Archives par mot-clé : biométrie

L’authentification à multiples facteurs et la sécurité biométrique

« Utiliser l’authentification à multiples facteurs et/ou une authentification biométrique doit permettre de sécuriser les systèmes » explique Jean-Christophe Vitu, de la société de sécurité informatique CyberArk.

Cette position s’inscrit notamment dans cette grande dynamique qui souhaite trouver la meilleure manière de préserver la sécurité informatique des utilisateurs des services numériques tant sur le web ou sur un système informatique isolé.

Cet article va aussi vous intéresser : Peut-on faire confiance au système de sécurité biométrique des smartphones ?

Durant le mois d’octobre, qui peut être considéré dorénavant comme le mois international de la sécurité informatique, plusieurs institutions publiques et privées ont profité de l’occasion pour faire un renforcement au niveau de la sensibilisation sur les vulnérabilités Informatiques et sur les bonnes pratiques qui permettront de se prévenir contre les attaques informatiques. Dans ce contexte, l’autorité indépendante française pour la sécurité des systèmes d’information, l’ANSSI (AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION) a initié un programme dénommé : « Cybermoi/s » dont la cible étaient les citoyens.

L’objet de cette initiative était surtout de mettre l’accent sur l’importance de chacun dans la lutte contre la cybercriminalité et bien sûr les rôles à jouer pour préserver une sécurité en ligne optimal. « les acteurs français de la sécurité du numérique lancent un nouvel appel à l’action à destination des citoyennes et citoyens français pour sécuriser activement et efficacement leur vie numérique, dans la sphère personnelle, comme professionnelle. » décrivait en ces termes l’Agence française pour la sécurité des systèmes d’information

Elle a d’ailleurs mis l’accent plus sur le système d’authentification. à ce niveau l’authentification à multiples facteurs a été présentée comme étant un enjeu essentiel. L’on se rend compte généralement que les informatiques arrivent aisément à récolter des informations personnelles sur les internautes qui ont des pratiques moins méfiantes voire naïves quand ils utilisent le réseau Internet. De ce fait, il faudrait attirer l’attention des utilisateurs pour qu’il soit plus responsable et se rendent compte réellement de la menace qui le guette au quotidien lorsqu’il se connecte sur le web. Cette responsabilité consistera donc pour ses utilisateurs à s’informer à se former.

Parmi les mesures auxquelles doivent s’intéresser les utilisateurs de l’Internet aujourd’hui, il y a l’authentification à multiples facteurs. comme on le sait, la notion le sous-entend, il ne faut pas un simple mot de passe pour protéger ses terminaux et ses comptes en ligne ( e-mail, comptes bancaires, services publics en ligne, réseaux sociaux..). Selon Frank Abagnale Junior, un ancien faussaire reconverti en consultant en sécurité à la police fédérale américaine, « les mots de passe ne devraient plus exister ». Dans un entretien pour le media britannique Information Age, il expliquait au mois de juillet dernier : « je ne peux pas croire que les mots de passes aient été développés en 1964, quand j’avais 16 ans, et qu’aujourd’hui, à 71 ans, nous utilisons toujours des mots de passe comme protocole pour entrer dans les systèmes de sécurité. Je ne comprends pas pourquoi les mots de passe sont toujours là alors que nous savons qu’ils sont la cause principale de l’ensemble de nos problèmes. ».

Toutefois, on peut observer qu’il n’est pas du tout possible de se passer des mots de passe aujourd’hui. en effet les mode d’authentification se sont multipliées d’année en année. Avec, le système de sécurisation biométrique ou encore la mise en œuvre de l’authentification multi-facteur (MFA signifiant : Multi-factor authentication), on peut dire que nous sommes sur la voie d’une amélioration des conditions de sécurité relative à l’accès à Internet ou à nos terminaux. Et les mots de passe sont un outil clé de cette stratégie. En effet, l’authentification à multiples facteurs nécessite deux éléments d’identification pour confirmer l’identité de l’usager. dans la majorité des cas, le mot de passe est utilisé comme l’un des deux moyen d’idenfication. l’authentification à double facteur classique s’utilise plus généralement avec le mot de passe de l’utilisateur et un message reçu par SMS ou par mail contenant un code de confirmation de l’identité. Sa force va résider dans le fait que même si le pirate informatique arrive à contourner le premier moyen c’est-à-dire le mot de passe, il n’arrivera pas certainement à contourner le second, à quelques nuances près. Selon une étude menée par Microsoft, l’authentification à double facteurs permet de réduire à 99 % le risque de compromission des terminaux ou des comptes d’utilisateurs.

Cependant cette mesure de sécurité n’est pas bien sûr infaillible. En effet, les cyber délinquants et criminels continue de chercher des angles morts pour parer cette mesure protection. c’est donc pour cette raison qu’interviennent les technologies de sécurisation biométrique qui doivent aider à combler les failles de la première.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Peut-on faire confiance au système de sécurité biométrique des smartphones ?

Depuis maintenant quelques mois, les smartphones les plus en vogue ont commencé à montrer des faille de sécurité au niveau du système de sécurité biométrique.

Que ce soit avec l’iPhone jusqu’au Samsung en passant par le pixel de Google, pouvant présenter un problème crucial quant à l’utilisation des systèmes de reconnaissance faciale ou encore d’empreintes digitales.

Cet article va aussi vous intéresser : Faille de sécurité dans le lecteur d’empreintes digitales de Samsung S10

Si l’objectif de ce système est d’empêcher n’importe qui d’avoir accès au contenu de son smartphone, il faut avouer que cela n’est pas vraiment une réussite pour le moment.

Depuis un certain moment, la sécurité biométrique s’est étendue au détriment des mots de passe. Il est pratiquement impossible de trouver aujourd’hui sur un nouveau modèle de smartphone qui n’embarque pas un système de reconnaissance faciale ou encore un lecteur d’empreinte digitale. Ce sont des moyens de sécurisation biométrique qui peuvent aussi permettre de protéger des applications aux références bancaires, où aussi aider dans la sécurisation des paiements en ligne via le Play store ou encore l’App store de Apple. Toutefois si la sécurité semble avoir augmenté par rapport à l’ancien système de mot de passe, notons cependant qu’un ensemble d’incident, ont eu lieu il n’y a pas trop longtemps, nous pousse à mettre en doute la fiabilité de ces méthodes.

Pour commencer prenons le cas de Samsung, récemment il a été découvert que le lecteur d’empreintes digitales, embarqué dans plusieurs séries de téléphones de cette marque, présentait quelques défaillances techniques. En effet il est possible de tromper le lecteur d’empreintes digitales avec d’autres empreintes qui ne sont pas dans la base de données avec l’usage d’une simple protection silicone. En effet une anglaise a signalé un problème à ce niveau.

Après avoir utilisé une protection de l’écran en silicone, le lecteur d’empreinte est devenu totalement vulnérable car même les empreintes n’étant pas enregistré on peut déverrouiller son téléphone. Si les utilisateurs de Samsung coréens on pu avoir un correctif de sécurité depuis le 23 octobre, les autres utilisateurs à travers le monde entier attendent toujours le patch. Et de ce côté il n’est pas la première fois que cela arrive. En effet car en 2017 on se rappelle qu’une seule photo était suffisante pour tromper le lecteur pour reconnaissance faciale du Galaxy S8.

Du côté de Google on en vient avec les nouvelles sorties de la marque américaine les pixel 4.les nouveaux smartphones du géant américain qui a été fortement inspiré de FACE ID de iPhone. Sa sophistication permet de faire une reconnaissance faciale même la nuit. Et pire que ça, cette reconnaissance faciale est possible même avec les yeux fermés. C’est là que se trouve la faille des pixels 4 de Google. Le problème c’est qu’avec cette possibilité de déverrouiller son téléphone avec les yeux fermés, il est possible qu’une personne se fasse dérober le contenu de son smartphone pendant son sommeil ou en étant inconscient par exemple. Même si Google a promis aussi un correctif à l’exemple de Samsung, il n’empêche que ces failles demeurent et interpellent le plus grand nombre.

Le bug révélé du côté d’Apple est relatif à son système de protection biométrique aussi. À titre d’exemple il a été observé un gamin, qui réussi à déverrouiller le iPad 11 pro de ses parents qui était protégé par la reconnaissance faciale du système FACE ID. et après plusieurs tests le même appareil a refusé plusieurs fois de se verrouiller et même après avoir actionner la touche de veille. même si officiellement Apple dit ne pas avoir entendu parler de ce problème il est réel.

Quel que soit le degré de perfectionnement de ce système de sécurité, l’aspect prudence doit toujours s’imposer. La sécurité biométrique n’est pas infaillible. Et même si elle était censé être le fameux remplaçant des mots de passe, il faut avouer que beaucoup d’efforts reste encore à réaliser.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Google met en place un système de connexion aux sites web par données biométrique

Google a annoncé qu’il commençait à déployer une technologie qui permettra d’avoir accès à internet sans utiliser de mot de passe.

En se servant à un téléphone sous Android. Le géant Américain affirme qu’au lieu de se servir d’un mot de passe, les usagers pourront se connecter en se servant de leur empreinte digitale ou d’un code crypté.

Cet article peut aussi vous intéresser : Mots de passe contre sécurité biométrique

Ce déploiement se fera de façon progressive et se limite actuellement au site internet  passwords.google.com, qui s’occupe de la gestion des mots de passe de la firme.

Pour le moment, les premiers terminaux qui supportent cette méthode de connexion, sont les mobiles « Pixel » de Google.

L’objectif de la firme est d’étendre ce mode de connexion à d’autres services du groupe, ainsi qu’à plus de modèles récents de mobile sous Android.

On sait que le système d’authentification par empreintes digitales existe depuis longtemps, surtout sur les mobiles Android, cependant il est essentiellement utilisé pour le verrouillage et le déverrouillage du mobile et même pour approuver un achat sur dans le store de Google.

Cette innovation qui va consister à utiliser les données biométriques que sont les empreintes pour l’authentification sur les services du navigateur de la firme va un booster les choses. On se demande bien quel sera la prochaine étape. Déjà vers de début du mois de Mars de cette année, il était dit que le géant américain mettait en œuvre un certificat dédié FIDO, une norme web qui sera nécessaire pour permettre à la firme américaine de concrétiser son projet de connexion à Internet par usage d’empreintes digitales et de ces fameuses clés de sécurité en passant par le système d’exploitation Android.

C’est exactement cette norme qu’utilise Google avec la norme « W3C WebAuthn » et « FIDO CTAP » que la firme utilise pour accroître le niveau de sécurité des services qu’elle propose actuellement.

Notons que ces Normes informatiques ont été mises en place pour faciliter le fonctionnement de certains programmes tel « AZERTY123 ».

Cette initiative de Google est tout simplement à l’image de la tendance actuelle. Elle s’inscrit dans une logique de confier de moins en moins notre sécurité au mot de passe classique qui n’arrive plus vraiment à assurer la protection des utilisateurs. Comme nous l’avons mentionné dans nos articles précédentes, les mots de passe perdent leurs valeurs au regard des données biométriques qui semble offrir plus de protection. Même si nous ne sommes pas totalement en mesure de déterminer la portée lointaine de cette réalité, on ne niera pas que l’usage des empreintes digitales est plus aisé que de retenir une syntaxe inconfortable en mémoire.

Le résultat sera de voir aujourd’hui que de plus en plus de services informatiques se tournent vers une  tendance sécurisation biométriques, le contrôle à double facteurs, les physiques de sécurité, etc. Avec les récentes normes web, il serait notamment possible d’avoir accès aux sites Internet à l’aide de nos références biométriques ou de clés physiques de sécurité à grande échelle, si aujourd’hui cela est limité à Google.

La norme FIDO2 s’avère particulièrement intéressante eu égard à mode de stockage de l’empreinte digitale qui  s’effectue de façon locale. Vos données biométriques ne sortent donc pas de votre mobile, et il n’y a que le signal de vérification qui est transmis par le réseau internet.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Mots de passe contre sécurité biométrique

Les mots de passe commencent peu à peu à perdre de leur superbe. Les experts en sécurité n’aiment plus vraiment les mots de passe.

Leurs réinitialisations est un des travaux les plus fastidieux qui soit. Sans oublier que pas mal de monde ne savent même pas définir un bon mot de passe.

Cet article peut aussi vous intéresser : Les failles des sécurités biométriques

Nous n’aimons pas que nos mots de passe soient trop compliqués donc soit on le fait simple, on le note quelque part on risque de l’égarer ou de le faire découvrir par quelqu’un d’autre.

Les pirates informatiques quant à eux raffolent les mots de passe car c’est la façon la plus simple pour s’introduire dans le système des personnes victimes de leurs manigances. Aussi, casser les mots de passe est l’une des leur activité favorite.

Mais aujourd’hui, plusieurs techniques se profilent pour voler la vedette aux mots de passe. D’abord, l’authentification à double facteur qui permet avec des applications de rendre subsidiaire l’usage de mot de passe.

Mais au-delà de tout ça, peu à peu, les codes se trouvent sur le chemin d’être détrônés par le corps humain. On parle alors de sécurité biométrique. Les smartphones sont les outils qui ont initiés cette avancée au niveau de la sécurité des terminaux. Avec le déverrouillage par empreintes digitales ou authentification par reconnaissance faciale ont développé le système de sécurité, en excluant pratiquement le mot de passe. Puis on se rend contre que poser son empreinte sur le lecteur est beaucoup plus ergonomique que taper des codes que souvent, il nous arrive même d’oublier. Rapprocher le téléphone de son visage pour authentification est encore plus aisé.

