Category
📚
ÉducationTranscription
00:00:00 compliqué en termes de séquencement.
00:00:02 Il y aura une partie hier sur les mots de passe,
00:00:07 une partie aujourd'hui et une partie demain.
00:00:11 On va essayer de voir un petit peu
00:00:13 quel est l'historique des mots de passe,
00:00:16 quels sont les constats aujourd'hui,
00:00:19 et puis essayer de,
00:00:21 alors je n'ai pas de boule de cristal,
00:00:23 mais de deviner les tendances de demain.
00:00:26 Et en tout cas, de privilégier, on va dire,
00:00:32 une impulsion qui irait dans le sens
00:00:35 de retrouver un peu ces libertés,
00:00:39 ces données personnelles, je l'espère.
00:00:42 Alors hier, quelle était la situation avec les mots de passe ?
00:00:49 Hier, en fait, on avait essentiellement
00:00:54 de la confiance pour accéder aux différents systèmes,
00:00:57 et essentiellement, non pas de l'authentification,
00:01:01 mais de l'identification.
00:01:03 Au tout début d'Internet, typiquement,
00:01:06 les réseaux ARPANET ou les réseaux dans les universités
00:01:10 étaient des réseaux de confiance,
00:01:12 donc on partageait le même réseau avec des collègues
00:01:17 et avec des utilisateurs avertis,
00:01:20 et il n'y avait pas vraiment de sécurité
00:01:24 au sens très large des choses,
00:01:26 les protocoles de l'Internet n'ont pas été conçus
00:01:28 pour être sécurisés,
00:01:30 donc n'ont pas été conçus pour être chiffrés,
00:01:32 déjà en partie,
00:01:34 et très peu avaient intégré des mécanismes d'authentification,
00:01:39 ou alors des mécanismes d'authentification très simples.
00:01:42 Tout au moins sur la partie transport,
00:01:44 il n'y avait aucune sécurité,
00:01:46 l'authentification était relativement faible.
00:01:51 Les accès étaient essentiellement basés
00:01:54 sur la connaissance du système,
00:01:56 c'est-à-dire que dès lors que vous connaissiez
00:01:58 une adresse IP d'un système,
00:02:00 vous pouviez vous y connecter,
00:02:02 dès lors que vous connaissiez le login d'un utilisateur,
00:02:06 vous étiez assez libre de l'utiliser,
00:02:09 ou dès lors que vous aviez accès
00:02:12 au périmètre physique du réseau,
00:02:15 vous pouviez vous y connecter,
00:02:17 très simplement, physique ou même logique.
00:02:21 On peut faire un peu le parallèle aujourd'hui
00:02:24 avec le phénomène du shadow IT,
00:02:27 dans lequel dès lors que les utilisateurs
00:02:30 ont un accès légitime au système,
00:02:33 ils peuvent connecter presque autant de périphériques
00:02:38 qu'ils le souhaitent,
00:02:41 dès lors que vous avez accès au Wifi,
00:02:45 vous pouvez connecter autant de périphériques
00:02:49 que vous voulez au Wifi de l'entreprise,
00:02:51 que ce soit votre smartphone, votre tablette,
00:02:53 ou des périphériques auxiliaires,
00:02:56 c'est une pratique qui se fait beaucoup,
00:02:59 y compris des périphériques personnels,
00:03:03 ce qui pose un certain nombre de problèmes,
00:03:06 puisque ces périphériques personnels
00:03:08 n'obéissent pas à la politique de sécurité
00:03:10 généralement d'une entreprise,
00:03:12 et donc on se retrouve surtout
00:03:14 avec un croisement de périmètres,
00:03:16 un périmètre personnel et un périmètre professionnel
00:03:19 qui sont de plus en plus confondus,
00:03:21 justement, lorsque l'on rentre
00:03:24 dans le périmètre de l'entreprise
00:03:26 avec un périphérique personnel,
00:03:28 ce qu'on appelle le BIOD,
00:03:30 Bring Your Own Device,
00:03:32 qui est à la croisée du professionnel et du personnel,
00:03:37 mais qui est permis par simplement des faiblesses
00:03:41 d'accès aux périmètres physiques et logiques
00:03:44 qui étaient autrefois tout à fait normales,
00:03:46 puisqu'il n'y avait pas de mécanisme d'authentification
00:03:49 et de ségrégation des différents réseaux
00:03:52 et des différents périphériques,
00:03:54 et aujourd'hui c'est quand même
00:03:56 de plus en plus mal toléré,
00:03:58 et il y a de plus en plus à la fois
00:04:00 de politiques de sécurité
00:04:02 qui interdisent cet usage
00:04:04 qui n'est pas vraiment prévu,
00:04:06 mais en plus de contrôle d'accès réseau,
00:04:11 de NAC,
00:04:13 qui interdirait des périphériques
00:04:15 non autorisés sur le réseau,
00:04:17 qui permettent donc de rétablir
00:04:20 ce périmètre uniquement aux périphériques
00:04:23 qui sont autorisés et dûment authentifiés
00:04:26 sur le réseau.
00:04:28 Autrement dit, hier on avait une certaine
00:04:30 sécurité par l'obscurité,
00:04:31 où c'était juste la connaissance, grosso modo,
00:04:33 qui permettait de se connecter à un système,
00:04:35 et plutôt un mécanisme d'identification,
00:04:40 plutôt qu'une réelle authentification,
00:04:42 au sens où on l'entend aujourd'hui,
00:04:45 c'était le principe du déclaré
00:04:48 plutôt que prouvé.
00:04:50 Typiquement, un bon exemple,
00:04:52 très simple et non informatique,
00:04:54 c'est le principe de la photo du porteur
00:04:57 sur un badge.
00:04:59 Si je mets ma photo sur le badge
00:05:03 avec le logo de l'entreprise,
00:05:05 on va croire que je suis salarié
00:05:07 et employé de l'entreprise,
00:05:09 et je vais, dans certains cas,
00:05:11 pouvoir rentrer très facilement
00:05:12 dans une entreprise.
00:05:14 Pour autant, je n'ai jamais eu à m'authentifier
00:05:17 auprès de quiconque.
00:05:19 J'ai simplement pris les us et coutumes,
00:05:23 comme si je connaissais le périmètre,
00:05:25 alors que je ne le connais pas spécialement.
00:05:27 Un simple badge me permet de rentrer
00:05:30 dans beaucoup d'entreprises.
00:05:32 Le principe de l'identification
00:05:33 plutôt que de l'authentification.
00:05:35 Je connais le design d'un badge,
00:05:37 donc ça me permet de me déclarer
00:05:39 comme employé de l'entreprise.
00:05:41 D'ailleurs, quand on y réfléchit,
00:05:43 non seulement ça reste très vrai
00:05:46 à l'heure actuelle,
00:05:47 c'est toujours le cas,
00:05:49 ça permet toujours de rentrer
00:05:51 dans des entreprises
00:05:52 ou avec un badge visiteur,
00:05:55 mais c'est aussi toujours le cas
00:05:56 de pas mal d'autres systèmes
00:05:58 qui sont, eux, des systèmes utilisés
00:06:00 comme des systèmes d'authentification,
00:06:01 comme les cartes RFID,
00:06:03 les cartes de contrôle d'accès
00:06:04 qu'on utilise dans pas mal d'entreprises.
00:06:07 Je pense surtout aux cartes RFID dites LF,
00:06:12 Low Frequency,
00:06:14 parce que ce sont les cartes RFID
00:06:16 les moins sécurisées
00:06:18 et traditionnellement,
00:06:20 les cartes RFID LF
00:06:22 ne sont qu'utilisées pour leur identifiant.
00:06:26 Mais il n'y a pas de mécanisme
00:06:27 d'authentification.
00:06:28 Une carte RFID Low Frequency,
00:06:31 un badge ne va lire que son identifiant.
00:06:37 Et donc, il n'y a pas de mécanisme
00:06:39 d'authentification,
00:06:40 mais un mécanisme d'identification,
00:06:42 parce que cet identifiant,
00:06:43 on peut le répliquer,
00:06:45 on peut le rejouer,
00:06:46 on peut cloner très facilement le badge
00:06:48 parce qu'il n'y a pas de dispositif
00:06:49 de sécurité.
00:06:50 Autrement dit,
00:06:51 il suffit juste de connaître
00:06:53 l'identifiant de la personne
00:06:56 pour se faire passer pour la personne
00:06:58 dans tout le périmètre de l'entreprise,
00:07:00 le numéro d'employé typiquement,
00:07:02 ou un numéro de badge
00:07:04 qui est relié au numéro d'employé.
00:07:06 Il y a encore beaucoup d'entreprises
00:07:08 dans lesquelles on utilise
00:07:09 ces fameuses cartes RFID,
00:07:11 donc Low Frequency.
00:07:13 L'exemple, c'est HID classique,
00:07:15 c'est un exemple de modèle
00:07:17 qui est vulnérable à ce genre d'attaque
00:07:19 puisqu'il n'y a pas d'authentification,
00:07:21 comme je dis,
00:07:22 c'est juste une lecture d'identifiant.
00:07:24 On a aussi une évolution de ce système-là
00:07:27 dans les entreprises maintenant
00:07:28 qui utilisent du Haute Fréquence,
00:07:31 donc HF pour Haute Fréquence,
00:07:33 ou High Frequency,
00:07:35 ou aussi appelé NFC maintenant
00:07:37 avec l'apparition sur smartphone
00:07:39 d'applications de lecture
00:07:41 et d'usage sans contact.
00:07:44 En général, ces cartes RFID Haute Fréquence
00:07:48 sont plus sécurisées
00:07:50 du fait que les Hautes Fréquences
00:07:53 permettent en général
00:07:55 l'utilisation de puces
00:07:57 qui sont plus sophistiquées
00:07:58 et qui permettent de faire de l'authentification,
00:08:00 donc à travers, par exemple, des challenges,
00:08:02 des challenges de sécurité.
00:08:04 On n'est plus juste à présenter
00:08:06 le même identifiant
00:08:07 à chaque fois que le lecteur nous le demande,
00:08:09 mais on est sur un challenge
00:08:11 qui est fait entre le lecteur et le badge
00:08:14 et généralement, une signature
00:08:17 ou un chiffrement de ce challenge par la carte.
00:08:20 Et comme le challenge est à chaque fois différent,
00:08:23 c'est le principe d'un challenge aléatoire,
00:08:25 on a une authentification,
00:08:27 c'est-à-dire que le lecteur vérifie bien
00:08:29 que le badge connaît le secret
00:08:31 et signe bien ou chiffre bien
00:08:33 avec ce secret-là,
00:08:35 ce qui, cette fois-ci,
00:08:37 relève plus de l'authentification
00:08:39 que de l'identification.
00:08:41 Ceci dit, on a certaines technologies
00:08:43 donc Haute Fréquence
00:08:45 qui sont elles-mêmes,
00:08:46 qui ne font que de l'identification,
00:08:48 donc là encore, il faut se méfier.
00:08:51 Et alors, moi, ce que j'ai pu voir même en audit,
00:08:54 ce sont des cartes RFID
00:08:56 qui sont en Haute Fréquence à l'état de l'art,
00:08:58 c'est-à-dire qui permettent de faire
00:08:59 de l'authentification forte,
00:09:01 mais qui sont mal utilisées,
00:09:04 mal enrôlées,
00:09:06 sur lesquelles il y a un problème sur l'usage.
00:09:09 Et typiquement, sur des cartes RFID
00:09:12 dites de haute sécurité,
00:09:13 comme par exemple du DES Fire EV2,
00:09:17 il y a pas mal de cartes
00:09:19 qui ont leur clé par défaut,
00:09:20 donc la clé 0000
00:09:22 ou la clé FFFFF.
00:09:24 Du coup, vous avez un mécanisme de sécurité
00:09:26 qui est fort,
00:09:27 mais avec une clé par défaut,
00:09:29 ce qui fait qu'en fait,
00:09:30 on peut très simplement dupliquer
00:09:32 ou usurper le badge.
00:09:34 Et donc, utiliser une technologie sophistiquée,
00:09:37 en fait, n'est pas plus sécurisé
00:09:40 parce qu'elle est mal utilisée.
00:09:43 Notamment, ces clés par défaut
00:09:44 qui sont encore très souvent utilisées
00:09:46 dans les entreprises.
00:09:48 Et quand on pose la question
00:09:50 à l'intégrateur de ce système,
00:09:52 il nous dit que
00:09:54 le changement des clés par défaut,
00:09:56 en fait, c'est une prestation en plus,
00:09:58 donc il faut payer.
00:10:00 Autrement dit,
00:10:01 on vous vend un dispositif de sécurité
00:10:03 qui est cher,
00:10:04 puisqu'il est à l'état de l'art de la sécurité,
00:10:06 mais il faut rajouter,
00:10:08 en fait, des prestations supplémentaires
00:10:11 pour le configurer correctement.
00:10:13 Sinon, on vous met des clés
00:10:15 qui sont basiques
00:10:17 et qui permettent la duplication
00:10:19 de ce moyen d'authentification,
00:10:20 très simplement.
00:10:21 Donc ça, c'est un vrai souci.
00:10:23 Autre problème qu'on voit aussi
00:10:25 dans la fausse authentification
00:10:28 qui pourrait être promise
00:10:29 par certaines technologies de badge,
00:10:31 ce sont des badges qui sont compatibles
00:10:33 avec plusieurs technologies sans contact.
00:10:36 Par exemple, parce que vous avez commencé
00:10:38 à déployer des lecteurs de badge
00:10:40 dans une partie de l'entreprise,
00:10:42 l'entreprise grandit
00:10:45 et vous avez une technologie plus récente
00:10:47 ou des lecteurs de badge plus récents
00:10:49 à certains autres endroits de l'entreprise,
00:10:51 donc vous choisissez des cartes
00:10:53 qui sont compatibles
00:10:54 avec les deux lecteurs, typiquement,
00:10:56 avec deux technologies différentes.
00:10:58 Et vous avez des cartes
00:11:00 qui fonctionnent
00:11:01 avec un mode de rétrocompatibilité,
00:11:04 ce qui permet, en fait,
00:11:06 à celui qui présente la carte
00:11:09 de, par exemple, choisir volontairement
00:11:11 s'il veut utiliser
00:11:13 le mécanisme de sécurité le moins solide
00:11:16 au détriment du mécanisme,
00:11:18 du vrai mécanisme
00:11:19 qui permet de faire de l'authentification sérieuse
00:11:21 sur un système.
00:11:23 Ce qui permet un downgrade de la sécurité
00:11:25 et donc de passer
00:11:27 de ce qu'on penserait être une authentification
00:11:29 à une simple identification.
00:11:31 Et ça, je l'ai déjà rencontré
00:11:33 dans des périmètres très sensibles,
00:11:35 malheureusement dans des périmètres LPM.
00:11:38 Donc, c'est des choses
00:11:39 qui sont malheureusement encore assez communes.
00:11:43 Ou alors des mauvaises utilisations
00:11:44 des fonctions de sécurité
00:11:46 par les intégrateurs de solutions
00:11:48 ou par les constructeurs de solutions
00:11:50 qui font qu'on utilise une technologie
00:11:52 qui est sécurisée,
00:11:53 mais qu'on ne challenge pas cette technologie.
00:11:56 On va simplement faire une lecture non authentifiée
00:11:58 sur le badge, par exemple.
00:12:00 Ça m'est arrivé aussi.
00:12:02 Donc, on utilise un badge
00:12:04 qui permet de faire de l'authentification,
00:12:06 mais on va utiliser des fonctions,
00:12:07 on va dire de bas niveau,
00:12:09 qui font juste de la lecture
00:12:10 sans authentification et sans challenge.
00:12:13 Voilà.
00:12:14 Donc, on a cette problématique, en fait,
00:12:17 authentification versus identification,
00:12:20 qu'on retrouve même sur des technologies récentes
00:12:23 par justement des défauts d'intégration,
00:12:25 des défauts de configuration,
00:12:27 de la rétrocompatibilité
00:12:29 et aussi une mauvaise utilisation
00:12:30 des fonctions de sécurité
00:12:32 sur des dispositifs
00:12:35 qui sont pourtant récents.
00:12:38 Voilà.
00:12:39 Et ça ne se voit pas forcément,
00:12:40 à part bien connaître le système intimement
00:12:44 ou l'auditer.
00:12:45 En fait, on peut rester des années comme ça
00:12:47 sans le voir.
00:12:49 C'est ce qui m'est arrivé d'avoir des clients
00:12:50 qui sont restés plus de 3-4 ans
00:12:54 avec des systèmes
00:12:55 qui ne faisaient pas de l'authentification,
00:12:57 mais qui faisaient que l'identification
00:12:59 et donc sur lequel on pouvait usurper
00:13:01 très facilement n'importe quel utilisateur
00:13:03 sur le système.
00:13:05 Voilà.
00:13:06 C'est le principe, en fait,
00:13:07 cette sécurité d'hier,
00:13:09 du déclaratif.
00:13:11 Je déclare qui je suis censé être
00:13:14 et on me croit,
00:13:15 on me fait confiance
00:13:17 à la différence, en fait,
00:13:18 d'un mouvement qu'on voit grandir
00:13:21 qui est le mouvement de Zero Trust
00:13:24 qui est on ne fait plus confiance
00:13:26 en quoi que ce soit
00:13:27 et on vérifie tout dans le Zero Trust.
00:13:30 On n'accorde aucune confiance par défaut
00:13:32 et tout est vérifié.
00:13:33 Toute allégation, en fait, est vérifiée,
00:13:36 que ce soit une allégation d'utilisateur
00:13:38 ou une allégation même de sécurité
00:13:41 d'un système qui vient se connecter
00:13:43 sur mon infrastructure
00:13:45 ou sur mon réseau.
00:13:47 Voilà.
00:13:48 Alors, le Zero Trust est quand même devenu
00:13:50 un terme un peu marketing
00:13:51 où on trouve beaucoup de fabricants
00:13:54 qui disent faire des solutions Zero Trust,
00:13:57 mais sur lequel, derrière,
00:13:59 on n'a pas une conception by design
00:14:01 qui fasse systématiquement du Zero Trust
00:14:04 parce que, certaines fois,
00:14:07 il est compliqué de vérifier vraiment
00:14:10 qu'un utilisateur, typiquement,
00:14:12 applique correctement une politique de sécurité.
00:14:15 Une politique de sécurité
00:14:17 peut être choisie dans l'entreprise.
00:14:18 Est-ce qu'on peut vérifier vraiment
00:14:20 tous les aspects d'une politique sécurité
00:14:22 de manière automatisée
00:14:24 et de manière systématique ?
00:14:26 C'est rarement le cas.
00:14:28 Il y a beaucoup de solutions
00:14:29 qui disent faire du Zero Trust,
00:14:30 mais qui ne vérifient pas
00:14:32 tous les aspects d'une politique de sécurité
00:14:35 d'une entreprise.
00:14:37 Voilà.
00:14:38 Donc, ce n'est pas vraiment du Zero Trust.
00:14:40 Autrement dit, qu'on vous vend
00:14:42 au risque d'en décevoir certains.
00:14:45 Voilà.
00:14:46 Ça, c'était la problématique d'hier.
00:14:48 Le déclaratif, l'identifiant,
00:14:51 le réseau plus ou moins de confiance
00:14:53 entre utilisateurs avertis.
00:14:54 Donc, ça, ça marche
00:14:57 quand on est peu nombreux, on va dire,
00:14:59 et quand la sécurité par l'obscurité
00:15:02 était encore prédominée,
00:15:04 on va dire, dans notre périmètre informationnel,
00:15:08 ce qui n'est plus du tout le cas,
00:15:09 évidemment, maintenant,
00:15:11 où on essaye d'opérer une transition
00:15:16 entre des systèmes
00:15:18 qui sont de plus en plus complexes
00:15:19 et qui doivent être interopérables.
00:15:22 C'est le titre de cette partie-là
00:15:26 que j'ai choisie.
00:15:28 Avec notamment ce qu'on trouve le plus souvent
00:15:31 comme élément authentifiant dans nos systèmes,
00:15:34 ce sont les fameux mots de passe.
00:15:37 Évidemment, qui sont loin d'être idéaux,
00:15:43 comme on va le voir.
00:15:46 Ces mots de passe, en fait,
00:15:48 ils ont peut-être pour avantage
00:15:50 d'être assez universellement compatibles
00:15:54 sur la plupart des périphériques
00:15:55 que l'on manipule au quotidien,
00:15:57 que ce soit des smartphones,
00:15:59 que ce soit des tablettes,
00:16:00 que ce soit des ordinateurs,
00:16:03 voire même des claviers de contrôle d'accès
00:16:09 type interphone,
00:16:11 sur lequel on tape des codes
00:16:14 pour s'authentifier.
00:16:15 Donc ça, c'est à peu près leur seul avantage,
00:16:17 c'est cette compatibilité assez universelle.
00:16:19 Des mots de passe, on en trouve partout
00:16:21 et c'est à peu près compatible partout.
00:16:23 Les avantages s'arrêtent à peu près là.
00:16:25 Pourquoi ? Parce qu'on a énormément d'inconvénients.
00:16:28 Sur les inconvénients,
00:16:30 je pense que c'est des inconvénients
00:16:31 que vous connaissez,
00:16:32 mais qu'il a été utile de rappeler
00:16:33 pour voir un peu comment on peut trouver
00:16:35 des palliatifs à tous ces inconvénients.
00:16:38 Mais déjà, ils sont prenombreux.
00:16:40 Je ne sais pas si vous avez déjà fait
00:16:42 le décompte des mots de passe que vous utilisez,
00:16:45 du nombre surtout de mots de passe
00:16:46 que vous utilisez.
00:16:48 Moi, j'ai regardé récemment,
00:16:50 j'ai à peu près 1400 mots de passe différents.
00:16:53 Comment je le sais ?
00:16:55 Parce que j'utilise un gestionnaire
00:16:59 de mots de passe, simplement.
00:17:00 Sinon, ça serait beaucoup trop compliqué
00:17:02 d'aller les compter.
00:17:04 Donc, ceux qui utilisent des petits carnets
00:17:09 de mots de passe peuvent faire le décompte,
00:17:11 mais c'est quand même un peu plus long.
00:17:13 Dans un gestionnaire de mots de passe,
00:17:14 c'est un peu plus facile de voir
00:17:15 le nombre d'entrées qu'on a.
00:17:17 Toujours est-il que 1400 mots de passe,
00:17:20 c'est considérable.
00:17:22 Et notamment, s'il fallait s'en rappeler,
00:17:25 ce serait tout bonnement impossible,
00:17:27 à moins de choisir souvent le même
00:17:30 ou toujours le même,
00:17:32 ce qui est évidemment très mauvais
00:17:34 en termes de sécurité.
00:17:36 On me demande 1400 mots de passe depuis quand ?
00:17:39 Depuis que j'utilise des services en ligne.
00:17:42 J'ai mis la plupart de mes mots de passe.
00:17:45 Alors, j'ai une ségrégation
00:17:46 mots de passe personnel et mots de passe professionnel.
00:17:48 Donc là, je parle juste des mots de passe personnels.
00:17:51 Mais j'ai 1400 mots de passe
00:17:54 depuis que j'utilise des services en ligne.
00:17:56 J'utilise Internet depuis à peu près mes 13-14 ans.
00:18:00 Certes, ça fait un petit peu longtemps,
00:18:03 mais je compte pas les services
00:18:05 sur lesquels je ne me suis pas connecté depuis 10 ans.
00:18:07 Après, ça sort.
00:18:09 Ce sont des services que j'ai utilisés récemment,
00:18:12 autrement dit.
00:18:14 Donc la problématique,
00:18:16 c'est des mots de passe trop nombreux,
00:18:17 c'est des mots de passe qui sont impossibles
00:18:19 de se rappeler.
00:18:21 On va se rappeler de 1400 mots de passe,
00:18:22 c'est tout bonnement impossible,
00:18:23 à moins de mettre des mots de passe
00:18:25 qui sont à peu près toujours les mêmes
00:18:27 ou qui varient très peu d'un service à l'autre.
00:18:29 Ce qui est une mauvaise idée,
00:18:32 parce que déjà,
00:18:34 c'est ce que font beaucoup d'utilisateurs.
00:18:36 Et donc, il y a beaucoup de ces mots de passe
00:18:37 qui sont en pratique réutilisés.
00:18:40 Comment on le sait ?
00:18:41 Dès qu'il y a une fuite,
00:18:42 dès qu'il y a un hack d'un site
00:18:44 avec une fuite de mots de passe,
00:18:46 on constate deux choses.
00:18:47 Déjà, on constate qu'il y a beaucoup d'utilisateurs
00:18:49 qui utilisent le même mot de passe.
00:18:51 Donc des mots de passe de type password,
00:18:54 de type 1234, 12345678,
00:18:58 qu'on retrouve vraiment très couramment
00:19:01 chez beaucoup d'utilisateurs.
00:19:02 Donc il va y avoir 10% des utilisateurs,
00:19:04 ce qui est considérable,
00:19:06 qui utilisent des mots de passe
00:19:07 qui sont très faibles,
00:19:08 et de ce type-là.
00:19:10 Donc déjà, des utilisateurs
00:19:11 qui utilisent le même mot de passe, chacun.
