UP' Magazine L'innovation pour défi

nouvelles technologies

Une Startup peut se développer sans cibler en premier les Digital Natives

J’ai 50 ans et j’ai toujours été passionné de nouvelles technologies. J’achète sur Amazon depuis 1998 et j’ai eu en ma possession à peu près tous les types de produits high Tech commercialisées au cours des trois dernières décennies. Depuis 10 ans, j’observe cependant l’adoption rapide de technologies liées à Internet par les Digital Natives, ces jeunes consommateurs qui sont nés dans les années 80’/90’ et qui ont toujours connu Internet. Je me sens un peu en décalage par rapport aux tendances qui sont amorcées par ces derniers...

J’apprécie les outils de communication mais je ne partage pas ma vie privée sur Facebook. J’adore prendre des photos mais je ne ressens pas le besoin de partager chaque moment de ma vie sur Instagram. J’aime bien Twitter mais je ne trouve pas le temps, plusieurs fois par jour, de raconter des choses intéressantes en 140 signes. J’utilise bien sûr tout de même ces outils car ils m’apportent beaucoup, notamment dans mon métier de chef d’entreprise. C’est un fait établi : les membres de la Génération X (nés entre 1960 et 1981) en viennent à utiliser des services qui, à l’origine, n’ont pas été conçus pour eux. Certains de ces services sont en effet devenus incontournables pour tout le monde après avoir été adoptés en masse par les Digital Natives. Selon l’Institut Pew Research Center, le taux de pénétration de Facebook chez les 50-65 ans est passé de 20 à 65% au cours des 5 dernières années (il était déjà de 80% pour les Digital Natives il y a 5 ans).

Les entrepreneurs qui ont développé des Startups pour les Digital Natives ont été très habiles pour exploiter leurs comportements. Parce que cette génération qui valorise la gratuité des services est prête à abandonner toute notion de confidentialité ou de sécurité de leurs données personnelles, certaines entreprises ont ainsi proposé des produits gratuits qui agrègent des masses de données personnelles dans le Cloud, et génèrent des revenus importants grâce à la publicité ciblée.

Mais on peut tout à fait réussir dans le web sans cibler les jeunes. Je suis le PDG d’une startup qui a conçu un gestionnaire de mot de passe et porte-monnaie électronique utilisé par plus de 3 millions de personnes dans le monde. L’âge moyen de nos utilisateurs est supérieur à 40 ans, ce qui est assez unique pour une entreprise du secteur de l'Internet. Nous sommes en train de développer massivement cette activité en s’appuyant sur un nouveau paradigme. Notre produit est adopté dans un premier temps par les membres de la Génération X, et dans un second temps par d’autres segments de la population. Les utilisateurs de plus de 40 ans sont en effet plus sensibles à la sécurité et à la confidentialité de leurs données personnelles. Ils sont prêts à adopter des services qui adressent ces sujets, quitte à payer pour cela.

Pendant des années, nous avons cru naïvement que les technologies de communication étaient forcément un vecteur de liberté et nous conduiraient vers un monde meilleur. Aujourd’hui, nous sommes en train de réaliser que le monde virtuel connaît les mêmes problèmes que le monde réel : des individus mal intentionnés cherchent à nous nuire (les pirates), des gouvernements peuvent attenter à nos droits si nous ne protégeons pas nos données personnelles et les géants du web capitalisent sur leurs positions de monopole pour exploiter toujours plus nos informations privées. Internet a changé le monde mais il n’a pas fondamentalement changé l’être humain. Les individus de la Génération X et les Baby-Boomers ont une perception plus aiguë de cette réalité parce qu’ils connaissent le monde d’avant Internet. Il y a aussi le facteur de l’âge. Après 40 ans, on se sent plus concerné par la sécurité car on a généralement plus à perdre. Ensuite, notre psychologie change. Avec l’âge on réalise que la vie est précieuse et fragile. Il est donc normal de commencer à penser davantage aux intérêts de sa famille et ses proches plutôt qu'aux siens, et de vouloir faire le maximum pour la protéger.

