Timothée Brogniart (Sectigo) "Avec la généralisation du passwordless, les cybercriminels de second rang pourraient disparaitre"

Quoi de mieux pour protéger ses mots de passe que de faire sans ? Explications avec Timothée Brogniart, general manager EMEA chez Sectigo, qui se lance dans le passwordless et le certificate based authentification

JDN. Comment fonctionne la technologie du passwordless ?

Timothée Brogniart. Chez Sectigo, on préfère parler de certificate based authentification. Cette technique repose sur le fait que l'employé va devoir prouver, via un certificat qui lui est propre, que c'est bien lui qui tente d'accéder à son compte entreprise. Ce certificat peut être le visage de l'employé ou alors ses empreintes digitales. Par exemple, l'employé arrive au travail et au lieu de taper un mot de passe sur son poste, il va montrer son visage ou ses doigts. Le PC va alors se déverrouiller. Sachant que la technologie est dans l'ordinateur, l'employé peut très bien télétravailler sans que cela ne bloque le fonctionnement du passwordless.

Timothée Brogniart, general manager EMEA chez Sectigo. © Sectigo

Que signifie l'arrivée de cette technologie pour les cybercriminels ?

Pour contourner le système, les hackers devraient cibler le contrôleur de domaine ou la PKi (qui délivre les certificats), ce qui n'est pas à la portée du premier hacker venu. L'autre solution serait que l'attaquant imite un certificat en pénétrant chez le provider de certificat. Pour contrer ce possible problème, nous conseillons à nos clients de rooter leur certificat. Par exemple, un hacker récupère un certificat et veut l'utiliser contre le JDN, il ne pourra pas car son certificat à peine créé n'aura pas été rooté. Le risque zéro n'existe pas bien sûr, mais avec la généralisation du passwordless les cybercriminels de second rang pourraient disparaitre.

Pour le moment, quel secteur de l'économie utilise cette technologie ?

Actuellement, c'est surtout le secteur financier et les payment provider qui sont clients de cette technologie. On a un peu d'assureurs et un grand nombre de cabinets juridiques. 

Selon vous, dans combien de temps cette technologie sera-t-elle accessible à tous ?

Pour les grands comptes, ce sera sûrement dans deux ans, pour le reste des grandes organisations plutôt dans quatre ou cinq ans.