En quoi l’IA affaiblit-elle l’authentification par mot de passe (et que faire pour y remédier) ?

D’un côté, l’IA nous aide à renforcer les systèmes de protection des données sensibles. De l’autre, elle est utilisée par des acteurs malveillants en vue d’exploiter les faiblesses liées aux pratiques d’utilisation des mots de passe.

Dès lors, comment trouver le juste équilibre qui vous permettra d’exploiter l’IA pour renforcer votre sécurité tout en vous protégeant des écueils potentiels ? En comprenant les vulnérabilités que révèle l’IA dans les systèmes de sécurité par mot de passe, vous serez mieux à même de protéger l’accès aux données sensibles de votre entreprise.

Avantages de l’IA pour la sécurité des mots de passe

Commençons par voir en quoi les dernières avancées en matière d’IA sont bénéfiques à la sécurité des mots de passe. Voici quelques cas d’usage intéressants :

Évaluation de la force des mots de passe

Les algorithmes d’IA évaluent la force des mots de passe en temps réel et permettent d’identifier les mots de passe faibles ou faciles à deviner.

Avantage : les équipes IT peuvent appliquer des politiques de mots de passe plus robustes et réduire le risque d’accès non autorisé.

Authentification comportementale

L’IA analyse le comportement des utilisateurs, par exemple la dynamique de frappe au clavier ou les mouvements de la souris, pour une authentification continue.

Avantage : ajoute une couche de sécurité dynamique aux simples mots de passe statiques. Cette fonctionnalité contribue à détecter les anomalies et à rejeter les tentatives d’accès non autorisées.

Détection des anomalies

L’IA supervise l’activité de connexion et signale les comportements qui sortent de l’ordinaire, par exemple en cas de connexion depuis un lieu inhabituel ou à une heure anormale.

Avantage : détection précoce des failles potentielle permettant d’apporter une réponse rapide aux menaces de sécurité.

Authentification multifacteur (MFA)

L’IA renforce la MFA en adaptant de façon intelligente la méthode d’authentification au niveau de risque.

Avantage : des processus d’authentification rationalisés et robustes qui s’adaptent aux besoins de sécurité.

Automatisation de la récupération de mot de passe

Les chatbots propulsés par l’IA et les portails en libre-service simplifient les procédures de récupération et de réinitialisation des mots de passe.

Avantage : réduit la charge de travail de l’assistance IT tout en préservant les protocoles de sécurité.

Le côté sombre de l’IA dans les attaques ciblant les mots de passe

L’IA présente des avantages indéniables. Une question subsiste cependant : sommes-nous les seuls à profiter des exploits de l’IA en ce qui concerne la sécurité des mots de passe ? Malheureusement, la réponse est non. Comme toujours, les cybercriminels font preuve d’imagination et d’une grande capacité d’adaptation, et ils ont d’ores et déjà commencé à mettre la puissance de l’IA au travail pour élaborer des attaques dévastatrices ciblant les mots de passe.

Comment les hackers ont-ils donc recours à l’IA pour décrypter les mots de passe plus efficacement ?

Attaques par force brute

L’une des méthodes d’attaque les plus courantes est la force brute : un programme spécialisé teste une myriade de combinaisons de lettres, chiffres et symboles à une vitesse qui dépasse largement les capacités humaines.

Avec les attaques par force brute propulsées par l’IA, les cybercriminels peuvent essayer des millions de mots de passe en une minute. On le devine facilement, ces outils propulsés par l’IA permettent aux cybercriminels d’exploiter les faiblesses au niveau de la complexité des mots de passe. C’est pourquoi il est urgent d’implémenter des pratiques visant à les renforcer.

Attaques par dictionnaire

Autre technique : celle dite des attaques par dictionnaire. Dans le cadre d’une attaque par dictionnaire, les pirates s’appuient sur une liste de mots courants, d’expressions et de variantes dans l’espoir de décoder un mot de passe composé d’un mot simple ou utilisé sur plusieurs sites web. Cette technique est particulièrement efficace sur les mots de passe uniquement composés de mots courants, comme « vacances » ou « jetaime ».

Là où une attaque par force brute s’emploie de façon systématique à essayer toutes les combinaisons de caractères possibles, une attaque par dictionnaire s’appuie sur une liste prédéfinie de mots courants pour tenter de décrypter les mots de passe plus efficacement.

Anticiper sur les risques et les difficultés

PassGAN, un outil de décryptage de mot de passe propulsé par l’IA, est capable de casser 51 % des mots de passe courants en moins d’une minute (en anglais).

Pour les acteurs malveillants, ces chiffres signifient qu’il est désormais possible de lancer des attaques à très grande échelle.

