Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Pourquoi mon mot de passe perdu nécessite-t-il le nom de mon chat sur Internet ?
publié le 12 octobre 2024 à 14h00.
Tech
Image d'illustration. La cybersécuritéADN
Vous vous êtes sûrement déjà demandé pourquoi, lors de la création d'un compte en ligne, on vous pose des questions sur le lieu de naissance de votre mère ou de votre première institutrice. Vous aimeriez comprendre le pourquoi de cette démarche ?
Tl;dr
- Les questions de confiance lors de la création de comptes en ligne servent à sécuriser les échanges.
- La confiance en sécurité informatique est remise en question par des attaques comme Heartbleed ou Shellshock.
- Le modèle de sécurité Zero Trust cherche à pallier la confiance implicite en vérifiant continuellement l’identité de l’utilisateur.
Comprendre la confiance en sécurité informatique
Il est probable que vous vous soyez déjà interrogé sur la raison pour laquelle, lors de la création d’un compte en ligne, on vous demande le lieu de naissance de votre mère ou le nom de votre premier enseignant. Ce n’est pas une simple curiosité, mais une mesure de sécurité basée sur la confiance.
En sécurité informatique, la confiance est l’élément central qui soutient la sécurité au quotidien. Par exemple, lorsque nous utilisons le chiffrement pour communiquer de manière sécurisée, nous faisons confiance aux logiciels qui chiffrent, en supposant qu’ils sont sans failles. Cependant, cette confiance a été ébranlée ces dernières années par des failles telles que Heartbleed ou Shellshock.
Le rôle de la confiance dans la cybersécurité
D’un point de vue philosophique, la confiance est un abandon : on baisse sa garde pour confier quelque chose de précieux à quelqu’un. En sécurité informatique, c’est la même chose. On remet en question notre sécurité pour permettre un échange, ce qui implique de prendre des risques.
Pour pallier les risques, certaines installations critiques, comme les installations militaires ou nucléaires, isolent physiquement leurs réseaux informatiques. Cependant, même cette mesure extrême n’est pas infaillible, comme l’a démontré l’attaque Stuxnet contre les centrifugeuses iraniennes d’enrichissement d’uranium.
Le modèle de sécurité Zero Trust
Face à ces défis, un nouveau modèle de sécurité, appelé Zero Trust, cherche à pallier cette confiance implicite. Dans ce modèle, une entité au sein du réseau est chargée d’évaluer constamment la confiance accordée à toute communication. Elle vérifie que l’utilisateur est bien identifié, que son compte n’est pas compromis et qu’il a utilisé des moyens sûrs pour prouver son identité.
Cependant, la quantification de la confiance reste complexe. Pour pallier cela, des valeurs sont souvent utilisées pour exprimer la confiance et des fonctions mathématiques sont définies pour agréger les différentes dimensions de la confiance et obtenir un score.
Renforcer la confiance et mesurer l’incertitude
Si le doute persiste, on peut renforcer la confiance. Par exemple, en utilisant plusieurs méthodes d’authentification simultanément : c’est ce qu’on appelle l’authentification multifacteur. La confiance est renforcée car vous prouvez que vous savez quelque chose (vos identifiants) et que vous possédez quelque chose (votre téléphone).
En somme, bien que la sécurité informatique présente des défis, des mesures sont en place pour renforcer la confiance et réduire les risques. Et le modèle « Zero Trust » mène la voie en matière de vérification constante de l’identité des utilisateurs.
Le Récap