Lorsqu’on développe une Startup pour répondre à ces besoins grandissants de sécurité et de confidentialité, il faut utiliser des principes différents de ceux qui ont fait leurs preuves sur les Digital Natives. Notre société propose une infrastructure ultra sécurisée pour protéger les données (cryptage et décryptage en local, aucun stockage du mot de passe de l’utilisateur). Nous ne faisons aucun compromis en matière de confidentialité : nous n'avons aucun moyen de relier les utilisateurs à des données personnelles concernant leur activité. Nous tirons nos revenus uniquement des utilisateurs qui acceptent de payer 39 € par an pour bénéficier de notre version premium. Et vu nos chiffres, il semblerait qu'ils en soient plutôt satisfaits. Nous nous efforçons aussi de fournir une assistance de qualité à ce public averti et exigeant, et nous obtenons comme résultat des taux de satisfaction assez élevés.

Nous comptons bien également séduire en masse les Digital Natives, en diversifiant nos canaux de recrutements et en adaptant notre business model. La valeur ajoutée de notre produit est en effet identique quel que soit l’âge de l’utilisateur. Les défis de la sécurité du web sont les mêmes pour toutes les générations et nous comptons sur les membres de la Génération X et les Baby-Boomers pour être les ambassadeurs d’un Internet plus sûr.

Emmanuel Schalit, CEO Dashlane

big data

Que faire lorsque notre identité est connue de tous... et de tout

Aujourd'hui, votre réfrigérateur peut commander du lait directement auprès de votre épicerie ; votre voiture vous avertit que vous allez bientôt dépasser un restaurant Thaï dont vos amis discutaient sur Facebook ; et votre pompe à insuline envoie des données directement à votre médecin. L'Internet of everything (l'interconnexion entre objets, données, processus, individus, etc.) est désormais une réalité, mais il y a un hic : la sécurité. Edward Snowden, les piratages massifs de carte de crédit et les pirates chinois ont fait de la sécurité sur Internet un sujet de débats récurrent dans le monde entier. Pourtant, bien qu'elle soit omniprésente dans les médias, c'est loin d'être le cas au sein de nos technologies, ce qui est problématique, vu que ces technologies sont, elles, bien présentes partout dans notre quotidien.

Votre montre connectée contient désormais d'importantes informations concernant votre état de santé : qu'advient-il de ces données lorsqu'elles sont transmises à votre téléphone ? Faut-il s'inquiéter du fait qu'elles soient stockées quelque part dans le cloud ? Prenons l'exemple de la fonctionnalité permettant de déverrouiller, voire de démarrer votre véhicule à l'aide de votre téléphone : un pirate déterminé pourrait-il vous voler votre auto ? Nous faisons preuve d'une foi quelque peu aveugle quant à la sécurité de ces technologies révolutionnaires. Si nous ne les sécurisons pas, nous courons le risque qu'un problème majeur survienne et que ces technologies qui promettent de changer nos vies nous causent en réalité du tort.

Nous n'aurions pas besoin de discuter ou même de penser aux risques que présentent les smartphones, les voitures, les thermostats et les imprimantes sans fil connectés à Internet si chacun de ces nouveaux appareils possédait des fonctions de sécurité embarquées : ils seraient alors naturellement sécurisés. Nous n'aurions pas à nous soucier de ce qui pourrait se passer en prenant une photo d'un chèque avec notre smartphone, ou en téléchargeant un film sur notre tablette ou notre télévision. Si nous faisions les choses correctement, les possibilités d'innovation technologique seraient quasi illimitées.

Il existe déjà quelques outils pour répondre à ce problème, mais sécuriser un réfrigérateur ou un rhinocéros connecté (voir plus bas) n'a pas grand-chose à voir avec le fait de sécuriser un ordinateur portable. Les messages transmis par votre réfrigérateur à votre épicerie, ou de votre voiture à Facebook peuvent être acheminés en passant par une variété de technologies de sécurité déployées dans le cloud (passage intermédiaire entre l'appareil et le service avec lequel il communique).
Ces technologies permettent, par exemple, de s'assurer que le fichier musical en téléchargement vers votre voiture ne contient pas de virus. La gestion de la sécurité depuis le cloud peut aider à identifier votre téléphone lorsqu'il communique avec votre thermostat. Il s'agit d'une approche complètement différente de celle qui permet de gérer la sécurité sur Internet, et cette différence est nécessaire. À la grande époque des ordinateurs portables et de bureau, la plupart d'entre nous installaient des logiciels antivirus pour en assurer la supervision et la protection. À l'heure de l'Internet des objets, un thermostat, une montre ou une pompe à insuline ne possèdent pas la puissance de calcul ou l'autonomie suffisante pour assurer une supervision constante.

Autre problème : les techniques utilisées pour assurer la sécurité d'un réseau d'entreprise n'ont pas été prévues pour des appareils mobiles changeant constamment d'emplacement. Auparavant, on érigeait des sortes de clôtures hautes autour des réseaux des entreprises, puis on examinait le trafic passant par le portail. Mais avec l'Internet des objets, les objets en question sont souvent mobiles. Une voiture, par exemple, peut être connectée au réseau d'un opérateur de services de télécommunication en Allemagne ; mais que se passe-t-il lorsque l'on traverse la frontière française ? Il faut un cocon de sécurité voyageant avec l'objet concerné et disponible dans le cloud. L'éventail d'« objets » mobiles en question peut être plus large qu'on ne le pense. Prenons un autre cas d'utilisation innovant : en Afrique, des chercheurs implantent des puces sur des rhinocéros afin de surveiller leur localisation, d'assurer un suivi à distance et de connaître leur état de santé. Il leur est également possible d'envoyer un drone afin d'intervenir si un animal est pourchassé par un braconnier.

Tous ces cas d'utilisation présentent des risques de détournement (imaginons que des braconniers piratent le système afin de suivre un rhinocéros), mais avec la sécurité adéquate, ces technologies possèdent un potentiel de transformation bien réel. Prenons, pour finir, l'exemple du quartier de Times Square dans la ville de New York. Il y a quarante ans, ce quartier était un lieu privilégié de prostitution, de criminalité et de trafics de drogues. Il n'était pas concevable d'y emmener des enfants une fois la nuit tombée. Comparons cette description avec l'image qu'à Times Square aujourd'hui : il s'agit désormais d'un lieu de commerce animé, et d'un passage obligatoire pour les touristes. Les plus grandes marques mondiales déboursent des fortunes afin d'avoir leur nom sur les affiches présentes dans le quartier et de bénéficier ainsi de son aura. Qu'est-ce qui a changé entre-temps ? Qu'est-ce qui a transformé Times Square en ce qu'il est maintenant ? La sécurité, principalement : des politiques plus sévères ont été introduites, augmentant ainsi la présence policière et appliquant une tolérance zéro face à la criminalité. Grâce à l'application de ces mesures de sécurité en arrière-plan, les touristes de Times Square se sentent désormais libres de se promener en toute sécurité, et ne se doutent presque pas de la présence des systèmes de défense qui les protègent. C'est cette sensation, cette assurance, qui doit être présente dans l'ADN même de l'Internet des Objets.

La sécurité informatique doit être intégrée à nos technologies comme à Times Square. Elle doit être assurée avec l'uniformité et la discrétion d'un scellé de sécurité sur une bouteille d'eau, de l'emballage inviolable d'une boîte d'Advil, ou des zones de froissement de nos voitures... ces choses du quotidien qui assurent notre sécurité sans envahir notre vie privée, ni perturber notre capacité à innover ou nos modes de vie. En rendant la sécurité des nouvelles technologies aussi omniprésente et adaptée que l'opercule de sécurité d'une brique de lait ou le casque de vélo que votre enfant vient d'enlever avant de s'asseoir pour dîner, nous pourrons alors tirer pleinement parti de l'innovation et des capacités de l'esprit humain. Nous pourrons peut-être même nous sentir suffisamment en sécurité pour cesser de parler de sécurité, et uniquement profiter du potentiel qu'offre l'Internet of everything.

Dr Hugh Thompson, Chief Technology Officer, Chief Marketing Officer, Senior Vice President, Blue Coat

big data

Sécuriser la nouvelle ère du Big Data

À l’heure du numérique, l’information constitue la nouvelle monnaie. Et pour obtenir cette information, les entreprises analysent leurs données – et un grand nombre - pour la connaissance qu’elles peuvent en extraire. A l’échelle du commerce en ligne et des réseaux sociaux, le volume des données est très important, compte tenu des centaines de millions de smartphones et d’équipements clients. A l’échelle des données grand public, médicales ou liées à l’univers de la recherche, ce volume peut être gigantesque, issu de capteurs et d’instruments recueillant de larges volumes de données brutes, à partir d’une source unique (à l’instar des instruments de surveillance d’un moteur d’avion lors d’un vol), ou des 26 milliards d’équipements qui constitueront à terme l’Internet des Objets.

La ruée vers l’or à laquelle nous assistons actuellement en matière de collecte et d’analyse du Big Data, alimenté de plus en plus par l’Internet des Objets, crée de nouveaux défis pour les réseaux et la sécurité des centres de données, et ceci dans trois domaines clés. 

En premier lieu, celui de l’agrégation des données

Progressivement, plutôt que de traiter les données brutes et de réduire leur volume au niveau de la source, les données brutes sont transférées et stockées de manière centralisée. Ceci permet de les analyser de différentes façons et dans la durée.
Aujourd’hui, les entreprises transfèrent des téraoctets de données tous les jours et sur des distances importantes. Cette inflation en matière de volumes implique de renforcer les capacités des cœurs de réseau et des centres de données, comme, par exemple, migrer vers des performances de 100GbE pour assurer le transfert de flux individuels de données à des débits de 10Gbps à minima.

Cette évolution met à l’épreuve les outils de sécurité en périphérie de réseau (pare-feux notamment), d’autant que nombre d’entre eux ne sont pas adaptés à des volumes aussi importants et à des sessions aussi nombreuses. A titre d’exemple, un pare-feu équipé de ports en 10 GbE ou de performances agrégées de 40 Gbps ne disposent pas forcément de ressources de traitement interne pour gérer un flux à 10 Gbps. La congestion liée au trafic d’entreprise classique sur les LAN est susceptible de saturer davantage les ressources mémoire et CPU, impliquant un ralentissement ou un décrochage des flux importants. 

Dans un second temps, le traitement constitue un défi

Les flux liés au Big Data ne sont pas symétriques : les données brutes entrantes ne ressortent pas forcément dans les mêmes formats et volumes. Les données conservées dans les espaces de stockage sont généralement analysées via des serveurs intermédiaires. Le volume de données est ensuite réduit et restitué, souvent via des serveurs Web en front-end, en tant qu’informations synthétiques et donc de faible volume, nécessaires à la visibilité. C’est suite à cette étape que les données sortent du centre de données. Ceci implique une bande passante plus importante, mais aussi davantage de trafic latéral (à savoir au sein du centre de données), comparé au trafic de type entrée-sortie. De nombreuses études estiment que le trafic latéral compte aujourd’hui jusqu’à 70% du trafic total au sein des centres de données, et que cette tendance continuera à progresser compte tenu de la multiplication des traitements analytiques du Big Data.

Le trafic latéral doit être segmenté et inspecté, pour neutraliser les mouvements latéraux liés aux menaces APT et aux attaques ciblées, mais aussi pour sécuriser les données en elles-mêmes, celles confidentielles notamment. La sécurité réseau doit évoluer d’une architecture de type périmétrique ou passerelle, vers une architecture hybride et multi-niveaux, pour prendre en charge un trafic latéral virtualisé et abstrait qui résulte de l’adoption des technologies de virtualisation serveurs et réseau, ainsi que du Cloud Computing.

Enfin, le troisième défi est celui de l’accès aux données

En matière de Big Data, les données sont archivées sur de longue période, d’où des interrogations : quelles sont les personnes autorisées à accéder à quelles données et pour quelles raisons? Souvent, les données ne sont pas stockées au même endroit mais peuvent être associées et analysées ensemble. Chaque ensemble de données contient des informations sensibles et susceptibles d’être soumises à réglementation ou à des audits internes. De plus, il existe souvent plusieurs équipes d’analystes et de chercheurs qui recherchent des informations différentes. Un acteur majeur de l’industrie pharmaceutique a ainsi montré l’exemple, mettant les recherches et résultats de ses analyses Big Data à la portée de différents profils : collaborateurs internes, sous-traitants, stagiaires ou encore invités. Pour chacun de ces profils, une sandbox d’analyse distincte a été créée, pour accorder des droits d’accès spécifiques à des ensembles de données identifiés comme pouvant être consultés et associés.

