portaildusat
Application Alicem – Sécurité et privacy deux enjeux difficiles à maitriser 20172210

Bonjour à toi !
Ceci est votre première visite, alors inscrivez-vous pour avoir accès à tous les sujets du forum, bonne navigation sur portaildusat.com
n'oublier pas de faire une présentation et valider le règlement du forum ainsi que faire votre signature sur votre profile c'est très important pour que vous soyez un membre à 100% parmi nous et avoir accès à toute les pages !.
et n'oublier pas que la plupart des intervenants ici vous aident bénévolement sans en gagner en retour, soyez alors très respectueux et patient envers eux pour vos demandes ou renseignements pour avoir une réponse clair d'une personne de notre équipe ou membre !

Si vous souhaitez participer à la vie du forum faite en part à l'Administrateur du forum et de vos motivations !

Bonne visite parmi nous !
Meilleurs posteurs
Admin (4379)
4379 Messages - 28%
SIDALI55 (3945)
3945 Messages - 25%
meknessi14 (3636)
3636 Messages - 23%
sindbad001 (1381)
1381 Messages - 9%
scott_311 (805)
805 Messages - 5%
rednass (552)
552 Messages - 4%
bogoss (264)
264 Messages - 2%
toto rina (260)
260 Messages - 2%
matelot (157)
157 Messages - 1%
132 Messages - 1%
Connexion
Novembre 2019
LunMarMerJeuVenSamDim
    123
45678910
11121314151617
18192021222324
252627282930 

Calendrier

Translator/Traducteur
Partagez
Aller en bas
SIDALI55
SIDALI55
Messages : 3945
Points : 8140
Réputation : 22
Date d'inscription : 10/11/2014

Application Alicem – Sécurité et privacy deux enjeux difficiles à maitriser Empty Application Alicem – Sécurité et privacy deux enjeux difficiles à maitriser

le Ven 25 Oct - 17:38
Application Alicem – Sécurité et privacy deux enjeux difficiles à maitriser Biometrie-3-566x398


[size=36]Suite à l’annonce du gouvernement du lancement de l’application Alicem, voici deux commentaires de WatchGuard et Varonis, autour des enjeux de sécurité et des questions de protection des données liées à l’utilisation de données biométriques.[/size]
Tribune – En effet, s’il est impératif de prendre garde à la manière dont sont chiffrées et stockées les données biométriques (cf. Jérôme Soyer), il est également important de rappeler que ces données ne seront requises qu’à la création du compte par la suite un mot de passe à six chiffres sera fourni aux utilisateurs. Étant donné le caractère monofacteur de l’authentification, une campagne de phishing pourrait permettre de récolter lesdits mots de passe et usurper des comptes préexistants (cf. Pascal Le Digol).
Jérôme Soyer, Directeur Avant-Ventes, Europe de l’Ouest de Varoni s(société spécialisée de la gouvernance et la sécurité des données) identifie quelques points de vigilances quant au traitement et à la protection des données biométriques.
Les données biométriques constituent une autre forme d’identification et, à ce titre, elles feront l’objet d’attaques : vol, suppression ou modification. Ce qui m’inquiète le plus est la manière avec laquelle les organisations protègent les données biométriques contre les abus. Du point de vue de la conformité au RGPD, cela pose un autre défi : comment les organisations vont-elles créer ou supprimer ces données biométriques ? 
Les systèmes de reconnaissance biométrique n’en sont qu’à leurs balbutiements, mais leur succès va grandissant à mesure que les développeurs les intègrent à leurs nouveaux produits. Industrie et consommateurs devraient prendre du recul et se demander si la commodité offerte vaut le risque encouru. Une fuite de données biométriques serait une grave atteinte à la protection des données. Le problème est qu’il est impossible de modifier les données biométriques – elles sont à vous pour la vie. Les risques associés sont de fait incalculables. 
La meilleure façon de protéger des données biométriques est de les stocker sur des systèmes distincts et segmentés. De plus, ces données doivent être soumises à une fonction de hachage cryptographique (difficile à inverser) avant d’être stockées. Les principes traditionnels de sécurité informatique s’appliquent à la reconnaissance faciale. Des outils d’authentification automatiques doivent également être déployés pour contrôler qu’aucune application de services système compromise n’est dissimulée – aucun raccourci ne devrait être pris.

Pascal Le Digol, Directeur France de WatchGuard (société spécialisée notamment sur les solutions d’authentification multifacteur) met en avant un faux pas sécuritaire de la part de l’État, pour une application censée donner accès aux informations les plus sensibles de nos concitoyens !
La particularité de cette nouvelle application, qui est à l’origine d’un débat, est l’utilisation de la reconnaissance faciale pour authentifier les utilisateurs (la reconnaissance faciale est croisée avec les données biométriques du passeport de la personne). 
Pour Pascal le Digol, même si l’utilisation de la reconnaissance faciale donne une illusion d’innovation et d’un État français au rendez-vous de l’ère numérique, d’un point de vue sécuritaire, malheureusement le travail est bâclé puisqu’une fois le compte utilisateur créé, l’application ne requiert finalement qu’un simple mot de passe – faible qui plus est – pour s’identifier ! 
L’expert explique surtout que « les attaquants qui se pencheront sur Alicem ne s’attaqueront certainement pas à la reconnaissance faciale utilisée en premier lieu puisqu’ils pourront simplement récupérer le code à 6 chiffres envoyé ensuite, à l’aide d’une simple campagne de phishing ! Il y a fort à parier que nous verrons une attaque de phishing de ce type – un mail d’apparence très crédible, sans faute d’orthographe, avec des URL n’invitant pas au soupçon, usurpant un logo de l’Etat, etc. – apparaître assez rapidement après la mise en application d’Alicem… Ce dont nous pouvons être sûr avec les cybercriminels, c’est qu’ils empruntent toujours les chemins les plus aisés pour parvenir à leurs fins ».  
Le principal problème que soulève Pascal Le Digol est en effet que « malgré l’intégration de la reconnaissance faciale, qui est en soi une avancée technologique, la deuxième étape revient à une méthode d’authentification qui est aujourd’hui totalement dépassée ! Après avoir créé son compte, l’utilisateur va ensuite se connecter avec un mot de passe à 6 chiffres, alors qu’aujourd’hui, la grande majorité des applications et sites ont mis en place une politique minimum de mots de passe forts, intégrant des caractères spéciaux, majuscules, chiffres, etc. Au final, nous sommes ici sur une authentification monofacteur à l’heure où la norme devient petit à petit l’authentification multifacteur, ou MFA, dans toutes les entreprises ».
L’expert ajoute :
« Le pire, c’est qu’à l’heure où il est nécessaire de sensibiliser massivement à la cybersécurité, cette initiative peut être pernicieuse, car d’aucun pourrait penser qu’il suffit de ça pour être protégé, ce qui n’est pas le cas. Il est impératif de continuer à sensibiliser les utilisateurs à la cybersécurité et de prendre garde à ne pas envoyer des signaux contradictoires ». 
UnderNews
Revenir en haut
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum