plus abyssaux du fait de l’omniprésence du numérique dans notre vie au quotidien.

Les attaques informatiques se multiplient, font la une des médias. Le sentiment d’insécurité est grandissant du fait que, même les grands groupes pourvus de systèmes de sécurité, sont eux aussi victimes de telles attaques.

L’une des grandes problématiques réside dans le fait que ces attaques génèrent des profits dépassant le bénéfice lié aux divers trafics illicites sanctionnés par de très lourdes peines financières pouvant aller jusqu’à plusieurs dizaines d’années de prison, voire atteindre l’intégrité physique humaine, alors même que les sanctions à l’encontre des hackers sont dérisoires par comparaison.

L’activité de cybercriminalité s’est professionnalisée, les attaques sont de plus en plus complexes et ingénieuses. Ce qui implique que le niveau technique des attaques, tel qu’il est aujourd’hui, permet de découvrir des mots de passe composés de 5 caractères en 10 minutes. En effet, des chercheurs en sécurité de l’entreprise Skyhigh Networks ont publié les résultats de leur étude menée sur les mots de passe utilisés par les internautes. L’analyse de quelques 11 millions de mots de passe a mis en évidence que plus de 10% des comptes peuvent être corrompus en testant les 20 mots de passe les plus couramment utilisés par les internautes, car 31% des internautes utilisent le même mot de passe pour tous leurs comptes. En effet, un mot de passe de moins de 6 caractères pourra être facilement « craqué » en 10 minutes maximum. Pour terminer,  4 applications sur 5 acceptent l’utilisation d’un mot de passe dit faible.

Par défaut, l’homme cherche à simplifier les mots de passe pour qu’il soient facilement mémorisables, tels qu’une suite numérique, 123456, ou alphabétique, azerty, qwerty, admin, date de naissance, lieu d’habitation, prénom des enfants, code postal, le nom d’un animal, un pseudo. Les mots de passe d’origine des fabricants d’appareils connectés ont souvent comme code pin  « 0000 ». Pour les mêmes raisons, l’homme utilise souvent le même mot de passe pour ses contrôles d’accès rendant encore plus facile la découverte des couples « identifiant et mot de passe ».

L’homme du 21ème siècle n’est plus en mesure de concevoir et de retenir des combinaisons uniques par usage complexe, composées d’au moins 12 caractères mélangeant des lettres, des chiffres et des symboles typographiques.

Il existe de nombreuses solutions qui permettent à l’homme d’être assisté dans l’administration de ses mots de passe trop complexes à retenir.

A défaut d’assistance, l’homme doit prendre en considération la création, la sauvegarde et l’administration de ses mots de passe uniques, pour chaque usage, devant parfois être adaptés à l’empirisme des applications qui n’acceptent pas les mots de passe trop complexes.

L’homme doit, dans un premier temps, identifier ce que l’application accepte comme niveau de complexité en définissant un minimum de 8 caractères chiffre et/ou lettre, majuscule et/ou minuscule et/ou caractères spéciaux, en excluant certains caractères et leur répétition. L’homme doit avoir la certitude que ses mots de passe soient uniques et totalement aléatoires, que leur création, leur lecture et leur sauvegarde ne pourront pas être corrompues. En effet, depuis la genèse de la création du mot de passe jusqu’à son utilisation, celui-ci peut être corrompu par la présence d’applications malveillantes (Malware) ou d’applications d’administration de mots de passe préalablement corrompues (source : chercheurs d’IBM Trusteer) présents dans le système informatique utilisé.

L’homme pêche aussi par excès de confiance envers son système d’exploitation et/ou logiciel antivirus et/ou anti malware, ESET publie le 11 juillet 2016 qu’ils ont identifié un Malware « voleur de mots de passe » sous Mac OS X. L’homme ne peut plus se fier aux systèmes d’exploitation pour l’assister dans la sauvegarde de ses mots de passe. Il est contraint de refuser les sauvegardes par ce moyen lorsqu’il les utilise.

Il est audacieux de penser qu’un mot de passe, même très complexe, ne peut pas être corrompu dans le temps. En revanche, nous devons être le plus dissuasif possible afin de décourager une personne malveillante qui voudrait s’attaquer à un mot de passe trop complexe, pour un résultat incertain.  Nous sommes dans une approche de Cyber défense, celle relative à la force de dissuasion. Un autre maillon faible est l’homme, car il est corruptible, donc en mesure de fournir le mot de passe et/ou les moyens de l’obtenir voire de corrompre leur genèse.

L’homme doit aussi se tenir informé sur l’évolution des attaques pour maintenir son meilleur niveau de Cybersécurité pour se défendre. Les personnes malveillantes sont très ingénieuses pour se procurer les couples « identifiant et mot de passe ». Publié le 5 Octobre 2016, selon David Emm, un chercheur en sécurité informatique chez Kaspersky, les pirates à l’origine du malware “xic” auraient utilisé Facebook comme un canal de diffusion pour collecter un maximum d’identifiants et mots de passe sur une vaste palette de sites.

En raison de cette complexité, l’homme recherche des produits et/ou services pour l’assister dans l’administration de ses mots de passe et/ou identifiants. Mais l’homme doit aussi être vigilant dans le choix des solutions qui s’offrent à lui. Car les personnes malveillantes s’attaquent aussi aux gestionnaires de mots de passe sécurisés par des trojan tels que le Trojan Citadel.

Sans conteste, il faut impérativement être inventif et innovant pour créer des produits et services suffisamment pertinents pour augmenter le niveau de Cybersécurité de nos mots de passe, notamment dans leur contrôle d’accès.

De ce constat est né mon concept, que j’ai nommé #cyberstealth, la Cybersécurité et Cybersûreté furtives. Née de ce concept, ma dernière innovation technologique, nommée EviToken, est en cours de recherche et de développement. Il s’agit d’une technologie autonome par système embarqué afin d’assister l’homme dans l’administration de ses mots de passe, dans un environnement non connecté spécifique.

Notre objectif étant de rendre le plus simple possible son usage, même par un enfant, tout en maintenant un niveau de complexité extrême pour être le plus dissuasif possible contre les attaques numérique et matérielle.

Un premier démonstrateur a été présenté en avant première aux rencontres parlementaires organisées par le Cybercercle à Paris le 10 novembre 2016.

La version pré industrialisée sera présentée au FIC 2017 sur notre stand dans l’espace innovation.

cb