Dans ce contexte, les directions informatiques doivent revisiter les fondamentaux de la sécurité informatique, plutôt que de s’engager dans des étapes supplémentaires pour sécuriser leur centre de données. Dans de nombreux cas, l’infrastructure même de leur centre de données est actuellement en phase de consolidation, et transformée compte tenu du Big Data, du cloud computing et des initiatives SaaS. Dans le cadre de cette transformation, les directions informatiques devraient privilégier une architecture présentant les caractéristiques suivantes :
• Hautes performances – Prise en charge des volumes importants de données grâce à un renchérissement des débits sur le réseau et des ports hautes performances (40 ou 100GbE) et denses. L’évolutivité est également un impératif pour répondre à la croissance du volume des données.
• Sécurisée – Repenser la sécurité du périmètre réseau en segmentant davantage pour se protéger des mouvements latéraux des données, et assurer la surveillance des menaces sophistiquées ou émanant de l’intérieur.
• Consolidée – intégration de différentes fonctionnalités de sécurité, des fonctions classiques (pare-feu, VPC, antivirus et prévention des intrusions) aux fonctions évoluées de protection évoluée contre les menaces (Advanced Threat Protection), une authentification forte et le contrôle d’accès.

Enfin, les entreprises sont invitées à tirer profit du Big Data pour renforcer leur sécurité. Avec d’avantage de points de contrôle et de monitoring déployés sur le réseau et dans les centres de données, une plateforme SIEM (Security Information and Event Management) et des outils de gestion des logs capables d’agréger les volumes toujours plus importants de logs de sécurité et d’événements, il devient possible d’obtenir des informations décisionnelles en matière de sécurité, pour protéger le Big Data mais aussi le centre de données dans sa globalité.

Christophe AubergerDirecteur Technique France Fortinet

Écoutez vos produits : tout ce que vos clients ignorent peut vous aider

Quel que soit votre secteur d'activité, il est courant d'entendre que le client a toujours raison. Pourtant, dans l'univers de l'Internet des objets (IoT), ce vieil adage doit être nuancé. Alors que les objets sont toujours plus intelligents et toujours plus connectés, il est important de savoir écouter non seulement les clients, mais également les produits.

Aujourd'hui, l'industrie manufacturière atténue la frontière entre produits et services et ce, afin de mieux appréhender l'expérience utilisateur. En utilisant les données des produits et en exploitant les éléments de mesure en temps réel, les entreprises créent de nouvelles opportunités commerciales qui changent le mode d'interaction entre consommateurs et produits.

Ce phénomène induit une indéniable opportunité de chiffre d'affaires. Si une récente étude McKinsey nous apprend que, d'ici 2025, l'Internet des objets - l'IoT (Internet of Things) - affiche un nouveau potentiel économique mondial annuel s'élevant à 6 200 milliards de dollars, nous en sommes encore à nous demander ce que cela signifie dans les faits. Pour commencer, il s'agit d'une nouvelle manière plus concrète d'ajouter de la valeur.

Jusqu'à présent, les industriels s'appuyaient sur le retour d'information de leurs clients pour pérenniser et faire évoluer leurs gammes de produits. Aujourd'hui, les données analytiques que génèrent ces produits remédient aux problèmes avant même qu'ils ne se produisent, induisant parallèlement de nouvelles opportunités en termes de conception de produits et de service. C'est la « voix des données » qui permet cette approche : les industriels sont désormais en mesure de collecter et d'interpréter les « données produit » et de les réinjecter dans le cycle de conception. Cette nouvelle approche permet ainsi de générer de la valeur aussi bien pour l'industriel lui-même que pour ses clients finaux.

L'objectif consiste à comprendre l'usage fait du produit. L'industriel peut alors identifier et corriger les problèmes plus rapidement que s'il attendait d'en être averti par sa clientèle.

