En quoi l’IA affaiblit-elle l’authentification par mot de passe (et que faire pour y remédier) ?
On parle beaucoup des multiples avantages offerts par l’IA, mais il est vital de comprendre en quoi elle affaiblit l’authentification par mot de passe pour mieux anticiper sur les vulnérabilités.
Publié le 12 février 2024Depuis longtemps, les mots de passe constituent la première ligne de défense des comptes numériques et de protection des informations sensibles. On sait aujourd’hui que les mots de passe sont particulièrement vulnérables aux attaques, mais on sait moins que l’IA diminue encore davantage l’efficacité de l’authentification par mot de passe.
D’un côté, l’IA nous aide à renforcer les systèmes de protection des données sensibles. De l’autre, elle est utilisée par des acteurs malveillants en vue d’exploiter les faiblesses liées aux pratiques d’utilisation des mots de passe.
Dès lors, comment trouver le juste équilibre qui vous permettra d’exploiter l’IA pour renforcer votre sécurité tout en vous protégeant des écueils potentiels ? En comprenant les vulnérabilités que révèle l’IA dans les systèmes de sécurité par mot de passe, vous serez mieux à même de protéger l’accès aux données sensibles de votre entreprise.
Commençons par voir en quoi les dernières avancées en matière d’IA sont bénéfiques à la sécurité des mots de passe. Voici quelques cas d’usage intéressants :
Les algorithmes d’IA évaluent la force des mots de passe en temps réel et permettent d’identifier les mots de passe faibles ou faciles à deviner.
Avantage : les équipes IT peuvent appliquer des politiques de mots de passe plus robustes et réduire le risque d’accès non autorisé.
L’IA analyse le comportement des utilisateurs, par exemple la dynamique de frappe au clavier ou les mouvements de la souris, pour une authentification continue.
Avantage : ajoute une couche de sécurité dynamique aux simples mots de passe statiques. Cette fonctionnalité contribue à détecter les anomalies et à rejeter les tentatives d’accès non autorisées.
L’IA supervise l’activité de connexion et signale les comportements qui sortent de l’ordinaire, par exemple en cas de connexion depuis un lieu inhabituel ou à une heure anormale.
Avantage : détection précoce des failles potentielle permettant d’apporter une réponse rapide aux menaces de sécurité.
L’IA renforce la MFA en adaptant de façon intelligente la méthode d’authentification au niveau de risque.
Avantage : des processus d’authentification rationalisés et robustes qui s’adaptent aux besoins de sécurité.
Les chatbots propulsés par l’IA et les portails en libre-service simplifient les procédures de récupération et de réinitialisation des mots de passe.
Avantage : réduit la charge de travail de l’assistance IT tout en préservant les protocoles de sécurité.
L’IA présente des avantages indéniables. Une question subsiste cependant : sommes-nous les seuls à profiter des exploits de l’IA en ce qui concerne la sécurité des mots de passe ? Malheureusement, la réponse est non. Comme toujours, les cybercriminels font preuve d’imagination et d’une grande capacité d’adaptation, et ils ont d’ores et déjà commencé à mettre la puissance de l’IA au travail pour élaborer des attaques dévastatrices ciblant les mots de passe.
Comment les hackers ont-ils donc recours à l’IA pour décrypter les mots de passe plus efficacement ?
L’une des méthodes d’attaque les plus courantes est la force brute : un programme spécialisé teste une myriade de combinaisons de lettres, chiffres et symboles à une vitesse qui dépasse largement les capacités humaines.
Avec les attaques par force brute propulsées par l’IA, les cybercriminels peuvent essayer des millions de mots de passe en une minute. On le devine facilement, ces outils propulsés par l’IA permettent aux cybercriminels d’exploiter les faiblesses au niveau de la complexité des mots de passe. C’est pourquoi il est urgent d’implémenter des pratiques visant à les renforcer.
Autre technique : celle dite des attaques par dictionnaire. Dans le cadre d’une attaque par dictionnaire, les pirates s’appuient sur une liste de mots courants, d’expressions et de variantes dans l’espoir de décoder un mot de passe composé d’un mot simple ou utilisé sur plusieurs sites web. Cette technique est particulièrement efficace sur les mots de passe uniquement composés de mots courants, comme « vacances » ou « jetaime ».
Là où une attaque par force brute s’emploie de façon systématique à essayer toutes les combinaisons de caractères possibles, une attaque par dictionnaire s’appuie sur une liste prédéfinie de mots courants pour tenter de décrypter les mots de passe plus efficacement.
Pour prendre de meilleures décisions en matière de cybersécurité, il faut comprendre ce qui différencie la sécurité propulsée par l’IA et l’authentification traditionnelle par mot de passe.
● Sécurité propulsée par l’IA : utilise la biométrie et l’analyse comportementale. Par exemple, les systèmes de reconnaissance faciale comme Face ID d’Apple analysent les caractéristiques uniques des visages (actuellement composées de milliers de points invisibles) pour accorder l’accès. La biométrie n’est pas inviolable, mais elle exige un certain niveau de sophistication de la part des pirates.
● Mots de passe traditionnels : utilisent exclusivement des combinaisons de caractères alphanumériques, ce qui les rend plus vulnérables aux attaques par force brute. Les mots de passe faibles comme « mot2passe », « a1z2e3r4 » ou « azertyuiop » sont faciles à décrypter, même pour les hackers novices.
● Sécurité propulsée par l’IA : détecte les anomalies en temps réel. Lorsque l’IA détecte une connexion inhabituelle depuis un nouveau lieu ou de la part d’un utilisateur qui ne s’est jamais connecté, elle signale la connexion pour investigation.
● Mots de passe traditionnels : dépendent des données historiques ou d’analyses manuelles. La détection des accès non autorisés en temps réel est difficile.
● Sécurité propulsée par l’IA : applique des politiques de mots de passe robustes et détecte les vulnérabilités liées aux mots de passe. L’IA peut identifier les mots de passe prévisibles comme « Mot2passe » et inviter les utilisateurs concernés à les modifier.
● Mots de passe traditionnels : il arrive que les utilisateurs choisissent des mots de passe faciles à deviner, ce qui expose les systèmes aux attaques par dictionnaire. Un système propulsé par l’IA peut rapidement identifier et décrypter un mot de passe comme « printemps2023 ».
● Sécurité propulsée par l’IA : même sophistiquée, l’IA n’est pas à l’abri des attaques. Par exemple, les modèles d’IA peuvent être incités à mal catégoriser les utilisateurs légitimes, ce qui peut entraîner des accès non autorisés.
● Mots de passe traditionnels : vulnérables aux attaques par force brute et par dictionnaire, dont l’IA démultiplie l’efficacité.
● Sécurité propulsée par l’IA : expérience utilisateur fluide, intégrant l’authentification multifacteur de façon transparente. Par exemple, les utilisateurs n’ont qu’à regarder leur téléphone un instant pour le déverrouiller grâce à la reconnaissance faciale.
● Mots de passe traditionnels : les utilisateurs doivent souvent répondre à des exigences strictes en matière de mots de passe, auxquelles s’ajoutent des demandes de réinitialisation fréquentes. Résultat : une expérience utilisateur peu satisfaisante.
PassGAN, un outil de décryptage de mot de passe propulsé par l’IA, est capable de casser 51 % des mots de passe courants en moins d’une minute.
Pour les acteurs malveillants, ces chiffres signifient qu’il est désormais possible de lancer des attaques à très grande échelle.
Les équipes IT, elles, y voient deux conséquences :
les mots de passe ne sont vraiment, vraiment pas sûrs (mais on le savait déjà), et
l’arrivée de l’IA laisse à croire que n’importe quel mot de passe faible sera un jour compromis (et plus tôt qu’on ne le croit).
Voici quelques étapes qui vous permettront d’anticiper sur ces difficultés :
● Mettez à jour et renforcez régulièrement vos politiques en matière de mots de passe afin de garantir qu’elles suivent l’évolution des menaces.
● Imposez des critères de complexité pour vos mots de passe ; encouragez le recours à l’authentification multifacteur (MFA) et sensibilisez vos utilisateurs aux bonnes pratiques en matière de mots de passe.
● Déployez des systèmes de détection des intrusions propulsés par l’IA de sorte à identifier rapidement les comportements de connexion inhabituels.
● Mettez en place des mécanismes d’alerte automatisés afin d’apporter une réponse immédiate aux activités suspectes.
● Sécurisez le stockage des mots de passe en ayant recours à des techniques de cryptographie complexes comme le hachage ou le salage.
● Organisez régulièrement des sessions de sensibilisation à la cybersécurité et soulignez les risques liés aux attaques propulsées par l’IA.