Les équipes IT, elles, y voient deux conséquences :

les mots de passe ne sont vraiment, vraiment pas sûrs (mais on le savait déjà), et

l’arrivée de l’IA laisse à croire que n’importe quel mot de passe faible sera un jour compromis (et plus tôt qu’on ne le croit).

Voici quelques étapes qui vous permettront d’anticiper sur ces difficultés :

Étape 1 : ne cessez jamais d’optimiser vos politiques en matière de mots de passe

Mettez à jour et renforcez régulièrement vos politiques en matière de mots de passe afin de garantir qu’elles suivent l’évolution des menaces.

Imposez des critères de complexité pour vos mots de passe ; encouragez le recours à l’authentification multifacteur (MFA) et sensibilisez vos utilisateurs aux bonnes pratiques en matière de mots de passe.

Étape 2 : utilisez une solution de détection d’intrusion propulsée par l’IA

Déployez des systèmes de détection des intrusions propulsés par l’IA de sorte à identifier rapidement les comportements de connexion inhabituels.

Mettez en place des mécanismes d’alerte automatisés afin d’apporter une réponse immédiate aux activités suspectes.

Étape 3 : sécurisez les mots de passe grâce au hachage et au salage

Sécurisez le stockage des mots de passe en ayant recours à des techniques de cryptographie complexes comme le hachage ou le salage.

Étape 4 : formez et sensibilisez vos utilisateurs

Organisez régulièrement des sessions de sensibilisation à la cybersécurité et soulignez les risques liés aux attaques propulsées par l’IA.

Encouragez vos collaborateurs à utiliser un gestionnaire de mots de passe et activez l’authentification multifacteur (MFA) dès que possible.

Étape 5 : utilisez l’IA pour vos tests d’intrusion

Utilisez l’IA lors de vos tests d’intrusion afin d’identifier les vulnérabilités tout en réduisant les interventions humaines, pour un processus plus efficace et moins laborieux.

Les systèmes propulsés par l’IA peuvent analyser de grands volumes de données afin de détecter les vulnérabilités de façon fiable, ce qui contribue à réduire le nombre de faux positifs et faux négatifs dans les résultats de test.

Étape 6 : développez des plans complets de réponse aux incidents

Enfin, développez des plans complets de réponse aux incidents spécifiquement adaptés aux attaques propulsées par l’IA. Les mesures de réponse aux incidents traditionnels peuvent servir de point de départ.

L’IA souligne plus que jamais l’importance de sécuriser les processus de connexion

Le processus de connexion incarne donc le point d’accès à toutes vos ressources numériques et données sensibles. Traditionnellement, la sécurité des processus de connexion repose sur une authentification par mot de passe. Et même si nous savons depuis longtemps qu’il est vital de ne pas se contenter de la sécurité des mots de passe, l’IA ne fait que renforcer cette conviction. Dans un contexte où la MFA peine encore à se démocratiser, la façon dont l’IA exploite les vulnérabilités liées aux mots de passe expose plus que jamais les entreprises aux cybermenaces.

Aujourd’hui, il est particulièrement important de renforcer l’authentification des utilisateurs à l’aide de contrôles supplémentaires, comme l’authentification à deux facteurs (2FA).

Face à l’IA, votre entreprise risque davantage d’être exposée à un vol de mot de passe. Si vous n’ajoutez pas une couche de sécurité supplémentaire à vos mots de passe, vous vous exposez à toutes les conséquences négatives d’une fuite de données : ramifications financières, conséquences juridiques, perte de propriété intellectuelle, et perturbation des opérations.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Cybersonic Reply

    Si les concepteurs de sites et apply utilisaient un minimum de bon sens avec des fail2ban , des authentification sur 2 niveaux et l’obligation d’utiliser des passwd avec caractères alphanumériques et symboles, ça compliquerai aussi la tâche des hackers.
    Pour la petite histoire, en Belgique pdt plusieurs années, les services de police et bourgmestre (le maire) utilisaient quasiment tous des boites mail du FAI Voo brutele, et chacun recevait par défaut le même pass à l’identique et aucun n’a jamais penser qu’il suffisait de rentrer leurs boites dans Outlook où autres avec le pass identique et vous aviez accès à l’ensemble de leurs conversations y compris professionnel avec des infos hyper sensible ! J’avais écrit et ils ont mis près de 2 ans pour faire changé
    Bref, aussi longtemps que les utilisateurs ne verront pas les réels problèmes sur le laxisme en choix de pass, les hacker auront le champ libre

  2. Ranx Reply

    Oui, d’où l’intérêt de bloquer l’accès à une demande de password après X tentatives infructueuses. Et ce pendant un temps donné (1 mn, 10 mn, 1h) qui s’incrémente si le fouineur s’obstine.
    Mais sans bloquer l’utilisateur légitime si celui-ci essaie de se connecter pendant cette période d’exclusion. Logique, il n’a rien demandé, lui.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.