00:19:14 Et en plus de ça,
00:19:16 quand on observe des fuites
00:19:18 sur différents services,
00:19:19 comme le login de l'utilisateur
00:19:22 ou son mail est le même
00:19:24 d'un service à l'autre,
00:19:25 on peut faire des recoupements
00:19:26 entre services,
00:19:27 et on peut voir qu'un même utilisateur
00:19:29 utilise souvent le même mot de passe
00:19:32 sur différents services,
00:19:33 quand bien même ce mot de passe-là
00:19:35 serait un mot de passe un peu plus complexe
00:19:37 qu'12345678.
00:19:39 Mais justement,
00:19:40 parce que l'utilisateur, on va dire, lambda,
00:19:43 n'utilise pas de gestionnaire de mots de passe,
00:19:45 il va utiliser souvent le mot de passe
00:19:47 sur différents services,
00:19:49 ce qui facilite les attaques,
00:19:51 je vous ai mis là
00:19:52 trois types d'attaques classiques,
00:19:54 mais de password reuse,
00:19:57 les attaques de password spraying.
00:19:59 Donc password spraying,
00:20:00 c'est pour un attaquant
00:20:01 de prendre le login mot de passe
00:20:04 d'un service et l'essayer
00:20:05 sur un deuxième service,
00:20:07 et ce qui du coup,
00:20:09 place votre niveau de sécurité
00:20:11 au niveau de sécurité le plus faible
00:20:13 de tous les services que vous utilisez.
00:20:15 Donc si vous utilisez un site web
00:20:17 avec un très mauvais niveau de sécurité
00:20:20 et que vous utilisez le même mot de passe
00:20:22 sur tous les sites web,
00:20:23 toute votre sécurité est rabaissée
00:20:25 au niveau de sécurité le plus faible
00:20:27 de tous les sites que vous utilisez.
00:20:29 Donc là, c'est le principe du password spraying.
00:20:32 Et credential stuffing,
00:20:34 ça va être d'utiliser plusieurs logins
00:20:36 ou mots de passe probables
00:20:37 jusqu'à trouver le bon,
00:20:39 donc faire du brute force de mots de passe
00:20:41 et pas uniquement réutiliser un couple
00:20:44 de login mot de passe,
00:20:45 mais utiliser des mots de passe
00:20:48 qui sont fréquemment utilisés
00:20:50 ou qui pourraient contenir
00:20:51 des données personnelles vous concernant,
00:20:53 donc le nom de votre chien,
00:20:55 typiquement votre numéro de téléphone,
00:20:57 votre date de naissance,
00:20:58 qui très souvent figure dans les mots de passe.
00:21:01 Voilà, c'est ces trois types d'attaques
00:21:04 qu'on peut retrouver du fait
00:21:06 que ces mots de passe
00:21:07 sont assez souvent réutilisés.
00:21:09 Et pourquoi ils sont souvent réutilisés ?
00:21:11 Parce que les gens ne peuvent pas se rappeler
00:21:13 d'un aussi grand nombre de mots de passe.
00:21:16 Et pourquoi ils ont à se rappeler
00:21:17 d'un aussi grand nombre de mots de passe ?
00:21:18 Bien souvent parce qu'ils n'utilisent pas
00:21:20 de coffre-fort de mots de passe,
00:21:21 tout simplement.
00:21:23 Donc la bonne pratique,
00:21:25 c'est d'utiliser un coffre-fort de mots de passe
00:21:28 à la kippass un peu.
00:21:30 Alors il y en a en ligne,
00:21:32 il y en a hors ligne.
00:21:33 Personnellement, je n'ai pas trop confiance
00:21:35 dans les coffres-forts de mots de passe en ligne.
00:21:38 Il y a eu plusieurs attaques
00:21:39 qui ont eu lieu sur ces coffres-forts
00:21:41 de mots de passe en ligne.
00:21:43 Et par ailleurs, utiliser un coffre-fort
00:21:45 qui est dans une application web,
00:21:47 en fait,
00:21:49 comporte une importante surface d'attaque
00:21:52 sur ce coffre-fort,
00:21:54 puisqu'on peut faire de l'injection de code
00:21:56 sur une page web,
00:21:57 et donc récupérer des mots de passe,
00:22:00 récupérer des mots qui figuraient dans la page,
00:22:02 dont les mots de passe, par exemple,
00:22:03 quand ils sont affichés,
00:22:05 aller faire,
00:22:08 court-circuiter le presse-papier,
00:22:10 puisque en JavaScript, sur une page web,
00:22:12 on a accès au presse-papier.
00:22:13 Donc pour moi, c'est un peu dangereux
00:22:15 d'utiliser un coffre-fort web,
00:22:17 donc je préfère utiliser un coffre-fort,
00:22:19 un client lourd,
00:22:21 avec un coffre-fort local de type kippass
00:22:24 que je synchronise par mes propres moyens,
00:22:26 par exemple avec SingSing,
00:22:28 qui fait de la synchronisation
00:22:31 entre machines, mais paire à paire,
00:22:33 donc sans service centralisé,
00:22:35 du coup, mon coffre-fort de mots de passe
00:22:38 n'est présent que sur les périphériques
00:22:40 que j'utilise,
00:22:41 et pas chez un tiers,
00:22:42 ou pas sur un cloud,
00:22:43 pour autant, il est synchronisé
00:22:45 et sauvegardé sur plusieurs périphériques,
00:22:47 ce qui évite d'oublier les mots de passe,
00:22:52 ou d'avoir à accéder à un deuxième périphérique
00:22:56 pour trouver son mot de passe.
00:22:59 Voilà, ça c'était une parenthèse
00:23:01 sur les coffres-forts de mots de passe
00:23:02 qu'il est absolument nécessaire
00:23:03 d'utiliser aujourd'hui,
00:23:04 et d'ailleurs, pourquoi ils sont si peu utilisés ?
00:23:06 Parce que simplement,
00:23:07 il faut les installer de base
00:23:08 dans les entreprises,
00:23:09 ou même, je dirais, presque,
00:23:11 sur les systèmes d'exploitation par défaut,
00:23:14 il faudrait qu'on ait systématiquement
00:23:16 pour l'utilisateur lambda,
00:23:17 un coffre-fort à mots de passe
00:23:19 qui soit installé
00:23:20 et le proposer par défaut.
00:23:22 En entreprise, en tout cas,
00:23:23 ça résoudrait pas mal de problèmes,
00:23:26 que l'utilisateur ait pas à gérer
00:23:28 cette installation et cette configuration
00:23:30 par lui-même,
00:23:31 qu'il y ait quelque chose
00:23:32 qui soit fourni par l'entreprise.
00:23:34 Et puis, la problématique des mots de passe,
00:23:39 c'est si vous perdez votre mot de passe,
00:23:41 s'il y a une fuite de données,
00:23:44 les mots de passe vont être réinitialisés
00:23:47 par les différents services,
00:23:48 et donc, du coup,
00:23:49 vous avez de temps en temps
00:23:50 à faire une procédure
00:23:51 de restauration de mots de passe,
00:23:52 en faisant un mot de passe oublié.
00:23:55 On vous envoie un lien
00:23:57 de reset de mots de passe par email.
00:24:00 Alors, tout ça peut être, du coup,
00:24:03 vulnérable au phishing
00:24:05 et évidemment à la sécurité
00:24:06 de votre compte mail,
00:24:07 parce que si vous utilisez
00:24:08 un mot de passe faible
00:24:09 sur votre compte mail
00:24:10 et que votre compte mail est déjà...
00:24:12 En fait, le mot de passe
00:24:13 de votre compte mail
00:24:14 est déjà dans la nature,
00:24:15 le compte mail,
00:24:16 c'est un peu la pierre angulaire
00:24:18 de la sécurité de tous vos comptes,
00:24:20 puisque ça permet de faire
00:24:22 récupérer le mot de passe.
00:24:23 Donc, il faut que votre compte mail
00:24:25 ait le mot de passe le plus complexe
00:24:27 et soit le mieux sécurisé
00:24:28 de tous vos comptes,
00:24:29 j'ai envie de dire,
00:24:30 y compris avec de l'authentification
00:24:32 forte si possible,
00:24:33 puisque si votre compte mail
00:24:35 est compromis,
00:24:36 ce sont tous vos comptes
00:24:38 qui sont potentiellement compromis
00:24:39 avec cette procédure
00:24:40 de restauration de mots de passe
00:24:41 qu'on utilise bien trop souvent,
00:24:44 malheureusement.
00:24:46 Autre problème de ces fameux mots de passe,
00:24:47 c'est qu'il ne suffit pas d'un mot de passe
00:24:49 pour s'authentifier,
00:24:50 mais aussi d'un login.
00:24:52 Donc, soit un pseudo,
00:24:53 soit une adresse mail
00:24:54 sur la plupart des sites.
00:24:56 Et donc, vous avez un accès
00:24:58 qui est partiellement nominatif.
00:25:00 Donc, on sait autrement dit
00:25:02 qui est l'utilisateur,
00:25:03 si votre adresse mail
00:25:05 est de la forme prénom.nom typiquement.
00:25:08 On sait rattacher à votre personne
00:25:12 une activité et des données
00:25:14 qui seraient sur le service
00:25:15 que vous utilisez,
00:25:16 ce qui est aussi problématique
00:25:18 pour des raisons de confidentialité
00:25:19 et de vie privée,
00:25:20 puisque le service en question
00:25:22 sait ce que vous faites.
00:25:23 Et en cas de fuite de données,
00:25:25 on rattache aussi votre activité
00:25:27 à votre prénom, votre nom,
00:25:28 donc probablement à votre personne.
00:25:30 Donc, des croisements sont possibles
00:25:33 sur les données utilisateurs
00:25:34 par les fournisseurs de services,
00:25:35 mais aussi entre fournisseurs de services.
00:25:38 Si deux services se font pirater,
00:25:40 le service 1 et le service 2,
00:25:42 que les bases de données fuitent,
00:25:44 on peut faire un croisement
00:25:45 en regardant quelles sont
00:25:46 les adresses mail en commun,
00:25:48 et du coup, faire un croisement de données
00:25:50 entre les deux services
00:25:51 et consolider les données
00:25:53 du service 1 et du service 2,
00:25:55 et dire que c'est le même utilisateur
00:25:56 par exemple,
00:25:58 qui adore les Pokémon
00:26:00 et qui adore jouer au foot.
00:26:02 Alors que c'était deux sites séparés
00:26:04 qui n'avaient rien à voir à la base.
00:26:06 Donc, du croisement de données
00:26:07 qui est de plus en plus problématique,
00:26:08 puisqu'on n'a quasiment pas une journée
00:26:10 sans qu'il y ait une fuite de données majeure
00:26:12 aujourd'hui,
00:26:13 avec le nombre de mots de passe
00:26:16 et de formulaire d'authentification
00:26:18 qu'on utilise.
00:26:19 C'est vraiment quotidien.
00:26:22 Tout ça pour dire que, du coup,
00:26:23 utiliser des mots de passe,
00:26:24 c'est clairement non sécurisé
00:26:26 à l'heure actuelle,
00:26:27 pour beaucoup de raisons,
00:26:28 et très coûteux en temps pour l'utilisateur,
00:26:30 de faire de la veille sur
00:26:32 est-ce que son mot de passe a fuité.
00:26:34 Donc, il y a des services en ligne
00:26:35 pour le vérifier
00:26:36 et changer son mot de passe
00:26:37 le cas échéant.
00:26:40 Il y a un service qui est très bien
00:26:41 qui s'appelle availingpound.com
00:26:45 qui permet de s'inscrire
00:26:46 à une sorte de veille.
00:26:47 Donc, vous mettez juste votre adresse mail
00:26:49 et si ce service a connaissance
00:26:51 d'une fuite de données
00:26:52 avec votre adresse mail,
00:26:53 vous êtes prévenu
00:26:54 que vos identifiants ont fuité
00:26:58 sur tel ou tel service en ligne
00:26:59 pour que vous changiez votre mot de passe
00:27:01 immédiatement.
00:27:05 Alors, on me demande sur le...
00:27:06 C'est pour ça que je répondais en même temps
00:27:09 à la question qui m'avait été posée
00:27:12 à availingpound.com
00:27:14 alors, j'espère que je ne fais pas de fautes
00:27:16 parce que je ne vais pas pouvoir vérifier.
00:27:18 Et ça doit ressembler à ça.
00:27:20 Le site, je leur donnerai au pire
00:27:22 en fin de séance
00:27:24 quand j'aurai pu consulter
00:27:25 et vérifier que c'est bien ça.
00:27:27 Mais a priori, c'est availingpound.com
00:27:29 qui est en plus un gars très sérieux
00:27:31 qui travaille de concert
00:27:35 avec les GAFAM
00:27:37 donc qui a accès à des sources fréquentes
00:27:41 et fraîches.
00:27:46 Voilà, donc ces fameux mots de passe
00:27:48 qui ne sont pas une solution clairement
00:27:50 et ne sont pas à recommander.
00:27:53 Pourquoi je n'arrive pas à sauter le slider ?
00:27:57 J'ai un petit souci, c'est le chat qui m'a...
00:28:01 Alors, à l'heure actuelle,
00:28:03 on a aussi l'authentification forte
00:28:05 qui apporte un léger mieux, on va dire.
00:28:09 En principe, elle est plus difficile à attaquer.
00:28:11 Alors, qu'est-ce qu'on appelle l'authentification forte ?
00:28:13 L'authentification forte, c'est au lieu d'avoir
00:28:15 une preuve de type "je connais"
00:28:17 qui est mon login mot de passe,
00:28:19 c'est d'avoir au moins deux preuves
00:28:21 de nature différentes.
00:28:22 Donc, par exemple, "je connais + je possède"
00:28:25 ou "je connais + je suis"
00:28:27 du domaine de la biométrie.
00:28:29 Autrement dit, on a grosso modo
00:28:32 trois familles de preuves
00:28:34 au sens large, dans la vie courante,
00:28:36 pas que en informatique,
00:28:37 mais "je connais", "je suis" et "je possède".
00:28:41 L'idée, c'est d'utiliser au moins deux
00:28:43 des trois familles de preuves.
00:28:45 À ce moment-là, on appelle ça
00:28:46 de l'authentification forte.
00:28:48 Pourquoi plusieurs mots de passe ne suffisent pas ?
00:28:51 Ça ne sert à rien de mettre
00:28:52 deux ou trois mots de passe différents.
00:28:54 Simplement parce qu'un voleur
00:28:56 qui aurait par exemple un enregistreur
00:28:58 de frappe clavier sur notre ordinateur,
00:29:00 s'il arrive à voler un mot de passe,
00:29:03 il arrivera à en voler avec la même difficulté
00:29:05 et sans rien installer de plus,
00:29:07 deux mots de passe ou trois mots de passe.
00:29:09 Autrement dit, ça ne sert à rien
00:29:10 de mettre plusieurs mots de passe,
00:29:12 puisque c'est le même type de preuve
00:29:14 et deux ou trois preuves
00:29:17 peuvent être volées par le même moyen,
00:29:19 c'est-à-dire par exemple
00:29:20 par un enregistreur de frappe clavier.
00:29:22 S'il est installé, c'est la même difficulté
00:29:23 pour enregistrer un, deux ou trois mots de passe.
00:29:26 Autrement dit, ça n'apporte pas
00:29:27 vraiment plus de sécurité.
00:29:28 Ce qui apporte plus de sécurité,
00:29:29 c'est de faire de l'authentification forte
00:29:31 avec plusieurs familles d'authentification.
00:29:34 Le typique "je connais + je possède"
00:29:38 qui est utilisé au passage, par exemple,
00:29:40 quand vous retirez du cache à un distributeur.
00:29:42 Vous devez posséder la carte bancaire
00:29:44 et connaître le code PIN associé.
00:29:46 Donc, on est sur l'authentification forte.
00:29:49 Pareil, si vous utilisez un OTP,
00:29:53 un token physique RSA,
00:29:55 c'est "je connais + je possède".
00:29:58 Si vous authentifiez avec de la biométrie
00:30:00 et un mot de passe,
00:30:01 ce sera le "je connais + je suis".
00:30:04 Donc là, on est sur l'authentification forte.
00:30:06 J'insiste sur le fait que la biométrie seule
00:30:08 n'est pas une authentification forte,
00:30:10 puisqu'on est que sur le domaine du "je suis".
00:30:13 On va voir que ça n'apporte pas
00:30:15 un grand niveau de sécurité.
00:30:17 Pour l'authentification forte,
00:30:19 l'avantage, c'est le niveau de sécurité.
00:30:21 Pour l'utilisateur, c'est plus difficile à attaquer.
00:30:23 Sauf que ces derniers temps,
00:30:25 il y a eu pas mal de progrès des attaquants
00:30:28 pour mettre à mal l'authentification forte.
00:30:31 Et donc, il va y avoir un certain nombre
00:30:34 d'inconvénients et de vulnérabilités malgré tout.
00:30:37 Déjà, pour l'utilisateur,
00:30:39 c'est une certaine lourdeur,
00:30:40 puisque s'authentifier avec l'authentification forte,
00:30:42 c'est clairement plus lent qu'avec un simple login mot de passe
00:30:45 sur lequel on peut faire un copier-coller,
00:30:48 très clairement, y compris de son coffre-fort
00:30:51 de mot de passe vers l'application.
00:30:53 Et surtout, il y a beaucoup d'authentification forte
00:30:56 qui fonctionne par SMS.
00:30:58 Vous vous authentifiez avec votre login mot de passe
00:31:01 et vous recevez parfois un code à usage unique,
00:31:04 par exemple pour votre banque, typiquement.
00:31:08 Alors, c'est justement en train de se périmer
00:31:13 pour les raisons que je vais vous expliquer,
00:31:15 parce que les SMS,
00:31:17 qui étaient utilisés par des services
00:31:19 pour faire de l'authentification forte,
00:31:21 sont finalement assez facilement piratables,
00:31:24 sur deux aspects.
00:31:25 Les SMS peuvent être assez facilement piratés,
00:31:28 donc autrement dit, un attaquant peut récupérer
00:31:30 le code à usage unique qui vous est envoyé sur votre téléphone,
00:31:33 même s'il n'a pas accès à votre téléphone, physiquement.
00:31:37 De deux façons.
00:31:39 Déjà, on-air, sur les fréquences,
00:31:44 GSM, 2G, 3G, 4G, 5G,
00:31:48 à part peut-être sur la 5G,
00:31:50 sur laquelle c'est un peu plus délicat.
00:31:53 Mais en fait, vos SMS sont peu ou pas chiffrés.
00:31:57 Alors, il y a des pays dans lesquels les SMS
00:31:58 ne sont pas du tout chiffrés.
00:31:59 Autrement dit, il suffit d'écouter les ondes radio
00:32:02 et votre voisin, votre voisin d'appartement
00:32:06 ou même à 100 ou 200 mètres,
00:32:09 il suffit d'écouter les ondes
00:32:11 et vous pouvez sniffer les SMS,
00:32:14 simplement avec un tout petit peu de matériel radio,
00:32:16 mais 20 euros suffit,
00:32:18 avec ces fameux récepteurs RTL-SDR
00:32:21 qui sont très peu chers,
00:32:22 qu'on trouve très facilement.
00:32:24 Avec 20 euros de matériel,
00:32:25 vous pouvez très facilement récupérer les SMS
00:32:27 qui ne sont pas chiffrés.
00:32:29 Et même pour les SMS qui sont chiffrés,
00:32:31 en France, on utilise l'algorithme de chiffrement A5-1
00:32:34 pour le chiffrement des SMS.
00:32:38 Et cet algorithme, on sait le casser en quasi-temps réel,
00:32:42 ce qui est suffisant pour récupérer ce fameux OTP,
00:32:46 ce fameux code à usage unique, donc ON-R.
00:32:48 Il suffit que l'attaquant soit dans votre cellule,
00:32:51 à peu près GSM, et à moins de 300 mètres,
00:32:54 c'est possible de récupérer ce fameux code OTP
00:32:56 et qu'il soit utilisé par l'attaquant juste avant vous.
00:32:59 Donc du coup, il ne sera pas valide pour vous,
00:33:00 mais il sera valide pour l'attaquant.
00:33:03 Du coup, ça casse complètement le modèle de sécurité, évidemment.
00:33:07 Donc là, il faut être à proximité, sur la même cellule,
00:33:12 donc à environ 300 mètres de la victime.
00:33:15 Il y a quand même une petite exigence d'être proche.
00:33:19 Ceci dit, il y a un autre mécanisme,
00:33:21 enfin même plusieurs autres mécanismes,
00:33:23 mais vous avez les attaques SS7
00:33:28 qui permettent de faire par Internet,
00:33:30 de faire de la redirection de SMS,
00:33:34 de la redirection d'appels,
00:33:36 tout simplement parce que les opérateurs
00:33:38 ont besoin d'être connectés entre eux
00:33:40 pour faire le routage.
00:33:42 Et si un opérateur, quelque part dans le monde,
00:33:44 n'est pas très sécurisé,
00:33:45 vous avez accès à ce cœur de réseau,
00:33:47 et par son cœur de réseau,
00:33:49 vous pouvez déclencher des redirections d'appels,
00:33:51 des redirections de SMS.
00:33:52 Donc ça, ce sont les attaques SS7,
00:33:54 je n'ai pas mis dans les slides.
00:33:56 Et sinon, une attaque plus courante
00:33:58 est ce qu'on appelle le SIM swapping
00:34:00 qui a fait énormément de dégâts,
00:34:02 notamment dans le secteur des crypto-monnaies,
00:34:05 puisqu'il y a beaucoup de places d'échange
00:34:07 de crypto-monnaies qui utilisaient les SMS
00:34:09 justement comme authentification forte.
00:34:11 Alors que faisaient les attaquants ?
00:34:13 Simplement, ils appelaient votre opérateur,
00:34:16 se faisaient passer pour vous,
00:34:17 en disant qu'ils avaient perdu la carte SIM,
00:34:21 et donc l'opérateur réexpédiait la carte SIM,
00:34:25 non pas à votre adresse,
00:34:26 mais à l'adresse de l'attaquant.
00:34:28 Et ensuite, l'attaquant utilisait cette carte SIM
00:34:30 nouvellement reçue de l'opérateur,
00:34:33 qui du coup utilisait votre numéro de téléphone,
00:34:36 était relié à votre numéro de téléphone,
00:34:38 et donc l'attaquant recevait sur la carte SIM
00:34:40 qu'il venait de commander,
00:34:42 vos OTP, votre code à usage unique.
00:34:44 Donc simplement en écrasant votre ligne,
00:34:46 en disant que vous avez perdu votre carte,
00:34:49 et en réorientant la ligne sur une nouvelle carte.
00:34:53 Ce qui est encore plus facile à faire maintenant
00:34:57 avec les eSIM, les SIM dématérialisés.
00:35:01 Autrement dit, on a au moins trois attaques
00:35:04 assez énormes sur les SMS,
00:35:06 il y a toujours du SIM swapping
00:35:08 très important chez les opérateurs,
00:35:11 et ça, ça touche tous les opérateurs mondiaux,
00:35:13 donc c'est une vraie plaie.
00:35:14 Autrement dit, il faut considérer que les SMS
00:35:16 ne sont pas du tout sûrs
00:35:19 pour faire de l'authentification forte
00:35:20 pour des choses sensibles.
00:35:22 En tout cas, pas pour votre banque
00:35:24 ou pour d'importantes sommes d'argent,
00:35:26 très clairement,
00:35:27 et probablement pas pour votre mail.
00:35:30 Ça, c'est pour la partie SMS.
00:35:31 Votre boîte mail, comme je l'ai dit,
00:35:33 peut déjà avoir été piratée,
00:35:34 ou quelqu'un peut avoir gardé
00:35:36 une session ouverte sur votre boîte mail,
00:35:38 ce qui est le cas par exemple
00:35:39 si vous avez consulté votre boîte mail
00:35:41 dans un cybercafé,
00:35:42 et que vous avez oublié de vous déconnecter.
00:35:45 Alors déjà, c'est pas une bonne chose
00:35:47 de consulter son mail dans un cybercafé,
00:35:49 mais si en plus vous avez oublié
00:35:51 de vous déconnecter de votre session,
00:35:52 la session peut être entretenue par quelqu'un
00:35:55 qui la ravive de temps en temps,
00:35:57 et donc qui peut garder un accès à votre boîte mail
00:36:00 sans que vous en ayez réellement conscience,
00:36:03 ce qui peut être gênant.
00:36:06 Ça, c'est le deuxième aspect
00:36:07 de la faiblesse de l'authentification forte.
00:36:10 Et d'autre part, et ça on le sait beaucoup moins,
00:36:13 mais même si votre authentification forte
00:36:15 est correctement conçue,
00:36:16 c'est-à-dire qu'elle n'utilise pas de SMS,
00:36:19 que votre boîte mail est correctement configurée
00:36:22 avec elle-même une authentification forte, par exemple,
00:36:25 en fait, on peut contourner une authentification forte
00:36:28 très facilement pour un attaquant
00:36:31 en utilisant du vol de session,
00:36:33 c'est-à-dire l'attaquant peut simplement
00:36:37 attendre que vous vous authentifiez
00:36:39 avec la fameuse authentification forte,
00:36:42 et ensuite utiliser une faille applicative
00:36:45 sur la partie web de votre application
00:36:47 pour voler votre cookie de session
00:36:49 et utiliser ce cookie de session
00:36:51 dans son propre navigateur.
00:36:53 Et en fait, comme ça,
00:36:55 il fait du vol de session
00:36:57 après que vous ayez fait l'authentification forte.
00:36:59 Donc, il récupère, autrement dit,
00:37:01 le privilège d'accès à votre session
00:37:04 sans avoir eu, au final,
00:37:06 à décliner ses deux preuves d'authentification
00:37:10 puisqu'il a directement détourné la session.
00:37:13 Donc, en fait, il n'a plus besoin
00:37:14 ni de connaître votre passe,
00:37:16 ni de connaître votre second facteur,
00:37:18 qui peut être un code à usage unique
00:37:20 ou une carte à puce, ou voilà.
00:37:23 Il n'a pas besoin de tout ça,
00:37:24 il récupère juste le numéro de session
00:37:26 qui est suffisant pour se connecter.
00:37:28 Et ça, ça permet, sur la plupart des applications,
00:37:30 de contourner tout mécanisme
00:37:32 d'authentification forte
00:37:34 dès lors qu'il y a, par exemple,
00:37:36 une faille XSS, cross-site scripting,
00:37:39 sur l'application.
00:37:41 On peut très souvent faire du vol de session
00:37:43 en cassant toute la sécurité du vol de session.
00:37:46 C'est comme si c'était une authentification faible, du coup,
00:37:49 dès lors qu'on a ce problème applicatif.
00:37:52 Alors, en plus, l'authentification forte,
00:37:56 il y a un énième problème,
00:37:57 c'est sa vulnérabilité au phishing.
00:37:59 Vous pouvez très bien être allé
00:38:02 sur un mauvais formulaire,
00:38:03 qui n'est pas le formulaire authentique
00:38:05 de l'application sur laquelle
00:38:06 vous voulez vous authentifier.
00:38:08 Mais imaginons que vous ayez reçu un lien
00:38:11 par messagerie instantanée, par email, etc.
00:38:14 Vous cliquez dessus pour vous authentifier
00:38:16 parce que vous croyez que c'est votre banque
00:38:18 qui vous envoie un email.
00:38:19 On vous signale une action anormale sur votre compte
00:38:22 en vous disant de vérifier.
00:38:24 Vous cliquez sur votre mail,
00:38:25 vous allez saisir, par exemple,
00:38:27 votre mot de passe et un code à usage unique
00:38:30 sur ce qui semble être le formulaire de votre banque,
00:38:32 mais qui ne serait pas le formulaire de votre banque
00:38:35 puisque, typiquement, vous avez été attaqué par du phishing.
00:38:39 Il faut savoir que le phishing permet de relayer
00:38:43 ce mot de passe et ce code à usage unique
00:38:45 sur le vrai site.
00:38:47 L'attaquant peut se connecter sur le vrai site
00:38:50 pendant que vous êtes connecté sur le faux site,
00:38:52 simplement en faisant le passage
00:38:55 du faux site au vrai site.
00:38:59 Derrière, il y a quelqu'un qui réplique ça
00:39:01 sur le vrai site.
00:39:02 Les informations que vous transmettez
00:39:04 seront validables sur le vrai site.
00:39:06 L'authentification forte, en général,
00:39:08 est vulnérable au phishing.
00:39:10 Le phishing, c'est une vraie plaie.
00:39:12 C'est pareil, ça casse tout mécanisme
00:39:14 d'authentification forte.
00:39:17 Récemment, on a vu un autre type d'attaque se développer,
00:39:20 qui sont les MFA fatigue,
00:39:23 la fatigue liée à l'authentification multifacteur.
00:39:27 C'est que, par exemple,
00:39:29 on vous envoie une notification quand vous vous connectez
00:39:32 pour vous dire "Est-ce bien vous qui vous êtes connecté ?"
00:39:35 ou "Merci de confirmer que vous avez essayé de vous connecter
00:39:38 à votre compte Facebook, Office 365, Outlook, Gmail, etc."
00:39:47 Les attaquants utilisent de plus en plus ce mécanisme-là
00:39:52 pour vous saturer de notifications
00:39:56 jusqu'à ce que vous disiez que oui, c'est bien vous
00:39:59 qui vous êtes connecté pour faire disparaître la notification.
00:40:03 Voir même, ils peuvent vous envoyer un message avant
00:40:06 en disant "Il y a un problème sur l'authentification du service.
00:40:11 Vous allez recevoir plein de messages.
00:40:14 N'en tenez pas compte.
00:40:17 Cliquez sur "Oui, c'est bien moi"
00:40:20 et ça fera disparaître tous les messages enveillissants d'avertissement.
00:40:24 C'est ça, le MFA fatigue.
00:40:27 C'est de saturer l'utilisateur victime,
00:40:31 la cible de messages de vérification que c'est bien lui
00:40:34 et il va finir un jour ou l'autre par en avoir marre
00:40:37 et à cliquer sur "Oui".
00:40:39 C'est comme ça qu'a été piraté Uber récemment.
00:40:42 Ça fait grand bruit puisque Uber avait été complètement piraté.
00:40:45 Il y avait accès à l'infrastructure interne,
00:40:47 il y avait accès à la messagerie instantanée Slack des employés,
00:40:51 il y a eu accès aux comptes administrateurs de l'entreprise
00:40:56 et à tous les comptes d'administration des serveurs d'Uber.
00:40:59 C'est par fatigue MFA,
00:41:02 quelqu'un qui a spammé les administrateurs
00:41:05 qui au bout d'un moment en ont marre des notifications
00:41:07 et ont cliqué sur "Oui" et ça suffit pour ouvrir la bergerie.
00:41:12 Ces MFA fatigue et ces attaques de phishing,
00:41:17 il y a énormément d'outils qui permettent de les automatiser maintenant
00:41:21 et de faciliter ce genre d'attaque.
00:41:23 Je vous en ai mis un certain nombre, mais il y a OTP Bot,
00:41:26 Telbot OTP, SMS Bot Bypass, SMS Bypass.
00:41:29 Les attaquants n'ont plus à faire ces attaques de manière manuelle
00:41:34 puisque maintenant on sait les automatiser, les industrialiser.
00:41:38 Ce qui vous montre que l'authentification forte
00:41:41 est bien vulnérable par bien des aspects.
00:41:44 Contrairement à ce que vous pourriez penser.
00:41:46 [Silence]
00:41:55 Je vous ai mis un schéma qui permet de comprendre
00:41:58 qu'un utilisateur peut être trompé par un faux site de phishing
00:42:02 qui s'est interposé entre lui et le véritable site
00:42:05 sur lequel il cherche à s'authentifier.
00:42:07 Et que le login mot de passe et le code reçu par SMS
00:42:11 peuvent être saisis sur un faux site
00:42:13 et que l'attaquant derrière retransmet ses login mot de passe
00:42:17 et ses OTP sur le véritable site pour avoir un accès à votre place.
00:42:23 Voir même dupliquer l'accès, c'est-à-dire qu'il vous donne l'accès
00:42:27 et le garde aussi pour lui-même à travers un vol de cookies,
00:42:32 un vol de session.
00:42:34 [Silence]
00:42:37 On a bien évidemment dans les usages d'authentification, la biométrie.
00:42:42 L'avantage de la biométrie, c'est qu'on l'a toujours sur soi,
00:42:45 elle est impossible à oublier.
00:42:47 Contrairement à un mot de passe, c'est déjà pas mal.
00:42:50 C'est commode pour ça, enfin les utilisateurs trouvent ça commode pour ça.
00:42:55 Et notamment, c'est très utilisé sur nos smartphones maintenant
00:42:58 avec soit de la reconnaissance faciale de type Face ID par exemple sur iPhone,
00:43:05 mais on a l'équivalent chez Samsung et sur d'autres marques de smartphones.
00:43:11 Donc, la reconnaissance faciale, typiquement, impossible à oublier,
00:43:16 on l'a toujours sur soi, c'est plutôt unique et plutôt fiable.
00:43:19 Alors, plutôt unique et plutôt fiable, ça dépend de quel type de biométrie exactement.
00:43:23 Si c'est la reconnaissance du visage et que vous avez un jumeau,
00:43:26 ça peut être problématique.
00:43:28 Un vrai jumeau, et même un faux jumeau, il peut y avoir des gens qui vous ressemblent beaucoup.
00:43:33 Et dans ce sens-là, c'est pas forcément totalement unique.
00:43:36 Par contre, pour ce qui est de l'IRIS par exemple,
00:43:39 reconnaissance de l'IRIS ou de l'empreinte digitale,
00:43:43 là on est plutôt sur quelque chose d'unique et de fiable,
00:43:46 parce qu'une empreinte digitale, on a estimé les chances,
00:43:50 mais on a moins d'une chance sur un milliard d'être identique entre deux empreintes digitales.
00:43:54 Donc, ça va être très difficile de trouver votre double en termes d'empreintes,
00:43:59 voire même quasiment impossible.
00:44:02 Pour rappel, on est 6-7 milliards sur Terre.
00:44:06 Et en fait, on n'a jamais vraiment trouvé deux empreintes digitales identiques,
00:44:10 y compris d'ailleurs pour de vrais jumeaux.
00:44:12 Donc, l'ADN ne fait pas tout.
00:44:14 Parce qu'y compris si vous avez le même ADN que quelqu'un d'autre,
00:44:17 il aura des empreintes digitales différentes,
00:44:20 puisque les empreintes digitales se développent par une expression de protéines
00:44:24 et pas par l'ADN en lui-même, pas par le génome.
00:44:28 Et donc, l'expression des gènes est toujours différente sur deux individus.
00:44:34 Donc, on aura des empreintes différentes.
00:44:36 Ça, c'est une étude qui vient du National Forensic Science Technology Center.
00:44:42 Ce qui fait que l'empreinte d'IRIS et l'empreinte digitale
00:44:45 sont plutôt uniques et plutôt fiables dans l'ensemble.
00:44:48 Alors, on a quand même un certain nombre d'inconvénients.
00:44:51 Évidemment, tout n'est pas parfait.
00:44:56 Déjà, tout ce qui est biométrique, c'est inchangeable.
00:44:59 C'est-à-dire qu'une fois que c'est compromis, c'est une compromission à vie.
00:45:03 Et ça, c'est quand même assez gênant.
00:45:05 Dès lors que quelqu'un copie par exemple votre empreinte digitale,
00:45:09 vous ne pouvez plus jamais vous servir d'empreinte digitale
00:45:12 sur les accès que vous avez déjà avec cette empreinte digitale
00:45:16 ou sur de futurs accès sur lesquels vous souhaiteriez l'utiliser.
00:45:20 Et ça, c'est un véritable problème.
00:45:22 Il y a même eu des expériences,
00:45:24 et notamment, c'était sur l'ancienne chancelière Angela Merkel
00:45:28 qui avait tendu la main à un moment à la caméra.
00:45:32 Et en fait, des gens se sont amusés à zoomer sur sa main
00:45:35 et à même zoomer sur son doigt et à récupérer les empreintes digitales.
00:45:40 Donc, simplement à partir d'images publiques, de vidéos publiques,
00:45:45 il est possible de récupérer les empreintes digitales
00:45:49 d'un haut dirigeant politique et éventuellement d'acquérir des accès
00:45:54 qui sont privilégiés par ce biais-là, par des images publiques,
00:45:57 par de l'usine, ce qui est aussi assez problématique.
00:46:01 Et donc, du coup, une vulnérabilité de cette biométrie sur le rejeu.
00:46:08 La plupart du temps, la biométrie va être rejouable.
00:46:11 C'est bien le problème.
00:46:13 C'est aussi ce qui se passe, alors qu'on voit un peu dans les films,
00:46:16 mais qui existe en vrai.
00:46:17 On vous invite à prendre un verre et on va récupérer en négatif
00:46:21 votre empreinte digitale sur le verre.
00:46:22 Et on va refaire un négatif de ce négatif dans des matières spécifiques
00:46:28 selon les types de capteurs.
00:46:30 On a un lien avec le gras qui reste sur le verre,
00:46:36 qui permet de reformer un négatif de négatif,
00:46:40 donc votre empreinte qui va fonctionner sur certains lecteurs.
00:46:43 Donc, votre empreinte, vous pouvez aussi la laisser dans des lieux publics
00:46:47 par ce biais-là.
00:46:49 Et parfois même, on a des problèmes liés à l'implémentation
00:46:55 de cette biométrie, quand ce n'est pas le facteur biométrique lui-même,
00:47:02 comme on vient de parler, qui est problématique.
00:47:04 Parfois, l'implémentation du lecteur est mauvaise,
00:47:07 notamment parce que l'acnyl, comme d'autres organismes,
00:47:12 force l'usage de traces partielles.
00:47:15 Autrement dit, les lecteurs biométriques ne peuvent pas stocker
00:47:21 votre trace complète, votre empreinte digitale complète.
00:47:25 C'est totalement interdit et proscrit.
00:47:28 Donc, on ne prend que des traces partielles, des points autrement dit.
00:47:31 Parce que si on arrivait à exfiltrer d'un lecteur l'empreinte complète,
00:47:35 on arriverait à s'authentifier sur n'importe quel autre lecteur.
00:47:39 Donc, les lecteurs ne prennent qu'une empreinte partielle.
00:47:42 Mais ça fragilise l'authentification, puisqu'au lieu d'avoir une chance
00:47:48 sur un milliard, si vous ne prenez qu'une empreinte partielle,
00:47:50 on a beaucoup plus de collisions possibles.
00:47:53 Et parfois, ces empreintes partielles, et là, il y a eu un nombre de cas
00:47:57 monumentaux, sont suffisantes pour tromper les systèmes.
00:48:01 Il y a des chercheurs qui ont montré que, par exemple,
00:48:04 il suffisait d'une petite dizaine d'empreintes seulement pour avoir
00:48:07 une chance sur trois d'arriver à s'authentifier sur un smartphone
00:48:11 sans connaître l'empreinte de son porteur.
00:48:13 Mais en gros, avec dix empreintes un peu génériques,
00:48:16 on arrive à, grosso modo, passer presque partout.
00:48:21 Enfin, dans un tiers des cas, à déverrouiller un smartphone
00:48:23 dont on ne connaît pas du tout l'empreinte du porteur
00:48:26 avec dix empreintes génériques.
00:48:28 Et récemment, il y a eu des attaques sur les PC Windows
00:48:39 où plusieurs lecteurs d'empreintes de trois grandes marques informatiques
00:48:44 – c'était le mois dernier, c'est tout au récent –
00:48:51 sous Windows, on pouvait contourner ce lecteur d'empreintes
00:48:55 par des vulnéralités un peu similaires dans l'implémentation
00:48:59 de la lecture partielle des lectures d'empreintes.
00:49:03 Donc, ça reste assez problématique, ces traces partielles,
00:49:06 avec des possibilités de contourner ces authentifications-là.
00:49:10 En plus, l'authentification biométrique est assez réglementée en Europe.
00:49:14 L'ACNIL considère qu'on ne peut pas mettre de l'authentification biométrique
00:49:17 partout et que c'est que pour des usages de sécurité avancés,
00:49:21 parce que c'est authentifiant et parce qu'il peut y avoir
00:49:26 une réutilisation de ces traces sur d'autres systèmes.
00:49:30 Autre problématique, c'est la sensibilité aux accidents de la vie.
00:49:34 Que se passe-t-il si on perd quelques doigts dans un accident,
00:49:37 la main ou un bras ? On va avoir du mal à s'authentifier.
00:49:42 Problématique aussi de la reconnaissance vocale.
00:49:46 Il suffit d'un rhume pour la rendre inopérante.
00:49:49 Si vous utilisez la reconnaissance vocale, il y a certaines banques en ligne,
00:49:52 par exemple, qui utilisent la reconnaissance vocale.
00:49:55 Il suffit que vous ayez une bonne angine, un bon rhume,
00:49:57 et on ne reconnaît plus votre voix. C'est assez problématique.
00:50:00 Alors, souvent, il y a un mécanisme d'authentification parallèle,
00:50:03 mais qui est souvent moins fort en termes de sécurité.
00:50:07 Donc, ça permet d'abaisser le niveau de sécurité,
00:50:10 de mettre ses fonctions biométriques, puisque l'attaquant va dire
00:50:13 « Non, je n'ai pas la biométrie ou je n'ai pas ma voix habituelle,
00:50:16 donc passons par un mode dégradé. »
00:50:18 Et maintenant, on a les outils d'intelligence artificielle,
00:50:21 par exemple, Agen, H-E-Y-G-E-N, qui permet carrément
00:50:26 de copier la voix de quelqu'un et de lui faire dire n'importe quoi,
00:50:30 y compris une phrase qu'il n'a jamais dite.
00:50:33 Il suffit d'avoir une vingtaine de secondes à peine,
00:50:36 entre 10 et 20 secondes de la voix de quelqu'un,
00:50:38 ce qui est très facile à utiliser quand quelqu'un fait un podcast
00:50:43 ou une vidéo YouTube, vous avez largement l'échantillon pour le faire,
00:50:47 ou lui passer un coup de fil, ou voir même sur le répondeur
00:50:50 de son téléphone où vous avez sa voix.
00:50:52 Il est très facile de dupliquer sa voix, lui faire faire dire n'importe quoi
00:50:54 ensuite avec des outils d'IA, donc très simples,
00:50:57 avec des outils type Agen, justement de faire dire n'importe quoi
00:51:01 et donc de bypasser les systèmes de reconnaissance vocale.
00:51:03 Et ça fonctionne très bien, il y a déjà des recherches dans ce sens-là
00:51:06 qui ont montré que la plupart des systèmes de reconnaissance vocale
00:51:08 étaient vulnérables à cette usurpation par intelligence artificielle.
00:51:12 Pareil sur la reconnaissance faciale, les systèmes type Face ID
00:51:19 étaient trompables au début par des photos.
00:51:21 Et d'ailleurs, il y a des distributeurs automatiques d'alcool
00:51:25 ou de cigarettes dans certains pays.
00:51:27 Et il y a des enfants qui ont trouvé que simplement en présentant
00:51:30 un magazine devant le distributeur, un magazine avec la photo d'un acteur,
00:51:35 ça suffisait à contourner l'authentification puisque le système
00:51:39 allait reconnaître le visage d'un adulte et donc allait distribuer
00:51:42 de l'alcool ou des cigarettes.
00:51:44 Donc, il y a eu une adaptation à ce type d'attaque qui est très simple,
00:51:51 qui a consisté à nécessiter un mouvement du visage,
00:51:59 par exemple un hochement de tête ou un sourire à faire,
00:52:03 de manière à éviter les images fixes, la présentation d'images fixes,
00:52:06 et donc l'attaque par rejeu.
00:52:08 Mais là encore, les derniers outils d'IA permettent d'animer un visage
00:52:13 très très simplement.
00:52:14 Donc, l'idée c'est que vous ayez la photo d'une image cible,
00:52:19 vous ayez une vidéo de vous en train de faire le mouvement que vous souhaitez,
00:52:23 par exemple un hochement de tête de droite à gauche, de haut en bas,
00:52:26 ou un sourire ou un clignement d'œil, et ça va répliquer vos mouvements
00:52:30 de visage sur une photo qui elle est fixe.
00:52:33 Et donc vous allez pouvoir animer le visage de quelqu'un d'autre.
00:52:37 Ce qui au passage d'ailleurs contourne complètement toutes les procédures
00:52:42 de Kawaii-Ci que je connais sur les plateformes par exemple
00:52:47 de crypto-monnaies, on vous demande qui vous êtes,
00:52:50 un justificatif de domicile et vos pièces d'identité.
00:52:53 En fait, tout ça s'est rendu totalement obsolète par l'intelligence artificielle,
00:52:58 que ce soit pour la génération de visage ou l'animation du visage ensuite.
00:53:04 Ça passe absolument tous les tests, ce qui montre a priori bien
00:53:10 que les procédures de Kawaii-Ci sont relativement obsolètes,
00:53:13 et qu'il va falloir penser à autre chose pour les banques,
00:53:17 pour faire l'authentification et le suivi des utilisateurs.
00:53:23 Est-ce que vous pouvez fermer votre micro, Niko, Gérard ?
00:53:29 Ça c'est problématique et ça fait partie des menaces à venir,
00:53:39 l'authentification Kawaii-Ci, sur la reconnaissance de visage,
00:53:43 l'animation de visage pour authentifier le possesseur d'un compte.
00:53:47 Il va falloir repenser complètement cette chose-là,
00:53:50 qui était déjà très pénible pour les utilisateurs,
00:53:53 mais qui n'apporte plus de sécurité maintenant qu'on a l'intelligence artificielle.
00:53:56 Donc là, je vais vous montrer justement sur les thèmes d'actualité.
00:54:00 Il y a exactement un mois, sur Ars Technica, vous avez un article
00:54:04 sur le bypass sur la plupart des PC Windows,
00:54:08 de ces systèmes de lecture d'empreintes qui étaient plus cibles,
00:54:12 sur plusieurs grandes marques de matériel informatique malheureusement.
00:54:18 Alors on a aussi dans ce qui existe, les SSO,
00:54:23 les SSO pour Single Sign-On, le fameux bouton "se connecter avec",
00:54:29 que vous voyez dans certaines mires d'authentification,
00:54:31 certains applicatifs, surtout web d'ailleurs,
00:54:34 qui utilisent donc "se connecter avec Google",
00:54:37 "se connecter avec votre compte Apple",
00:54:40 "se connecter avec votre compte Facebook" par exemple.
00:54:43 Ce qui est plutôt commode, il faut l'avouer,
00:54:47 parce que ça évite de créer des comptes partout,
00:54:50 parce que ça sert à la fois à créer votre compte et à s'authentifier avec,
00:54:53 donc ça c'est plutôt commode.
00:54:55 Par contre, il y a quand même beaucoup d'inconvénients,
00:55:00 notamment la disponibilité.
00:55:03 La disponibilité va être très complexe à assurer,
00:55:06 car le service va être très centralisé.
00:55:08 Si vous vous connectez partout avec votre compte Google,
00:55:12 et que Google est en carafe,
00:55:14 ce qui arrive une ou deux fois par an,
00:55:18 au moment où Google a des indisponibilités,
00:55:21 vous ne pouvez plus vous connecter sur aucun des services que vous utilisez.
00:55:24 Donc vous êtes complètement mis à la porte de tous vos services en ligne,
00:55:28 et pas que Google, puisque vous ne pouvez plus vous authentifier par Google
00:55:31 si Google lui-même est en panneau.
00:55:35 Et ça c'est une vraie problématique,
00:55:38 c'est que ça recentralise l'authentification de manière conséquente,
00:55:42 et vous avez des garanties de disponibilité qui vont se rétrécir,
00:55:47 puisqu'on ne dépend pas que d'un service, mais de plusieurs services.
00:55:50 Le service auquel vous cherchez à accéder,
00:55:53 et puis un service très utilisé,
00:55:57 qui est centralisé,
00:55:59 qui va vous permettre de vous authentifier,
00:56:02 à travers des choses comme OAuth, ou d'autres protocoles.
00:56:06 Il y a OpenID aussi qui existe en open source,
00:56:09 mais très peu de gens utilisent leur propre serveur OpenID pour s'authentifier,
00:56:13 et d'ailleurs peu de sites le proposent, cette authentification avec OpenID.
00:56:16 C'est plutôt avec des GAFAM qui se sont souvent proposés.
00:56:19 En plus de cette disponibilité qui peut être problématique,
00:56:22 et pour moi ça m'est arrivé plusieurs fois, pendant plusieurs heures,
00:56:26 de ne plus pouvoir accéder à des services en ligne
00:56:28 qui n'avaient aucun rapport au final avec mon compte Google,
00:56:31 en plus ça donne un privilège incroyable à ces GAFAM et à ces services,
00:56:35 parce qu'ils peuvent usurper votre identité et se loguer partout.
00:56:39 Donc vous usurpez de partout.
00:56:41 Ils peuvent devenir vous,
00:56:43 et accéder à absolument tous les services que vous utilisez au quotidien.
00:56:47 Et du coup, la conséquence à ça, c'est que ça rend encore plus valuable,
00:56:53 si vous me permettez l'anglicisme,
00:56:55 votre compte Google, Apple ou Facebook,
00:56:58 ou le piratage de votre compte mail,
00:57:01 puisque ça va être un sésame pour se connecter à tous les autres comptes,
00:57:06 si vous utilisez ces fameux SSO.
00:57:08 Donc ça leur donne une valeur inestimable,
00:57:11 si ces comptes-là ensuite permettent, sans mot de passe, de se connecter partout.
00:57:15 Ce qui est aussi, évidemment, assez problématique.
00:57:19 Bien. Alors on commence à voir, peut-être que vous avez entendu parler,
00:57:29 c'est tout récent, parce qu'on en parle cette année,
00:57:33 mais on n'en parlait pas l'année dernière,
00:57:34 donc c'est vraiment arrivé cette année,
00:57:36 sauf pour les gens qui suivraient vraiment les normes de Fido de très très près,
00:57:42 mais en fait on n'en parle aujourd'hui que maintenant pour les utilisateurs,
00:57:46 et encore il y a beaucoup d'utilisateurs qui ne savent pas ce que c'est.
00:57:49 Les PASCIS, les fameux PASCIS.
00:57:52 Donc en français, on pourrait dire clé d'accès,
00:57:54 je ne sais pas s'il y a une traduction officielle,
00:57:56 mais j'ai vu ce terme de clé d'accès,
00:57:59 pour parler de PASCIS sur plusieurs sites.
00:58:02 C'est développé par l'Alliance Fido,
00:58:05 l'Alliance Fido qui en fait comporte pas mal d'éminents membres des GAFAM,
00:58:11 à savoir Google, Apple, Microsoft, Samsung, Amazon, Meta notamment,
00:58:18 donc ces grandes marques, ces grands éditeurs informatiques,
00:58:22 qui font partie de l'Alliance Fido,
00:58:24 et qui pour une fois se sont mis à peu près d'accord sur un principe,
00:58:28 c'est pour essayer d'éradiquer les mots de passe,
00:58:31 y compris dans l'authentification forte,
00:58:34 parce que quand on essaie d'éradiquer les mots de passe,
00:58:36 il y a éradiquer l'authentification simple à base de mots de passe,
00:58:39 mais aussi éradiquer les mots de passe dans l'authentification forte,
00:58:42 et de proposer une alternative qui s'appelle les PASCIS,
00:58:46 qui sont de l'authentification forte,
00:58:49 mais qui ne nécessitent pas pour l'utilisateur de créer un mot de passe,
00:58:53 d'avoir un mot de passe différent sur chaque service qu'il utilise,
00:58:58 et qui ne nécessitent pas non plus de se rappeler de ces mots de passe,
00:59:01 ou de les stocker.
00:59:02 Ça essaye de répondre à certaines problématiques qu'on a vues,
00:59:05 sur les mots de passe ou l'authentification forte.
00:59:08 C'est basé sur deux principes, ces PASCIS.
00:59:11 Déjà, il y a une reconnaissance de l'appareil,
00:59:14 donc une reconnaissance de l'appareil par le service,
00:59:16 sur lequel vous essayez de vous authentifier,
00:59:19 et en deuxième lieu, il y a une reconnaissance de l'utilisateur par l'appareil,
00:59:23 donc il y a une sorte de relation de confiance transitive.
00:59:26 Donc, le service essaye de reconnaître l'appareil,
00:59:29 depuis lequel vous connectez, et il doit être connu,
00:59:32 et l'appareil doit reconnaître l'utilisateur qui se connecte,
00:59:36 pour éviter simplement que l'appareil soit volé,
00:59:39 et être bien sûr que ce soit l'utilisateur qui a aux mains l'appareil,
00:59:42 et pas un voleur.
00:59:45 Donc, deux principes transitifs qui sont utilisés.
00:59:48 Du coup, ça va être aussi de l'authentification forte,
00:59:51 puisqu'il va falloir posséder l'appareil,
00:59:55 qui est déjà jumelé au service,
00:59:58 et aussi s'authentifier en tant qu'utilisateur,
01:00:01 sur cet appareil sur lequel je suis légitime,
01:00:04 par un autre moyen d'authentification.
01:00:07 Donc, je vais expliquer un peu plus en détail,
01:00:10 sur la reconnaissance de l'appareil.
01:00:13 La première fois qu'on se connecte à un service,
01:00:16 on va s'enrôler, on va enrôler notre téléphone,
01:00:19 par exemple, sur le service Vistan,
01:00:22 et à l'enrôlement, il va y avoir une génération d'une clé privée,
01:00:25 sur mon smartphone, par exemple,
01:00:28 et je vais donner la clé publique correspondante au service.
01:00:31 Comme ça, on a un système de clé publique-clé privée,
01:00:34 que vous connaissez déjà,
01:00:37 mais la clé privée, je la garde, à l'inverse des secrets,
01:00:40 habituellement, qui sont stockés côté serveur,
01:00:43 comme mon mot de passe, par exemple,
01:00:46 ou un hash de mon mot de passe. Cette fois-ci,
01:00:49 le secret, je le garde, je le stocke côté smartphone,
01:00:52 et je ne donne que la clé publique au service,
01:00:55 qui correspond et qui est complémentaire à cette clé privée.
01:00:58 Du coup, il peut y avoir un challenge qui est fait
01:01:01 entre l'appareil et le service,
01:01:04 pour vérifier que j'ai bien l'appareil qui est jumelé au service,
01:01:07 au prochain usage du service.
01:01:10 Ensuite, il ne faut pas que cette clé privée soit utilisée
01:01:13 par n'importe qui si on vole mon téléphone.
01:01:16 Cette clé privée, je vais la déverrouiller
01:01:19 par un mécanisme d'authentification classique que j'utilise déjà
01:01:22 sur mon smartphone, soit un déverrouillage biométrique,
01:01:25 soit un code PIN, soit un schéma.
01:01:28 Le schéma, c'est le petit dessin qu'on dessine sur le clavier
01:01:31 en glissant du doigt sur les touches.
01:01:34 Voilà. Du coup, je m'authentifie à travers
01:01:37 de la biométrie, un code PIN ou un schéma sur mon téléphone,
01:01:40 et mon téléphone s'authentifie à travers un challenge
01:01:43 clé privée, clé publique auprès du service.
01:01:46 Une authentification transitive qui devient
01:01:49 une authentification forte pour s'authentifier.
01:01:52 C'est relativement simple pour l'utilisateur.
01:01:55 Il n'a pas à stocker ses mots de passe,
01:01:58 il n'a pas à générer des mots de passe différents par service.
01:02:01 En plus, c'est le même niveau de sécurité
01:02:04 parce que la clé fait la même taille que ce soit l'utilisateur
01:02:07 Alice ou Bob qui s'enrôlent sur le service.
01:02:10 La sécurité de la clé est la même, ça ne dépend pas
01:02:13 de la taille du mot de passe, autrement dit.
01:02:16 La clé est générée de manière aléatoire et dans des bonnes
01:02:19 conditions de sécurité, quoi qu'il arrive.
01:02:22 En plus de ça, comme il y a un challenge
01:02:27 entre l'appareil et le service,
01:02:31 ça protège contre la plupart des attaques par phishing,
01:02:34 ce qui enlève une grosse épine du pied,
01:02:37 puisque le phishing est assez problématique de nos jours.
01:02:40 Ça dépend de l'implémentation
01:02:43 des pesquises, il faut que ça soit fait correctement,
01:02:46 mais si c'est fait correctement, on peut protéger
01:02:49 contre le phishing, c'est une bonne chose.
01:02:52 Les inconvénients de ce système, c'est une compatibilité
01:02:55 un peu faible, il y a peu d'applications compatibles.
01:02:58 Il y a Google, ceci dit, qui a mis par défaut l'authentification
01:03:01 par pesquise sur la plupart de ses services.
01:03:04 Par défaut, c'est le cas.
01:03:07 Il y a Amazon sur lequel c'est facultatif,
01:03:10 et il y a quelques services dans la galaxie Apple aussi
01:03:13 sur lesquels c'est possible, mais sur lesquels il faut faire le pas.
01:03:16 Par contre, au-delà de la compatibilité
01:03:19 qui est un peu faible, on a une interopérabilité aussi
01:03:22 qui est malheureusement assez faible
01:03:25 et quasi nulle à l'heure actuelle.
01:03:28 Avec des frictions pour les utilisateurs qui sont sur plusieurs
01:03:31 écosystèmes. Si je suis à la fois utilisateur Android
01:03:34 et iOS, ou Android et Microsoft,
01:03:37 ou iOS et Microsoft, je vais avoir
01:03:40 la sauvegarde de mes pesquises qui est faite sur le cloud
01:03:43 de mon provider. Donc, si j'utilise
01:03:46 un téléphone Apple,
01:03:49 je vais avoir une sauvegarde
01:03:52 possible de mes pesquises si je perdais mon téléphone
01:03:55 sur le cloud d'Apple. Le problème, c'est qu'une fois
01:03:58 qu'ils sont sur le cloud d'Apple, je ne peux pas les mettre sur un cloud Microsoft
01:04:01 ou Android, et donc les restaurer sur une machine Android ou Microsoft.
01:04:04 Donc, on n'a pas d'interopérabilité. Pour l'instant, chacun est un peu
01:04:07 dans sa bulle. C'est très difficile de transférer des pesquises
01:04:10 d'un système à l'autre. Ça peut se faire par QR code, mais
01:04:13 encore faut-il que l'option soit proposée.
01:04:16 Et donc, il y a un gros travail en cours des industriels sur des normes
01:04:19 d'interopérabilité parce que pour l'instant, on a des problèmes
01:04:22 de fragmentation, simplement sur ce système-là,
01:04:25 notamment sur le backup et la restauration de ces pesquises. Si on perdait
01:04:28 son téléphone ou si on casse son téléphone,
01:04:31 c'est très difficile de récupérer les pesquises sur un autre système.
01:04:34 Donc, on a une forte liaison
01:04:37 au service cloud du provider pour ce qui est de la sauvegarde
01:04:40 et de l'interopérabilité, ce qui est un peu gênant quand même
01:04:43 pour quelque chose qui est censé être une norme
01:04:46 ou un standard. Et du coup, aussi des problèmes
01:04:49 de disponibilité parce que pour l'instant, on est dépendant aux périphériques
01:04:52 d'authentification. Si on souhaite s'authentifier sur un
01:04:55 deuxième périphérique, il faut se réenrôler
01:04:58 puisque la migration est un peu complexe.
01:05:01 Voilà, le principe des pesquises,
01:05:04 donc je vous ai mis un petit schéma. C'est un challenge
01:05:07 entre une clé privée qui reste sur votre smartphone et une clé publique
01:05:10 qui est sur le site du service. Donc, c'est relativement
01:05:13 simple. Et au niveau de comment ça se présente graphiquement
01:05:16 sur votre téléphone, en fait, on va
01:05:19 vous proposer sur certaines applications
01:05:22 d'utiliser un login
01:05:25 par pesquise. Si vous n'êtes pas déjà enrôlé, de créer
01:05:28 une pesquise avec une identité et ensuite pour utiliser
01:05:31 votre pesquise, la déverrouiller avec un moyen biométrique,
01:05:34 par exemple, comme on vient d'expliquer.
01:05:37 Voilà, ça c'est sur le
01:05:40 aujourd'hui avec, on a vu, un volet qui est
01:05:43 très récent puisqu'il parle de
01:05:46 biométrie et de pesquise qui ne sont pas encore
01:05:49 beaucoup développés et beaucoup
01:05:52 compatibles, surtout. C'est un vrai souci.
01:05:55 Cette compatibilité, notamment pour la
01:05:58 sauvegarde et pour l'utilisation sur,
01:06:01 on a dit plusieurs marques ou plusieurs parcs
01:06:04 Android, iOS, Windows typiquement.
01:06:07 Donc, l'idée, c'est de réfléchir
01:06:10 à ce qu'on peut faire demain de mieux
01:06:13 que les pesquises. Pour moi, on peut faire quand même beaucoup mieux.
01:06:16 Et notamment, on peut, parce que les pesquises
01:06:19 restent au moins sur la partie sauvegarde.
01:06:22 On a fait un progrès parce qu'on a déporté le secret
01:06:25 côté utilisateur, alors que le secret était
01:06:28 côté des services. Votre mot de passe était côté des services
01:06:31 et vos données étaient côté services. On a fait un petit progrès
01:06:34 qui est de déporter une partie des secrets côté utilisateur.
01:06:37 C'est bien pour la vie privée, c'est bien pour la sécurité, etc.
01:06:40 Est-ce qu'on pourrait pas faire mieux en évitant même
01:06:43 d'avoir des backups de nos pesquises sur les clouds des GAFAM ?
01:06:46 Ça sera encore mieux parce qu'on ne serait plus dépendant
01:06:49 et surtout, on pourrait peut-être avoir quelque chose de complètement
01:06:52 interopérable et ne pas être captif d'un éditeur.
01:06:55 Donc, on peut voir une tendance
01:06:58 qui s'esquisse. Dans certains secteurs assez
01:07:01 pointus de la cyber et
01:07:04 notamment sur tout ce qui est blockchain,
01:07:07 on a une tendance à la décentralisation des accès
01:07:10 quand même, malgré tout, et
01:07:13 du coup, à utiliser des authentifications
01:07:16 qui se font par des modes très différents de ce qu'on peut connaître
01:07:19 à l'heure actuelle, qui se rapprochent un peu plus du pesquise
01:07:22 mais en étant encore même davantage décentralisés,
01:07:25 notamment sur l'aspect backup et restauration
01:07:28 et standardisation, comme on a vu.
01:07:31 Et moi, ce que je souhaiterais,
01:07:34 si j'avais un souhait à exprimer sur le futur de l'authentification
01:07:37 et des données personnelles
01:07:40 de la vie privée, etc., c'est que l'utilisateur
01:07:43 puisse se réapproprier ses données, puisse se réapproprier
01:07:46 son identité et du coup, de conserver
01:07:49 tous ses secrets lui-même et ne pas
01:07:52 les confier à des gaffes âmes. Comme ça, en fait,
01:07:55 il n'y aurait plus de problématiques
01:07:58 de fuite de données qui sont inévitables
01:08:01 de toute façon. Ce n'est pas parce que vous avez le RGPD que ça évite
01:08:04 les fuites de données, ça vous le savez, mais
01:08:07 il faut quand même poser le problème.
01:08:10 On a des fuites de données en permanence et tous les jours où il y a des données
01:08:13 utilisateurs qui se retrouvent dans la nature et on ne pourra jamais
01:08:16 sécuriser à 100% un système. Donc, la solution pour éviter ces fuites
01:08:19 de données, c'est simplement que les fournisseurs n'aient pas
01:08:22 des données ou aient des données qui soient toujours chiffrées,
01:08:25 y compris au repos et en transit.
01:08:28 Donc, ça serait bien que les utilisateurs
01:08:31 puissent se réapproprier leurs données, y compris dans l'authentification
01:08:34 et dans le partage de ces données, avoir le choix
01:08:37 de données qu'ils souhaitent partager.
01:08:40 On pourrait faire ça, ce choix de données à caractère
01:08:43 personnel, par du chiffrement par attributs. On pourrait très bien
01:08:46 avoir ces données qui sont chiffrées à un seul endroit et ensuite
01:08:49 donner certaines clés à certains services
01:08:52 pour qu'ils aient accès à certains types de données et pas à d'autres.
01:08:55 Ça s'appelle du chiffrement par attributs, il y a beaucoup de recherches dans ce sens-là
01:08:58 mais c'est déjà utilisé dans les entreprises.
01:09:01 Donc, on peut espérer que ça se généralise et qu'on ait des systèmes
01:09:04 de plus en plus simples pour l'utiliser.
01:09:07 On pourrait aussi décentraliser tous les secrets d'authentification
01:09:10 comme ça a commencé à être fait pour les PASCIs. Ça serait meilleur
01:09:13 pour la disponibilité, on serait plus dépendant d'un SSO qui peut tomber
01:09:16 en panne ou d'un GAFAM
01:09:19 qui aurait tous les droits d'usurpation sur votre compte
01:09:22 et on éviterait aussi les fuites de données massives d'authentification
01:09:25 qu'il y a dès lors qu'un site se fait pirater, ces haches
01:09:28 de mots de passe typiquement. L'inconvénient
01:09:31 quand même de redonner contrôle
01:09:34 à l'utilisateur de ces données personnelles et ces données
01:09:37 d'authentification, c'est que ça serait à l'utilisateur de faire des sauvegardes
01:09:40 ou d'utiliser des solutions de restauration. Et ça,
01:09:43 c'est pas gagné. C'est pas évident pour les utilisateurs.
01:09:46 Il y a beaucoup d'utilisateurs qui ne font pas de sauvegarde, qui n'ont pas
01:09:49 ce réflexe-là et qui ne testent pas
01:09:52 les procédés de restauration. Ça, encore moins que de faire des sauvegardes
01:09:55 pour le coup. Donc, il y a quand même ce petit
01:09:58 hic de si on reconfit les données à l'utilisateur,
01:10:01 il faut aussi pouvoir les restaurer s'il
01:10:04 perdait ses secrets, ses mots de passe, etc.
01:10:07 pour lui redonner un accès à ses services.
01:10:10 Ça semble être un problème insoluble, mais
01:10:13 il existe des solutions.
01:10:16 Alors,
01:10:19 on laisse de côté ce dernier problème-là, mais par
01:10:22 exemple, un procédé d'authentification forte
01:10:25 qui ne laisse aucune donnée, je dis bien
01:10:28 aucune chez le service chez qui vous l'utilisez.
01:10:31 C'est le protocole LNURL
01:10:34 Auth, qui est un protocole qui est ouvert, open source,
01:10:37 inviolé, qui est utilisé dans Bitcoin Lightning
01:10:40 pour faire des micro-paiements chez
01:10:43 les commerçants qui acceptent Bitcoin, mais là qu'on utilise
01:10:46 hors chaîne. Donc, il n'y a pas du tout besoin de blockchain pour utiliser
01:10:49 LNURL Auth. Comment ça se présente ?
01:10:52 C'est un site web, il vous présente un QR code au
01:10:55 moment où vous voulez vous authentifier. Et avec votre
01:10:58 portefeuille Bitcoin Lightning, vous
01:11:01 scannez ce QR code et ça va faire un
01:11:04 challenge entre le smartphone et
01:11:07 le service applicatif, qui est souvent un service
01:11:10 web. Un challenge cryptographique qui va
01:11:13 en fait dériver
01:11:16 un secret qui est dans votre smartphone,
01:11:19 vous dérivez en fonction du nombre de domaines sur lesquels vous souhaitez faire
01:11:22 une authentification et signez ce challenge
01:11:25 là. Et ça va vous authentifier juste en scannant
01:11:28 le QR code. Alors, vous pouvez faire le test sur lightninglogin.life
01:11:31 si vous voulez un site sur lequel vous pouvez faire des tests.
01:11:34 Ça vous affiche donc un QR code, vous prenez
01:11:37 un portefeuille Lightning comme Phoenix
01:11:40 qui est sur les stores d'applications
01:11:43 phoenix typiquement et
01:11:46 vous faites envoyer, ça va vous afficher le scanner
01:11:49 de QR code et vous scannez et vous êtes authentifié
01:11:52 instantanément. Là, à aucun moment vous avez eu
01:11:55 à créer de mots de passe, à aucun moment vous avez eu à gérer
01:11:58 une petite sécurité. Ça utilise l'authentification
01:12:01 forte de votre téléphone, puisqu'à l'ouverture de votre portefeuille,
01:12:04 on vous demande une authentification biométrique ou un code PIN
01:12:07 en plus du fait de posséder le secret stocké
01:12:10 sur votre téléphone. Donc, on est sur de l'authentification forte
01:12:13 mais avec une utilisation
01:12:16 simple pour l'utilisateur qui est simplement
01:12:19 de scanner la mire de QR code, d'appuyer sur valider
01:12:22 et hop, il est directement connecté. Les spécifications
01:12:25 sont open source, gratuites. Aucune confiance
01:12:28 n'est accordée à un tiers et tous les secrets résident
01:12:31 sur le périphérique client. Gros avantages
01:12:34 aussi, je l'ai dit, comme on dérive
01:12:37 en fait la clé de signature du domaine
01:12:40 depuis lequel vient la demande
01:12:43 et que ça c'est fait au niveau TLS,
01:12:46 ce procédé d'authentification va être
01:12:49 en fait inattaquable par
01:12:52 du phishing, puisque si quelqu'un
01:12:55 tente du phishing et fait un serveur relais
01:12:58 pour essayer de récupérer les identifiants,
01:13:01 ça va provenir d'un autre domaine que le domaine d'origine
01:13:04 au niveau du certificat TLS et donc
01:13:07 il va obtenir le résultat à un challenge qui lui sera d'aucune utilité
01:13:10 non seulement qu'il ne divulgue aucune donnée
01:13:13 personnelle type adresse mail ou login utilisateur
01:13:16 puisque le login utilisateur va lui-même
01:13:19 dépendre de ce challenge
01:13:22 donc non seulement ça ne divulgue aucune
01:13:25 donnée personnelle mais en plus ce challenge ne peut pas être utilisé
01:13:28 sur le véritable site donc il ne va servir à rien pour l'attaquant.
01:13:31 Autrement dit, l'attaquant n'obtient ni identifiant
01:13:34 ni authentifiant s'il fait du phishing
01:13:37 ce qui résout aussi pas mal de problèmes.
01:13:40 Là vous avez le procédé de fonctionnement mais grosso modo
01:13:43 on est sur un challenge, une signature cryptographique
01:13:46 de ce challenge là à la seule différence
01:13:49 qu'en fait on se crée un login
01:13:52 différent par domaine
01:13:55 et donc ça a un autre avantage en termes de vie privée en plus
01:13:58 de l'aspect authentification, c'est que mon identifiant
01:14:01 sur le site google.com et sur apple.com n'est pas le même
01:14:04 autrement dit ça évite tout recoupement d'informations
01:14:07 par des services qui voudraient
01:14:10 croiser des données. On ne sait pas que c'est le même utilisateur
01:14:13 sur le site 1 et sur le site 2
01:14:16 et l'identifiant est généré de manière aléatoire donc il n'y a pas besoin
01:14:19 de mettre une adresse mail non plus.
01:14:22 Donc en termes de vie privée
01:14:25 on est sur quelque chose qui est très bon avec une authentification
01:14:28 qui est insensible au phishing.
01:14:31 On a des dérivations de clés à partir d'un secret commun
01:14:34 ça explique les dérivations de clés
01:14:37 de manière à obtenir une identité différente par site
01:14:40 qui sont des linking
01:14:43 qui permettent de faire
01:14:46 un challenge qui soit différent par site
01:14:49 et qui rende insensible au phishing
01:14:52 ce genre d'attaque.
01:14:55 J'ai quasiment terminé
01:14:58 il y a une slide
01:15:01 je termine sur la conclusion
01:15:04 davantage une authentification forte, protection contre le phishing
01:15:07 le secret peut être enflu dans une enclave sécurisée
01:15:10 on n'a pas de tierce partie de confiance
01:15:13 on a une compatibilité avec tous les smartphones
01:15:16 qui ont un appareil photo, on a un protocole
01:15:19 et un standard ouvert, pas de données personnelles
01:15:22 respect de la vie privée
01:15:25 on a toujours ce fameux problème de sauvegarde à la charge de l'utilisateur
01:15:28 et donc ma dernière slide
01:15:31 sur comment on peut résoudre ce problème
01:15:34 de restaurer les accès si l'utilisateur perd ses accès
01:15:37 ou ses identifiants
01:15:40 on a un nouveau concept qui a à peine émergé
01:15:43 qui s'appelle le social recovery
01:15:46 c'est un principe qu'on utilise déjà sur certains portefeuilles
01:15:49 blockchain qui vient pallier les problèmes de sauvegarde de secret
01:15:52 côté client, l'idée c'est pour chaque utilisateur
01:15:55 de choisir des gardiens, des personnes de confiance
01:15:58 au moins 3
01:16:01 et d'obtenir la signature d'une majorité de gardiens pour changer
01:16:04 sa clé privée dans le cas où il perd sa clé privée
01:16:07 l'idée c'est grosso modo
01:16:10 c'est un système multi signature qui permet de renouveler
01:16:13 la clé privée si on la perd
01:16:16 il y a quelques portefeuilles qui utilisent déjà ça
01:16:19 argent wallet ou looping wallet qui sont des portefeuilles cryptos
01:16:22 et sur lesquels si vous perdez votre secret, si vous perdez votre téléphone
01:16:25 vous demandez à des utilisateurs qui sont eux-mêmes
01:16:28 utilisateurs de cette solution
01:16:31 de renouveler votre clé dans un même intervalle de temps
01:16:34 par exemple dans un intervalle de 4 heures
01:16:37 il faut qu'il y ait au moins 2 de vos 3 gardiens
01:16:40 qui fassent la manip et vous retrouvez
01:16:43 l'accès à votre portefeuille en partant de rien
01:16:46 simplement par consensus social
01:16:49 avec un principe de jauge, c'est vous qui dites combien de personnes
01:16:52 sur combien de personnes et la liste de vos gardiens est confidentielle
01:16:55 il n'y a que vous qui sachez à qui vous adressez
01:16:58 dans ce cas là, vous avez un petit schéma de fonctionnement
01:17:01 mais on attend la démocratisation de ce principe
01:17:04 qui permettra une totale réappropriation de son identité
01:17:07 par l'utilisateur, y compris pour des gens qui perdraient leur périphérique
01:17:10 leur clé privée, qui n'aurait pas de sauvegarde ou autre
01:17:13 voilà, je vous remercie beaucoup
01:17:16 j'espère que ça a ouvert des perspectives
01:17:19 ces principes d'authentification qui revient à l'utilisateur
01:17:22 et ensuite de social recovery pour ne plus avoir
01:17:25 à garder des données sensibles
01:17:28 ou tout du moins à pouvoir les perdre sans perdre ses accès