Fuites de données, comptes piratés, mots de passes dans la nature

Un éternel recommencement

La mode est un éternellement recommencement, le piratage informatique et la fuite de données aussi. L’annonce faite en janvier 2019 par Troy Hunt, expert sécurité, directeur régional de Microsoft Australie, via son site d’information Have I Been Pwned (HIBP) (“j’ai été mis en gage” – j’ai été dépossédé de mes données) en témoigne. Le site répertorie les principales brèches de sécurité et fuites de données pour aider les personnes à identifier si elles en ont été victimes ou non et pour faire des recommandations (y compris en faveur des solutions Microsoft).

Des collections particulières

Cette gigantesque fuite de données communiquée sous le nom de Collection # 1 résulte de nombreux piratages (environ 12 000 dont certains remontent à plusieurs années) et concernerait 2,7 milliards d’identifiants, près de 773 millions d’adresses distinctes et plus de 21 millions de mots de passe. De nouvelles fuites de données (Collection # 2 à 5) ont été révélées dans la foulée et correspondrait à 2,2 milliards d’adresses email et de mots de passe associés provenant de vols massifs de données sur des plateformes de fournisseurs de services comme par exemple en 2016 Yahoo (plus de 500 millions de comptes), Linkedn (117 millions) ou encore Dropbox (68 millions). Le nombre de comptes utilisateurs piratés chez leur fournisseurs se compte généralement en millions (500 millions pour les hôtels Marriott, 92 millions pour la plateforme de généalogie et de test ADN  MyHeritage en 2018, 57 millions pour Uber et 143 millions pour l’agence de crédit Equifax  en 2017, 412,2 millions pour le site de mise en relation Adult Friend Finder en 2016, 145 millions pour Ebay, 76 millions pour JP Morgan Chase en 2014 pour ne donner que quelques exemples).

Une collection est une accumulation d’objets ayant un intérêt, une valeur. La valeur de ces collections n’est pas liée à la rareté de l’information mais à son grand nombre et aux possibilités d’exploitation qu’elle autorise.

Applications concrètes du vol massifs de données

Ainsi, l’usurpation des paramètres de connexion d’un individu, permet de réaliser des actions ciblées de phishing et d’ingénierie sociale afin de manipuler une personne, la leurrer, la conduire à réaliser des actions spécifiques en vue d’escroqueries, d’intrusions dans des systèmes, de la diffusion de programmes malveillants (virus, prise de contrôle de la machine utilisateur pour des attaques en dénis de service, cryptolocker, cheval de Troie, …), etc. Cela permet également de faire porter la responsabilité d’actions malveillantes sur la personne dont le compte a été usurpé, de faire des campagnes de spam, de faire blacklister des adresses email, d’usurper des identités numériques sur des réseaux sociaux, de compromettre des contenus etc. …

Posséder un mot de passe est généralement synonyme de posséder le “Sésame ouvre – toi” de tous les comptes d’un internaute. Même si ce dernier possède des mots de passe différents, il est souvent aisé de déduire comment il les choisi.

Si toutes les informations rendues publiques ne sont pas directement exploitables et profitables il n’empêche que les outils d’analyse des données permettent de retrouver “une aiguille dans une meule de foin” et de tirer parti d’une information relative à l’identification d’une personne. Cela permet par exemple, de reconstituer des organigrammes d’entreprises, des annuaires professionnels de personnes y compris de celles travaillant pour des services sensibles gouvernementaux (justice, police, affaires étrangères, défense, renseignement, …) ou d’institutions privées, de faire fuiter des informations concernant des personnalités politiques, etc. par ailleurs, être en mesure de savoir qui communique avec qui, de récupérer des carnets d’adresses, de créer de “vraies” fausses informations et de faire croire que des contenus émanent de telle ou telle personne, peut servir des stratégies d’influence ou de déstabilisation.

Le contrôle d’accès en question

Cette énième affaire de mots de passe révélés, met en lumière la fragilité des barrières de protection des systèmes basées sur le contrôle d’accès à un seul facteur d’authentification (le mot de passe) et sur la difficulté qu’ont les fournisseurs de services à de protéger correctement les mots de passe de leurs clients, à moins que cela ne soit pas une priorité “business” ou que cela relève de la négligence.

Identifier, être en mesure de prouver l’identité en l’authentifiant constitue une brique de base indispensable au transaction commerciales et financières (consommation, paiement, suivi du consommateur, marketing, publicité ciblée, profilage, traçabilité, …).

Les processus d’identification et d’authentification sont au cœur des mécanismes de contrôle d’accès contribuant à rendre accessible ou non, des ressources informatiques, selon des critères prédéfinis.

Substituer ce que l’on sait par ce que l’on est (contrôle d’accès biométrique, empreinte digitale, rétine, …), ou par ce que l’on possède (jeton d’authentification, clé USB, puce électronique, …) sont des alternatives ou des techniques complémentaires à l’usage de la connaissance de secrets. En fait, toutes ces techniques nécessitent de garder de manière sécurisée des informations du côté du serveur d’authentification et ne résout pas le problème de la fuite possible de ces informations, que même si elles sont chiffrées (cryptées) peuvent parfois être déchiffrées (cas de Collection # ).

Changer de mots de passe régulièrement est toujours une possibilité, l’usage d’un système de mot de passe unique est encore mieux en attendant de pouvoir s’affranchir totalement de l’usage de mots de passe, mais peut être que le remède serait alors pire que le mal …

Depuis 2013, le consortium industriel américain “Fast IDentity Online” (l’Alliance FIDO) promeut l’usage intégré de plusieurs techniques d’authentification, ainsi que des standards d’authentification Web Authentication (WebAuthn) standard (avec le World Wide Web Consortium (W3C)) et du Client to Authenticator Protocol (CATP). L’ensemble étant soutenus par les acteurs hégémoniques du Net, de la téléphonie, des organismes de paiement comme Google, Microsoft, Amazon, Alibaba, Facebook, Intel, Lenovo, Paypal, Sansung, Visa par exemple, membres de “l’alliance” et dont les solutions sont intégrées dans leurs produits. Cette même Alliance est en mesure de certifier les partenaires qui adoptent ses mécanismes d’authentification…

Dénoncer des problèmes de mauvaise gestion de mots de passe pour inciter à une meilleure qualité de gestion des mécanismes d’authentification est une bonne chose. Migrer vers d’autres mécanismes d’authentification, qui déplace le problème de la sécurité sans pour autant le résoudre car les solutions de sécurité doivent être sécurisées avec une robustesse efficace dans le temps (ce qui n’est pas encore prouvé), ressemble à une fuite en avant technologique. L’incitation à passer par des solutions “FIDO” fidélisera le consommateur à une solution unique valable pour tout, ce qui facilitera également son profilage et ajoutera de la dépendance à la dépendance.

 

 

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur. Médaille d'or du Progrès