Security

Swisscom et d'autres tuent le mot de passe. Et c'est bien ainsi!

Internet se présente un peu comme notre monde réel, il y a des endroits (réseaux sociaux) où les gens se rencontrent et échangent, il y a des grands magasins (par exemple siroop) et des succursales bancaires (comme PostFinance eFinance) et chacun d'entre eux évolue pratiquement tous les jours dans ce monde numérique.

Cependant, tout comme dans le monde réel, les divisions à accès limité sont importantes dans le monde numérique. Tout comme nous fermons notre porte d'entrée lorsque nous ne sommes pas à la maison, nous bloquons également les autres utilisateurs de nos comptes privés afin de les protéger des yeux curieux d'inconnus et surtout des abus ou des vols. La clé avec laquelle nous protégeons presque tout dans l'espace numérique est aussi la pire que l'on puisse choisir - un enchaînement de plus de 10 caractères dans le meilleur des cas, mais généralement seulement 6-8 - le mot de passe. Celui qui le connaît, le devine ou le reçoit a accès à nos divisions les plus sensibles: photos de nous et de nos enfants, notre adresse et notre numéro de carte de crédit, notre compte en banque et bien plus encore. Nous comptons depuis longtemps, en fait même depuis que les ordinateurs et les réseaux électroniques existent, sur la prétendue protection des mots de passe, mais cette protection est une illusion. Et le danger augmente.

Pourquoi?

Les mots de passe n'ont jamais été aussi sûrs. Mais avec les innombrables e-mails de hameçonnage, les outils de plus en plus simples et accessibles pour craquer les mots de passe et la multitude de "fuites de mots de passe" déjà existantes, le risque d'être soi-même victime d'un piratage augmente. Le fait que de plus en plus de notre identité numérique soit stockée dans le cloud et que les comptes soient souvent liés les uns aux autres complique encore les choses. Ainsi, non seulement la probabilité augmente, mais les conséquences et les effets d'un tel piratage s'aggravent également.

La solution

Le retrait de toutes nos données sur des disques durs privés et la suppression de nos comptes sont-ils vraiment la seule façon de nous protéger efficacement ? Oui, mais ce n'est pas une solution très pratique et totalement éloignée de la réalité. C'est pourquoi des portails et des opérateurs de cloud bien connus comme Facebook, Apple ou WhatsApp, mais aussi Swisscom, misent sur ce qu'on appelle l'authentification à deux facteurs (2FA), qui utilise une couche de sécurité supplémentaire.

Comme son nom l'indique, l'authentification à 2 facteurs nécessite deux facteurs sur un total de trois possibles pour une connexion réussie.

Les trois facteurs possibles autorisés sont:

  1. Possession - quelque chose que je possède en tant qu'utilisateur, comme une carte de crédit ou un téléphone portable
  2. Savoir - quelque chose que je suis le seul à savoir en tant qu'utilisateur, comme par exemple mon nom d'utilisateur, mon mot de passe, mon code PIN ou un mot de passe à usage unique
  3. Etre - quelque chose qui fait partie de moi de manière indissociable en tant que caractéristique physique, comme mon empreinte digitale, mon iris ou le son de ma voix.


Cela signifie que pour une connexion réussie, il ne suffit pas d'avoir le mot de passe (connaissance), mais qu'il faut en même temps être en possession d'un mobile par exemple, sur lequel il faut confirmer une tentative de connexion ou peut-être même transmettre un code PIN à usage unique envoyé par SMS dans le navigateur Web. Quelqu'un devrait donc non seulement connaître mon mot de passe, mais aussi voler mon mobile en même temps. Grâce à cette mesure simple, la protection de nos données augmente considérablement sans que l'on perde beaucoup en commodité.

Mobile ID, authentification à 2 facteurs de la Suisse. Pour la Suisse

Swisscom a développé Mobile ID à cet effet il y a quelques années, qui est devenu depuis un modèle de réussite suisse. Mobile ID a été conçu comme un dispositif de sécurité sur les cartes SIM et est aujourd'hui disponible chez la plupart des fournisseurs de télécommunications suisses, ce qui permet à la majeure partie de la population suisse de bénéficier d'une authentification sécurisée à deux facteurs via le téléphone et le code PIN sur les portails en ligne comme PostFinance. Strictement parlant, il s'agit même d'une authentification multi-facteurs pour la connexion PostFinance. Un client eBanking ne doit pas seulement avoir ses données de connexion personnelles sous la main, mais aussi son appareil mobile personnel et son Mobile ID PIN. Les abus sont ainsi efficacement évités. Et comme un surcroît de sécurité se fait malheureusement trop souvent au détriment de la commodité, Mobile ID ne mise pas sur des mots de passe à usage unique qui doivent être transmis dans le navigateur Web, mais sur un PIN à six chiffres que seul l'utilisateur connaît. Pendant le processus d'inscription, le mobile demande à l'utilisateur s'il souhaite se connecter. Après confirmation, il saisit son PIN à six chiffres sur le mobile. Le serveur Web connecté au backend Mobile ID enregistre la tentative d'inscription et l'authentification valide et libère l'utilisateur en quelques secondes. L'utilisateur peut ainsi se connecter à n'importe quelle page web indépendante les unes des autres en utilisant toujours le même code PIN - y compris d'ailleurs au portail client de Swisscom.

Quel est le développement futur?

La couverture globale des possibilités d'authentification sur le Web offre des conditions optimales pour les modèles commerciaux numériques et la gestion numérique. Ceux-ci requièrent une identification sans équivoque pour les déclarations de volonté juridiquement contraignantes nécessaires, l'authentification n'étant ici que la première étape, mais très importante. La signature numérique pour l'autorisation juridiquement contraignante et l'identité numérique, également appelée eID, entrent également en jeu. Les deux derniers sujets cités sont actuellement très négociés en Suisse et revêtent une importance énorme pour l'État et la société. Pour la Suisse. Pour moi. C'est pourquoi j'aimerais consacrer un billet de blog séparé à ces points dans un avenir proche.

Dominik Temerowski

Mario Gurschler

Senior Product Manager

Plus d’articles getIT

Prêt pour Swisscom

Trouve ton travail ou le monde de la carrière qui te convient. Dans lequel tu veux participer à la création et te développer.

Ce que tu en fais, c'est ce qui nous définit.

Vers les univers professionnels

Vers les postes vacants cybersécurité