Les startups essaient de tuer le mot de passe

La start-up qui a attiré le plus gros investissement de l’histoire de la cybersécurité à plus d’un demi-milliard de dollars a une mission simple : tuer le mot de passe.

La personne moyenne se souvenant aujourd’hui de 70 à 80 mots de passe, Transmit Security, basée à Boston, pense qu’avec l’omniprésence des smartphones et des ordinateurs dotés de la technologie de reconnaissance faciale ou de lecture d’empreintes digitales, il existe un meilleur moyen de se connecter aux sites Web et aux applications.

“Cela a changé sur le marché, ce qui n’était tout simplement pas vrai il y a un an, il y a deux ans”, a déclaré Rakesh Loonkar, président et co-fondateur de Transmit, qui a levé 543 millions de dollars auprès d’investisseurs en juin.

La nécessité de remplacer les séquences de lettres et de chiffres facilement oubliées et hautement piratables que nous utilisons pour accéder à la vie quotidienne est devenue encore plus urgente avec le passage au travail à distance et une augmentation des piratages liés aux mots de passe, comme le gel du pipeline Colonial , qui Pénuries de carburant sur la côte est américaine plus tôt cette année.

L’année dernière, le Forum économique mondial s’est saisi de la pandémie pour appeler à un “avenir sans mot de passe”, arguant qu’il “améliore considérablement la sécurité d’une entreprise en réduisant la surface d’attaque globale et en éliminant le risque d’informations d’identification compromises”.

En conséquence, la course au remplacement des mots de passe est lancée, la sécurité biométrique devenant l’une des solutions les plus recherchées.

“Je pense que la grande majorité des services grand public offriront des systèmes de connexion sans mot de passe dans les prochaines années”, a déclaré Andrew Shikiar, directeur exécutif de la Fast Identity Online Alliance, ou Fido, une coalition de plus de 250 entreprises, dont Google et Microsoft. qui promeut un système standard d’authentification sans mot de passe.

« Si cela est fait correctement et en toute sécurité et conformément à la loi, la biométrie est réelle [helping us] passer rapidement à un avenir sans mot de passe. Il existe de nombreuses nouveautés. . . et a beaucoup investi dans l’espace.

‘12345’

Malgré la prolifération de logiciels de gestion de mots de passe capables de générer et de stocker des chaînes complexes de caractères aléatoires, certains des mots de passe les plus courants sont toujours « 12345 », « Password » et « iloveyou ».

En conséquence, plus de 80 % des piratages impliquent des mots de passe compromis, selon le Forum économique mondial, et les mots de passe restent les informations les plus recherchées par les pirates par rapport aux autres informations personnelles ou sensibles.

Dans de nombreux cas, les e-mails de phishing et d’autres techniques d’ingénierie sociale incitent les individus à divulguer les détails de leur mot de passe. Mais les cyber-intrus ont également tenté de s’introduire dans des applications et de voler des bases de données de mots de passe entières, de grandes entreprises technologiques telles que Yahoo et LinkedIn ayant subi des piratages massifs de mots de passe dans le passé.

Dans le dark web, une partie d’Internet accessible uniquement via un navigateur introuvable, il existe un marché animé pour les mots de passe. Selon les recherches de Digital Shadows, plus de 15 milliards d’identifiants circulent dans les forums de hackers, qui proviennent de plus de 100 000 failles de sécurité individuelles.

Les identifiants restent la source de données la plus recherchée par les pirates

Les mots de passe sont également attaqués par de nouvelles technologies, telles que les robots automatisés qui peuvent rapidement essayer de les deviner, une tactique connue sous le nom de pulvérisation de mots de passe, ou qui tentent des mots de passe volés sur plusieurs comptes en ligne différents, une technique connue sous le nom de bourrage d’informations d’identification.

Avenir sans mot de passe

Plusieurs startups convainquent de plus en plus d’entreprises de passer des mots de passe à d’autres méthodes d’authentification afin d’assurer la sécurité, la convivialité et les économies de coûts.

Les estimations varient, mais pour de nombreuses entreprises, le coût de la réinitialisation des mots de passe de leurs employés varie de 25 $ à 75 $ chaque fois que vous tenez compte de la nécessité d’avoir du personnel de récupération de compte et de centre d’appels.

Un rapport de 2018 de Forrester a révélé que certaines grandes entreprises américaines dépensent plus d’un million de dollars par an.

