Les tendances technologiques de 2015 qui devraient favoriser une (r)évolution de la sécurité

Généralisation du chiffrement des communications, gestion d'espace de confiance au niveau du processeur, authentification par cryptogrammes visuels... Le point sur les tendances de 2015 qui pourraient favoriser une révolution de la sécurité.

       1.La généralisation de l’encryptage pour les communications, y compris pour HTTP et les messageries instantanées  

Google et Apple ont été les premiers à annoncer qu’ils introduiraient l’encryptage des données utilisateurs par défaut et Yahoo a même promis l’encryptage partout (« encryption everywhere »). Six grands navigateurs proposent déjà l’encryptage automatique. Depuis, d’autres entreprises le proposent également par défaut ou comme option facile à utiliser.

Bien que les fonctions d’encryptages existent depuis longtemps, elles n’ont jamais connu un grand succès auprès des utilisateurs. Plusieurs raisons expliquent cela. Tout d’abord, peu d’utilisateurs ont connaissance de cette fonction ; et s’ils en ont connaissance, ils ne savent pas forcément comment s’en servir. Quelle que soit la raison, cela rend cette fonction difficilement utilisable. Mais aujourd’hui, il semble que l’encryptage soit à la portée de chacun, pour sa propre protection. En 2013, Roger Grimes d’Infoworld a expliqué que le fait que la NSA (L’Agence de Sécurité Américaine) nous espionne est en réalité bénéfique pour nous tous. Dans son article, il anticipe que cette transgression va inciter chacun d’entre nous à mieux protéger ses communications personnelles. 

Et les faits semblent lui donner raison. Les grandes entreprises informent de plus en plus sur l’importance de sécuriser l’envoi des données, même s’il ne s’agit « que » d’informations mineures individuelles. Les grandes entreprises clament haut et fort qu’elles offrent l’encryptage à tous leurs utilisateurs, et cela devrait être le cas pour tous dès 2015. Le vol, le piratage et l’usage frauduleux de données sera plus compliqué une fois l’encryptage généralisé, ce qui favorisera un internet plus sûr. 

Bien qu’il existe une distinction entre les « bons » hackers (qui sont supposés faire le bien pour les utilisateurs. Par exemple : le gouvernement qui protège les citoyens contre d’éventuelles attaques terroristes) et les « mauvais » hackers (qui tentent par exemple de voler les comptes bancaires de particuliers), elle n’a plus d’importance lorsqu’il s’agit d’agir pour un internet plus sûr. Soit internet est sûr vis-à-vis de tous les hackers, soit il ne l’est vis-à-vis d’aucun.

 

2.L’adoption de technologies d’authentification simple à utiliser, comme avec les appareils compatibles FIDO et l’authentification par cryptogrammes visuels

Les paiements mobiles et online, les données personnelles stockées dans le cloud, l’accès au réseau de l’entreprise n’importe quand et depuis n’importe quel terminal, … tous ces progrès apportent de nombreux avantages, mais également des inconvénients. Au moins un : la sécurité. S’assurer que les utilisateurs sont bien ceux qu’ils disent être réclame un processus d’authentification à la hauteur. Un simple mot de passe statique est sans doute le moyen le plus simple et le plus répandu, encore aujourd’hui, pour un grand nombre de sites et services online. Mais il ne s’agit sûrement pas du plus sécurisé pour accéder à ses données personnelles ou professionnelles.  

Si un fournisseur souhaite proposer une méthode d’authentification qui marche, la solution doit être aussi simple que possible à utiliser. Twitter, Facebook et d’autres grands acteurs proposent l’authentification forte depuis plus d’un an. Mais puisque le processus d’authentification est compliqué, il n’a jamais rencontré le succès attendu.

 

L’authentification forte est nécessaire pour combattre les brèches de sécurité et leurs conséquences. Il faut donc qu’elle soit obligatoire (ce qui pourrait entraîner la perte d’utilisateurs) ou facile d’utilisation – ou les deux – avant que les utilisateurs commencent à s’en servir réellement. 2015 devrait être l’année où des associations telles que l’Alliance FIDO vont permettre aux fournisseurs de services en ligne (les plus grands comme les plus petits) de mettre en place une authentification forte facile d’utilisation. Les spécifications définies par ces alliances devraient faciliter la généralisation d’un processus d’authentification pratique et sûr pour les applis online et mobiles. 

Les solutions les plus simples d’utilisation existent déjà. Les experts de l’authentification ont développé nombre de solutions sécurisées et facile à utiliser. Les applis mobiles et les applications pour scanner des documents utilisent des mots de passe à usage unique, envoyés via Bluetooth, ne sont qu’un exemple.

3. L’adoption de technologies pour protéger les applis mobiles des virus  

Les concepteurs d’applications sont géniaux dans ce qu’ils font. Le but étant de développer le jeu le plus amusant et excitant du  moment, de permettre de créer les photos les plus sympas, de s’assurer que l’utilisateur trouve le restaurant qu’il cherche, ou de permettre de réaliser une transaction bancaire rapidement et facilement. Les développeurs d’applis comptent probablement parmi les plus créatifs dans le monde de la high-tech.

Mais comme les appareils mobiles sont les appareils les moins sécurisés dans l’univers technologique, il est nécessaire que ces applis soient plus sécurisées afin de protéger tout ce qui peut transiter par elles. Le vol de votre score à un jeu mobile ne sera pas une grande perte. En revanche, si un appareil mobile est utilisé pour des transactions bancaires, l’appareil et l’appli ont intérêt à être bien protégés. 

La sécurité des applis a toujours été un sujet traité avec une certaine insouciance. Mais, en raison du nombre toujours plus important d’actions sensibles effectuées via les applis, nous devrions voir en 2015 une augmentation des services tiers de sécurité pour protéger les applis mobiles des malwares.

4. Favoriser l’utilisation de TEE (Trusted Execution Environments) sur les appareils mobiles pour combattre la fraude

Amorcée par Nokia et Trusted Logic, mais très vite imitée par d’autres constructeurs d’appareils intelligents, la partie « sécurité » du processeur principal d’un smartphone – appelée Trusted Execution Environment – devrait être proposée de manière standard par tous les fabricants d’appareils dès 2015. Les tendances telles que le BYOD et le BYOx, les attaques cybercriminelles toujours plus sophistiquées et retentissantes, et le développement des applications mobiles pour les utilisations personnelles et professionnelles accentuent le besoin pour des environnements sécurisés sur les appareils mobiles servant à accéder à des infrastructures et données sensibles.  

Cet environnement isolé, intégré à un autre environnement comme un OS classique dans un smartphone, garantit que l’accès aux données via cet environnement protégé est sécurisé, et que ces données restent confidentielles. Accéder à cette zone requiert un processus d’authentification sécurisé pour généraliser la protection et la sécurité.