● Encouragez vos collaborateurs à utiliser un gestionnaire de mots de passe et activez l’authentification multifacteur (MFA) dès que possible.
● Utilisez l’IA lors de vos tests d’intrusion afin d’identifier les vulnérabilités tout en réduisant les interventions humaines, pour un processus plus efficace et moins laborieux.
● Les systèmes propulsés par l’IA peuvent analyser de grands volumes de données afin de détecter les vulnérabilités de façon fiable, ce qui contribue à réduire le nombre de faux positifs et faux négatifs dans les résultats de test.
● Enfin, développez des plans complets de réponse aux incidents spécifiquement adaptés aux attaques propulsées par l’IA. Les mesures de réponse aux incidents traditionnels peuvent servir de point de départ.
Le processus de connexion incarne donc le point d’accès à toutes vos ressources numériques et données sensibles. Traditionnellement, la sécurité des processus de connexion repose sur une authentification par mot de passe. Et même si nous savons depuis longtemps qu’il est vital de ne pas se contenter de la sécurité des mots de passe, l’IA ne fait que renforcer cette conviction. Dans un contexte où la MFA peine encore à se démocratiser, la façon dont l’IA exploite les vulnérabilités liées aux mots de passe expose plus que jamais les entreprises aux cybermenaces.
Aujourd’hui, il est particulièrement important de renforcer l’authentification des utilisateurs à l’aide de contrôles supplémentaires, comme l’authentification à deux facteurs (2FA).
La 2FA ajoute une étape supplémentaire à l’identification traditionnelle par nom d’utilisateur/mot de passe et impose aux utilisateurs de fournir un second facteur d’authentification. Ce second facteur prend la forme de quelque chose que l’on connaît, quelque chose que l’on est ou quelque chose que l’on fait.
Conclusion : face à l’IA, votre entreprise risque davantage d’être exposée à un vol de mot de passe. Si vous n’ajoutez pas une couche de sécurité supplémentaire à vos mots de passe, vous vous exposez à toutes les conséquences négatives d’une fuite de données :
Tout d’abord, une sécurité insuffisante de vos mots de passe peut avoir de graves conséquences financières. Les répercussions financières d’une fuite de données incluent les amendes, les frais juridiques et les coûts liés à la restauration de la confiance de la clientèle.
Souvenez-vous, Target Corp a accepté de verser 39 millions de dollars pour dédommager les banques victimes de la fuite de données de 2013. Et ce n’est là qu’un exemple parmi tant d’autres.
Pour bien des entreprises, une faille dans la sécurité des mots de passe met également en péril les processus propriétaires et les actifs de propriété intellectuelle. Une faille nuit non seulement à la compétitivité de l’entreprise, mais elle peut également avoir pour conséquence la récupération de technologies propriétaires par des concurrents ou des acteurs malveillants.
Par exemple, Equifax, l’une des plus grandes agences d’évaluation de crédit, a subi en 2017 une attaque qui a entraîné la divulgation des informations personnelles et financières d’environ 147 millions d’individus. Cette faille a non seulement entraîné la perte d’informations sensibles sur les clients, mais elle a également mis en péril l’ensemble des algorithmes propriétaires d’évaluation de crédit et les actifs de propriété intellectuelle de la société.
Bien entendu, les attaques ont également la capacité de perturber les opérations de l’entreprise et de provoquer des interruptions de service. Comme nous le savons tous, l’incapacité à accéder aux systèmes critiques à la suite d’une compromission de mots de passe affecte dramatiquement les opérations quotidiennes.
Il suffit par exemple de remonter à l’attaque par le ransomware WannaCry, en 2017. Cette attaque a mis le monde économique à l’arrêt, notamment certains services critiques du système de santé du Royaume-Uni (NHS), au sein desquels elle a chiffré les postes de travail et perturbé le fonctionnement des hôpitaux, entraînant l’annulation de multiples rendez-vous.
La mise en place de mécanismes d’authentification robustes représente le meilleur moyen d’éviter qu’un vol de mot de passe ne devienne une faille de sécurité à grande échelle. Dans cette optique, UserLock propose un système de MFA efficace et simple d’utilisation.
Par ailleurs, UserLock permet aux équipes IT de contrôler les politiques d’accès et les permissions utilisateurs de manière granulaire. En définissant qui peut accéder à quelles données et dans quelles conditions, le service IT peut personnaliser les politiques de contrôle d’accès afin de les aligner sur les besoins de sécurité spécifiques de l’entreprise.