“Il s’agit de l’expérience utilisateur, de la conformité – et aussi d’économiser de l’argent”, a déclaré Ismet Geri, PDG de la société d’identité sans mot de passe Veridium, ajoutant que les revenus de son entreprise en 2020 ont augmenté de 250 % d’une année sur l’autre, c’est une demande trop élevée.

Veridium, Transmit et plusieurs startups ciblant la finance en ligne, les paiements et la vente au détail ont adopté une solution également approuvée par Fido et le WEF : la biométrie. Microsoft, Google et Apple injectent également de plus en plus d’authentification biométrique afin de se connecter à leurs appareils avec Fido.

Cependant, l’utilisation de tels systèmes comporte encore des risques. Contrairement aux mots de passe, les données biométriques ne peuvent pas être modifiées. Cela signifie que ces données doivent être strictement protégées, à la fois pour des raisons de protection des données et pour éviter l’usurpation d’identité, lorsque les pirates tentent de déjouer les caméras ou les capteurs avec des photos, des masques ou des impressions de leur victime.

« L’authentification biométrique et l’authentification sans mot de passe ont leur propre surface d’attaque », explique Lavi Lazarovitz, directeur de la recherche en sécurité chez CyberArk. Le mois dernier, son équipe a révélé qu’elle avait trouvé un défaut de conception qui permettrait aux attaquants potentiels de contourner la connexion de reconnaissance faciale de Windows, Windows Hello, en introduisant de fausses photos du visage d’un utilisateur dans le processus.

Une telle attaque serait très sophistiquée et nécessiterait un accès physique à l’appareil cible, mais pourrait être utilisée par “des attaquants d’États-nations ciblant une personne spécifique”, a déclaré Lazarovitz. Il a averti qu’un marché noir pour ces données biométriques très précieuses pourrait devenir plus courant.

La sécurité des logins biométriques

Cependant, la sécurité des systèmes biométriques s’est améliorée, selon Loonkar de Transmit. Dans le passé, les informations biométriques étaient souvent stockées dans des bases de données sur des serveurs centralisés, mais il est désormais possible de garantir qu’elles restent sur une partie sécurisée de l’appareil d’une personne.

“Si les gens ont peur de la biométrie, ils ont vraiment peur des données biométriques qui sont stockées de manière centralisée et peuvent être volées de manière centralisée”, a déclaré Loonkar, citant la violation en 2018 d’une base de données de données biométriques détenue par des citoyens indiens et appartenant à des citoyens indiens. le gouvernement est situé. Mais avec la technologie de Transmit, les piratages de masse sont impossibles et devraient plutôt être effectués “de périphérique à périphérique”, a-t-il ajouté.

Pendant ce temps, d’autres startups comme BioCatch et BehavioSec cherchent des moyens d’empêcher l’usurpation d’identité en vérifiant en permanence un utilisateur en temps réel à l’aide de la biométrie « comportementale ». Leurs systèmes apprennent comment un utilisateur gère son appareil ou se comporte sur son ordinateur et signalent les modifications suspectes. “La biométrie comportementale devrait être une autre couche pour la détection des fraudes”, a déclaré Geri de Veridium.

Néanmoins, selon Anil Jain, professeur distingué à la Michigan State University et expert en reconnaissance biométrique, une surveillance accrue du marché biométrique émergent est nécessaire – pour empêcher les abus de la part des entreprises ou des gouvernements. “Tout comme les données personnelles sont partagées avec les annonceurs, nous avons besoin d’une réglementation stricte pour les données biométriques”, a-t-il déclaré.

un long chemin à parcourir

Mais le plus grand obstacle qui se dresse sur le chemin des startups qui espèrent tuer le mot de passe est de savoir comment changer des années d’habitudes.

Ed Amoroso, PDG et fondateur de TAG Cyber, une société de recherche et de conseil en cybersécurité, a fait valoir que si les applications sensibles peuvent changer les mots de passe rapidement, d’autres sites, tels que les sites de poker en ligne, sont moins incités à mettre à jour leurs systèmes.

« Ma prétention est que vous ne vous en débarrasserez jamais. Vous ne pouvez pas le rendre illégal pour qui que ce soit », a-t-il déclaré. “Nous n’entrerons jamais dans cette ère post-mot de passe.”

Bulletin quotidien

#techFT vous apporte des nouvelles, des commentaires et des analyses sur les grandes entreprises, les technologies et les sujets qui façonnent ce changement sectoriel le plus rapide de la part de spécialistes du monde entier. Cliquez ici pour recevoir #techFT dans votre boîte de réception.

Source : www.ft.com https://www.ft.com/content/92b5a390-f03a-450c-96b1-dd989b1bdada