Grâce aux éléments d'analyse tirés des données de la technologie IoT, les produits sont efficacement personnalisés par l'utilisateur ou le concepteur, avant - voire après - leur commercialisation. Ainsi, la Ford Modèle T était tristement connue pour être disponible dans n'importe quel coloris à condition que ce soit du noir. Un siècle plus tard, la Tesla Modèle S d'Elon Musk pouvait s'abstenir d'un éventuel rappel produit lié à son système de suspension : le constructeur était en mesure de corriger le problème par le biais d'une simple mise à jour logicielle.

Mais si le futur s'annonce radieux, les entreprises ne s'interrogent pas moins aujourd'hui sur la manière d'exploiter ces données.

Extraire les données de tous ces appareils connectés à Internet est une chose, mais lorsqu'il s'agit de déterminer un mode d'utilisation et de partage, il faut tenir compte des restrictions associées aux réglementations et aux politiques. Cet aspect contraint les entreprises à gérer diverses réglementations liées aux données et à la confidentialité auxquelles elles n'avaient jamais été confrontées jusqu'alors. Prenons par exemple le domaine de la santé : stimulateurs cardiaques, moniteurs cardiaques, voire prothèses, sont autant de dispositifs connectés à Internet. Les données extraites de ces « machines » permettent aux professionnels de surveiller la santé et l'activité d'un patient pour analyser ses progrès et déterminer les phases de traitement ultérieures les mieux adaptées. Toutefois, si un tel appareil permet de traiter un patient donné, un praticien pourra souhaiter en partager les données avec ses homologues afin d'illustrer une expérience réussie et de contribuer à la recherche et à l'innovation dans le domaine concerné. Mais les réglementations médicales telles que l'HIPPA (Health Insurance Portability and Accountability Act) - loi sur la transférabilité et la responsabilité de l´assurance maladie aux USA- les empêchent de diffuser ces informations.

En interne, les données aident l'entreprise à prendre, en toute connaissance de cause, des décisions sur la manière d'améliorer l'activité et d'en dégager davantage de valeur pour ses clients. L'entreprise est en mesure d'extraire de ces données de réels éclaircissements pour améliorer les processus et pour déterminer l'incidence d'une modification de ses performances en termes de coût.

Il y a quelques années de cela, All Traffic Solutions, un fabricant Web de panneaux de signalisation routière destinés à aider la police à comprendre et gérer la circulation, a modifié sa gamme de sorte à connecter tous ses produits à Internet. L'entreprise a alors lancé SmartApps, un jeu d'applications mobiles qui facilite la gestion à distance de programmes de circulation. SmartApps permet aux clients de prendre leurs décisions en fonction des données extraites des dispositifs, ce qui induit un meilleur usage des ressources et des correctifs plus efficaces.

Les approches traditionnelles des données en silos ne sont plus pertinentes dans l'univers de l'Internet des objets. Les données sont omniprésentes. Le produit est devenu un objet commun ; ce sont désormais les données qui induisent un meilleur service et une différenciation accrue vis-à-vis de la concurrence. Plutôt que d'être regroupées dans une boîte noire, les informations doivent être collectées, transférées, nettoyées, traitées et enregistrées, afin que les fabricants puissent en tirer la quintessence ; une différenciation concurrentielle qui leur donnera une longueur d'avance pour faire face aux demandes toujours croissantes de leurs clients.

Peut-être est-ce simplement parce que... « Les données ont toujours raison. »

Sylvine Datry, Technical and Business Transformation Director at PTC

La biométrie peut-elle vraiment remplacer les mots de passe ?

Les hackers du Chaos Computer Club viennent de réussir la semaine dernière à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Sachant qu’ils avaient précédemment montré qu’ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public... Prenons un peu de recul et analysons ce que cela veut dire pour l’avenir de l’authentification en ligne.

Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu : ce qu’il sait (mot de passe, code pin, question secrète…, ce qu’il possède (jetons, cartes…), ce qu’il est (signature de l’iris, empreinte digitale…).
Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu’ils utilisent régulièrement.

Quels sont les avantages et les désavantages de la biométrie pour l’authentification en ligne des consommateurs ?

Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.

Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparait alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage, si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…

La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire.

Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :
• Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
• Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
• Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?

Compte-tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mot de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.

Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !

Emmanuel Schalit, CEO de Dashlane 

Loading...
Loading...