Ces nouvelles technologies de sécurité trouveront certainement leur apogée si on arrive à les inclure aux ordinateurs et à d’autres terminaux. La firme Microsoft travaille sur ce projet pour atteindre cet objectif : supprimer les mots de passe du système Windows 10 par combinaison de la technologie biométrique et l’authentification multifactorielle en passant par le système « Windows Hello ». Selon Microsoft, ce service est utilisé par plus de 47 millions d’individus.

En début d’année, une institution bancaire britannique avait dans son plan de développement, signifiée qu’elle était en train de tester un moyen d’accès via des données biométriques (empreintes) sous le système Windows Hello. L’agence de sécurité informatique britannique National Cyber Security Center avait de son côté annoncé que les institutions gouvernementales devraient être sous système Windows Hello for Business en suivant le déploiement de Windows 10.

Cependant, si l’utilisation des données biométriques dans notre sécurisation semble plus ergonomique, nous ne pouvons pas nier que cela présent un risque avéré. En effet, un mot de passe erroné peut être réinitialisé. Quoique cela soit ennuyeux, C’est possible. Mais quand est-il de notre empreinte digitale, de notre ADN qui eux sont permanents. Aussi, même si la sécurité biométrique est alléchante, avant de nous débarrasser définitivement du mot de passe à son profit, cela mérite plusieurs questionnements.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Les failles des sécurités biométriques

Les vulnérabilités découvertes sur des lecteurs d’empreintes digitales intégrés aux smartphones sous Android attirent l’attention des chercheurs en cybersécurité.

La sécurité des systèmes d’identification biométrique n’est pas il faut le reconnaître vraiment infaillible. C’est ce qu’a démontré en tout cas la démonstration fais par les trois chercheurs qui se sont penchés sur le cas des lecteurs d’empreintes digitales. Ces derniers ont pratiqué leurs tests sur plusieurs smartphones assez populaire – et en ont finis par faire cette conclusion : l’implémentation du dispositif était défaillant à plusieurs niveaux.

Cet article va vous intéresser : Systèmes de sécurité à données biométriques, pour ou contre ?

Le tout premier constat concerne certains logiciels. En effet, ces programmes ne font pas, d’un point d’approche logique, la distinction entre autoriser (cest à dire donner accès à des ressources) et authentifier (donc vérifier l’identité d’un usager). De façon pratique, ce defaut de distinction pourrait permettre à une personne malveillante de donner à transaction, une autre tournure – par exemple l’on peut faire croire à sa victime qu’elle est en train de déverrouiller son téléphone, alors qu’en vérité, elle déclenche une transaction de paiement électronique.

Par ailleurs, d’autres vulnérabilités ont été découverts sur plusieurs appareils, le programme de stockage des empreintes digitales en clair est sans chiffrement et se constitue dans un format déchiffrable par l’humain. C’est le cas de du modèle HTC One Max même s’il a bénéficié depuis lors d’une correction, dans le dossier data, il est emmagasiné un fichier « bitmap dbgraw.bmp » disposant des autorisations « 0666 », en d’autres termes, il est accessible à n’importe quel programme, en lecture ou même en écriture.

Dans certains contexte, Il peut arriver des fois que les capteurs d’empreintes digitales sont exposés, malgré de la présence d’une « TrustZone », espace sécurisé et isolé du noyau et placé dans une espace mémoire réservée. L’architecture ARM doit permettre en principe d’empêcher que tout composants critique ait accès hors de cette « TrustZone ». Malheureusement, plusieurs constructeurs ne l’implémentent. C’est le cas de Apple. l’iPhone cripte par ailleurs les empreintes digitales directement au niveau de son lecteur grâce à un système de clé partagée avec la « TrustZone.» la conclusion est qu’il tout aussi est possible, pour un hacker, de trafiquer le programme pour détecter des commandes et des transactions de données, jusqu’à obtenir l’empreinte. Il n’a pas besoin pour cela d’avoir des prérogatives de niveau root.

Une autre faille, est la possible implémentation d’une back door directement dans le capteur, de telle sorte que d’autres empreintes puissent être ajoutées hors de la base enregistrée. Mais pour que tout ceci reste inaperçu aux yeux de l’usager, il faudrait pirater l’application qui affiche la quantité d’empreintes mémorisées. Il peut s’agir du programme « Paramètres » dans les versions francophones du système Android.

En dehors du HTC One Max, plusieurs vulnérabilités ont été découvertes également sur le Galaxy S5 de Samsung et différents modèles de la marque Huawei – tel que le « Ascend Mate 7 » qui est équipé de la technologie « chipset HiSiliconKirin 925 ». Cette situation est assez préoccupante car selon les estimations on considère plus 50 % des mobiles disposeront d’un scanner d’empreintes digitales selon l’étude Research.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage