Je suis actuellement
Animateur numérique aux Centres Sociaux Fidésiens (Sainte Foy 69110)
Pour en savoir plus vous pouvez consulter mon cv/portfolio
Ou me suivre sur linkedin

Mon portrait souriant

Chacun son root, chacun son chemin

Un article publié le

par



Bon, ok c’était un peu facile de paraphraser la chanson de Tonton David pour faire un titre d’article de blog qui parle de la gestion des identifications et des problématiques qui y sont liées, mais c’était trop tentant. Et cet article sur les identifications (et pour paraphraser un flim qui ne parle pas de cyclimse) ne parlera pas… de mots de passes (ou de comment les créer, ça c’est pour un autre article)

Tout d’abord pourquoi je parle de root?

Le terme root (litt. racine) est, sur les systèmes d’exploitation de type Unix, le nom conventionnel de l’utilisateur qui possède toutes les permissions sur le système (on dit aussi super utilisateur)…

Donc pour faire simple, vous êtes l’utilisateur maître (car vous contrôlez l’accès) de vos comptes ou de votre machine (en tout cas je vous le souhaite). Sur vos ordinateurs personnels ça sera généralement le cas, en entreprise, c’est beaucoup moins sûr pour des raisons de gestion de la sécurité notamment par les services informatiques.

Parlons ensuite du chemin, qui a un sens spécifique en informatique

En informatique, le chemin d’accès d’un fichier ou d’un répertoire est une chaîne de caractères ou une chaîne d’octets décrivant la position de ce fichier ou répertoire dans le système de fichiers
Source : https://fr.wikipedia.org/wiki/Chemin_d’accès

Considérons un chemin comme l’accès à une information, pas seulement un fichier, accéder à celui ci nécessite d’avoir les droits d’accès (le root). Avoir les droits d’accès/modification et savoir où se trouve l’information, voilà qui explique pourquoi l’identification est centrale.

L’identification a donc deux rôles : sécuriser l’accès à vos données (en conditionnant cet accès à des informations que vous seul devriez connaître) et créer une confiance suffisante en ce système pour l’utiliser afin de procéder à des actions qui vous engagent. C’est encore plus perceptible en ligne (acheter en ligne, demander une procédure administrative…)

Dans le cas d’achats en ligne, les paiements par carte bleu peuvent réclamer un double système : identifiant et mot de passe et une couche de sécurité supplémentaire avec la double authentification (en gros lorsque vous vous connectez, il va vous être demandé une confirmation par un autre biais). Ce genre de système existe sur les comptes utilisateurs des réseaux sociaux, de certains sites, si vous accédez à des interfaces de gestion de contenus ou de services en ligne…

Bref, si l’accès par mot de passe est fréquent, la double authentification (ou 2FA) est assez peu répandue. Surtout par méconnaissance et par peur de se compliquer la vie pour la plupart des utilisateurs. 

Petite précision quand même… ne perdez pas l’accès au support (mail, téléphone) qui permet de valider cette double authentification…


Une utilisation de l’identification numérique simplifiée, France Connect

En France, pour la plupart des demandes liées aux services publics il est possible de passer par un connecteur appelé FranceConnect.

FranceConnect est un dispositif numérique d’authentification garantissant l’identité d’un utilisateur aux sites ou applications utilisatrices en s’appuyant sur des comptes existants pour lesquels son identité a déjà été vérifiée.

Pour faire simple : vous disposez d’un compte sur l’un des sites/systèmes utilisés par FranceConnect (ameli, les impôts, l’identité numérique) et vous pouvez vous connecter à la majeure partie des sites du service public français.

Quelques précisions cependant.
Le site des impôts n’accepte plus depuis presque 2 ans une connexion avec les identifiants de l’assurance maladie suite à une campagne de phishing massive qui a piégé de nombreuses personnes qui ont ainsi transmis leurs codes Améli aux pirates. C’est à dire qu’un grand nombre de personnes ont reçu des emails ressemblant comme deux gouttes d’eau à ceux envoyés par l’assurance maladie leur demandant de se connecter… Mais les envoyaient sur un faux site où ces informations étaient récupérées. Plus récemment c’est la CAF qui aurait subit la même situation (voire mon article sur la question ici) même s’il semble que comme pour France Travail il se soit agit d’un piratage.

Contrairement à ce que j’entends encore régulièrement, Améli n’a pas été piraté, comme souvent le problème se situe entre le clavier et l’écran, c’est à dire l’humain. D’où l’importance de former… et de ne pas stigmatiser ceux qui se sont fait piéger.

L’idée de FranceConnect est très louable.
Ne plus demander de retenir une multiplicité de mots de passe. L’identifiant est le numéro de sécurité sociale qu’on trouve sur les cartes vitales. Donc un mot de passe à retenir. Dans la réalité les personnes oublient, notent leurs mots de passe sur un bout de papier, dans un carnet, sur leur téléphone parfois, sans sécuriser celui ci.

Les médiateurs ou les conseiller numériques vous le diront, c’est une lutte sans fin pour essayer d’améliorer cette pratique, mais l’installation d’un gestionnaire de mots de passe ou de coffre fort numérique reste l’exception. Ne serait ce qu’encourager une personne a sécuriser l’accès à son matériel (ordinateur ou téléphone) n’est pas simple.

On peut former a créer des mots de passe un peu plus compliqués mais cela ne règle pas la question. Et dans son utilisation, France Connect n’est pas toujours bien comprit pas les personnes qui :

  • croient que c’est un site
  • se font piéger par les arnaqueurs qui disent les appeler en étant France Connect
    Bref, c’est pas gagné.
Pour simplifier tout cela, il y a désormais France Connect + (une version plus sécurisée…) qui nécessite de passer par un système pas toujours simple… d’identité numérique (La Poste)…Ou de France Identité (basée sur les nouvelles cartes d’identités). Il y a beaucoup à dire sur cette nouvelle itération, la suite dans un prochain article sur l’identité numérique.
 

En finir avec les mots de passe : FIDO, la solution des GAFAM.

Apple, Google et Microsoft sont les promoteurs du standard de l’Alliance FIDO et du W3C d’authentification sans mot de passe. Comment cela fonctionne t il ?

L’utilisateur doit en premier générer dans son “support d’authentification” (navigateur, smartphone, objet connecté) une clé privée et une clé publique. La clé publique sera transmise au fournisseur de service et la clé privée sera conservée sur “l’authentificateur”. Lors de la connexion, l’utilisateur envoie un message d’authentification signé avec la clé privée au service, qui va la vérifier à l’aide de la clé publique.

Google, dans un billet de blog explique cela de la façon suivante :

« Votre téléphone stockera un identifiant FIDO appelé mot de passe utilisé pour déverrouiller votre compte en ligne. La clé d’authentification rend la connexion beaucoup plus sécurisée, car elle est basée sur la cryptographie à clé publique et n’est affichée sur votre compte en ligne que lorsque vous déverrouillez votre téléphone. (…) Pour vous connecter à un site web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n’aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur. Même si vous perdez votre téléphone, vos mots de passe se synchroniseront en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s’est arrêté »
https://blog.google/technology/safety-security/one-step-closer-to-a-passwordless-future/

Plus de mot de passe, on serait sensé ainsi éviter la récupération des identifiants par l’utilisation de campagnes de phishing ou via les attaques type “man in the middle” (interception des données transitant par votre connexion internet).

Si Apple, Google et Microsoft soutiennent ce système c’est notamment parce que cette authentification peut se faire par le biais de l’authentification biométrique sur certains appareils qu’ils commercialisent. Et c’est alors un moyen supplémentaire de rendre l’utilisateur dépendant de leurs solutions.

Lancé en 2018, FIDO n’a pas rencontré le succès, la faute à une procédure fastidieuse d’un côté et la faible quantité de services qui l’ont implémenté. Fastidieux car pour chaque terminal et chaque service, il fallait refaire cette procédure. Mettons qu’on se connecte avec son ordinateur et son téléphone, sur une trentaine de services… Cela voulait dire refaire la procédure 60 fois (2×30).

Une évolution a été mise en place : le Multi-device FIDO.
L’idée est de pouvoir transmettre cette authentification via le bluetooth d’un support à un autre (d’un smartphone a un ordinateur par exemple), plus besoin de se ré authentifier sur chaque machine. La condition ? Que les deux systèmes soient interopérables. L’autre possibilité offerte par cette évolution est de sauvegarder de manière centralisée les clés privées chez le fournisseur de l’authentificateur. L’intérêt est qu’en cas de perte du smartphone par exemple, l’utilisateur pourra régénérer ses accès.

Encore une fois, il s’agira d’avoir des appareils compatibles, voire d’avoir les moyens financiers d’accéder à ces appareils pour profiter des promesses de FIDO.

Mais ce que l’on gagnerait en simplicité apparente, on pourrait le perdre en sécurité et en confidentialité : la sauvegarde des clés privées serait stockée chez ces entreprises qui détiennent déjà énormément d’informations sur nous (en plus de les exploiter). La question de la sécurité de ce stockage pose aussi question, car lorsqu’on centralise, on simplifie le travail du pirate en même temps qu’on aiguise ses appétits.

FIDO pour être utilisé devra modifier des usages déjà établis, des habitudes prises même si imparfaites. Et c’est au-delà des freins déjà évoqués, celui qui risque le plus de limiter son adoption.


En finir avec les mots de passe : la tentation biométrique

Le développement de nouveaux systèmes d’identification va de pair avec l’évolution technologique de nos outils numériques : Les smartphones peuvent authentifier leur utilisateur par biométrie (empreinte). Cette idée repose sur le fait qu’une réalité biologique ne pourrait être contournée (visage, empreinte, voix). Il pourrait donc être imaginable de déplacer l’identification vers l’appareil, c’était en partie le principe de FIDO. Cela éliminerait certes la question du mot de passe, mais cela créé pose aussi d’autres questions telles que :

  • L’obligation de posséder ou de pouvoir accéder a un appareil permettant cette authentification
  • La dépendance aux entreprises qui créent ces outils
  • Le stockage des données dans l’appareil en cas de perte ou de vol de celui ci
  • L’idée que ces informations stockées localement ne seraient pas piratables sur ces supports physiques.

De plus, l’idée qu’une donnée biométrique ne peut “mentir” rend le risque d’usurpation définitif. Voici par exemple ce qu’en dit l’ANSSI :

La présomption de fiabilité prévue par le III de l’article L. 102 du Code des postes et des communications électroniques entraîne, en cas de litige, un renversement de la charge de la preuve.
Ainsi toute personne physique ou morale invoquant l’usurpation ou l’altération d’une identité reposant sur l’utilisation d’un moyen d’identification électronique présumé fiable, devra apporter la preuve que ce moyen n’était en réalité pas fiable et présentait des failles ayant permis l’usurpation ou l’altération de cette identité.

https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/la-certification-des-moyens-didentification-electronique/

Or la fuite de données issue de France Travail laisse craindre ce type d’usurpations, les données exfiltrées pouvant permettre de telles arnaques. Pas besoin d’être biométriques pour être problématiques…

Car au delà, c’est l’information que fournissent les données biométriques qui posent problème. Il faut se rappeler qu’en Afghanistan les gouvernements étrangers ont financé et mis en place des bases de données biométriques de la population. Ces bases indiquaient si les personnes avaient collaboré avec les institutions internationales et gouvernements étrangers.

Pour information

En 2004, des milliers de militaires américains ont été formés à la collecte d’informations biométriques dans le cadre des interventions en Afghanistan et en Irak. Trois ans plus tard, cette collecte était principalement effectuée via des dispositifs mobiles tels que le Biometric Automated Toolset, un kit qui comprend un ordinateur portable, un lecteur d’empreintes digitales, un scanner d’iris et un appareil photo ; et le Handheld Interagency Identity Detection Equipment (ou « HIIDE »), un petit appareil unique qui intègre un lecteur d’empreintes digitales, un scanner d’iris et un appareil photo. Les utilisateurs de ces outils peuvent recueillir des scans d’iris et d’empreintes digitales ainsi que des photos faciales, et les faire correspondre aux entrées des bases de données militaires et des listes de surveillance biométrique. (…)

Ces données, laissées sur place au départ des américains démontrent les dangers de ce type d’identification :

En outre, le registre national des documents d’identité et les listes électorales contenaient des données sensibles, notamment ethniques. La carte d’identité afghane, l’e-Tazkira, est un document d’identification électronique qui comprend des données biométriques. L’accès des talibans à ces registres représente donc un risque majeur pour de nombreuses personnes.
Source : https://theconversation.com/afghanistan-quand-la-protection-des-donnees-biometriques-devient-une-question-de-vie-ou-de-mort-167124


FIDO et les GAFAM sont de retour, les passkeys

Les passkeys sont une technologie d’authentification qui utilise des données chiffrées avec une double authentification (rien à voir avec le 2FA dont je vais parler plus loin).

  1. Reconnaissance de l’appareil : lors de l’inscription à un service ou une application, deux clés sont générées, l’une publique et l’autre privée, les deux interagissant ensemble au moment de la connexion.
  2. Reconnaissance de l’utilisateur : comment être sûr que c’est bien vous qui utilisez le smartphone? Il est prévu qu’un second niveau d’authentification soit utilisé qui peut être biométrique (votre visage ou votre empreinte digitale), un code, une forme comme pour les téléphones android.

Les passkeys permettent de ne plus avoir à retenir de mots de passe (qui ne sont pas souvent sécurisés de toutes façons).

Sur le papier tout cela est bel et bien beau mais il y a quelques freins…

  1. Changer les habitudes
    Demain, saurons nous passer de nos mots de passe ?
    Si cela nous simplifie la vie oui, mais l’adoption ne se fera pas en peu de temps, il faudra un temps d’évolution de comportements, mais aussi de prise de confiance dans ce système qui réduit la surface d’attaque et peut potentiellement être plus problématique en terme de sécurité.
    Sans parler de disposer de matériels adaptés…
  2. L’interopérabilité
    Si FIDO concentre un grand nombre de grands noms, l’interopérabilité entre android, ios, windows, linux reste pour l’instant liée aux systèmes de chacun (google Drive, OneDrive, Icloud…) et passer d’un système à l’autre n’est pas encore fait, l’interopérabilité est un autre frein majeur car il impact immédiatement nos usages.
  3. Si je perds mon smartphone ?
    De la même façon que la double authentification, la perte de son smartphone ou son vol peuvent être dès lors très problématiques. Comment transférer sur un autre appareil cette clé ?
  4. Une solution encore entre les mains des GAFAM ?
    C’est aussi et encore une fois mettre les clés de la maison dans les mains d’entreprises qui disposent déjà d’énormes quantités de données nous concernant et qui centraliseraient ainsi un pouvoir encore plus important.

Le mot de passe, s’il est central dans la confiance que nous allons investir dans un site ou un système pour conserver nos informations ou données personnelles tend à faire oublier que d’autres données que nous produisons mériteraient d’êtres elles aussi sécurisées.

Ne devrait on sécuriser son chemin qu’au sens de l’endroit où se trouvent les fichiers dans un système informatique mais aussi en terme de navigation : il s’agirait donc de garder « privées » ses informations quelles soient des contenus produits en ligne, des donnés personnelles (les logs issus de nos navigations). La navigation privée ne nous rend pas beaucoup plus difficile à suivre… J’y reviendrais dans un prochain article.


Quelques liens pour poursuivre la réflexion : 

2 réponses à “Chacun son root, chacun son chemin”

  1. Avatar de Lionel Rauch

    Sur le soucis de la biométrie dans notre vie quotidienne on peut lire l’article de la Quadrature du Net – https://www.laquadrature.net/2023/02/23/surveillance-biometrique-infiltration/

  2. Avatar de Alain

    Hello,

    Tu connais les solutions Bitwarden, Vaultwarden (fork du premier), ou encore Proton Pass ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

RSS
Follow by Email
LinkedIn
Share
WhatsApp