En quoi l’IA affaiblit-elle l’authentification par mot de passe (et que faire pour y remédier) ?
D’un côté, l’IA nous aide à renforcer les systèmes de protection des données sensibles. De l’autre, elle est utilisée par des acteurs malveillants en vue d’exploiter les faiblesses liées aux pratiques d’utilisation des mots de passe.
Dès lors, comment trouver le juste équilibre qui vous permettra d’exploiter l’IA pour renforcer votre sécurité tout en vous protégeant des écueils potentiels ? En comprenant les vulnérabilités que révèle l’IA dans les systèmes de sécurité par mot de passe, vous serez mieux à même de protéger l’accès aux données sensibles de votre entreprise.
Avantages de l’IA pour la sécurité des mots de passe
Commençons par voir en quoi les dernières avancées en matière d’IA sont bénéfiques à la sécurité des mots de passe. Voici quelques cas d’usage intéressants :
Évaluation de la force des mots de passe
Les algorithmes d’IA évaluent la force des mots de passe en temps réel et permettent d’identifier les mots de passe faibles ou faciles à deviner.
Avantage : les équipes IT peuvent appliquer des politiques de mots de passe plus robustes et réduire le risque d’accès non autorisé.
Authentification comportementale
L’IA analyse le comportement des utilisateurs, par exemple la dynamique de frappe au clavier ou les mouvements de la souris, pour une authentification continue.
Avantage : ajoute une couche de sécurité dynamique aux simples mots de passe statiques. Cette fonctionnalité contribue à détecter les anomalies et à rejeter les tentatives d’accès non autorisées.
Détection des anomalies
L’IA supervise l’activité de connexion et signale les comportements qui sortent de l’ordinaire, par exemple en cas de connexion depuis un lieu inhabituel ou à une heure anormale.
Avantage : détection précoce des failles potentielle permettant d’apporter une réponse rapide aux menaces de sécurité.
Authentification multifacteur (MFA)
L’IA renforce la MFA en adaptant de façon intelligente la méthode d’authentification au niveau de risque.
Avantage : des processus d’authentification rationalisés et robustes qui s’adaptent aux besoins de sécurité.
Automatisation de la récupération de mot de passe
Les chatbots propulsés par l’IA et les portails en libre-service simplifient les procédures de récupération et de réinitialisation des mots de passe.
Avantage : réduit la charge de travail de l’assistance IT tout en préservant les protocoles de sécurité.
Le côté sombre de l’IA dans les attaques ciblant les mots de passe
L’IA présente des avantages indéniables. Une question subsiste cependant : sommes-nous les seuls à profiter des exploits de l’IA en ce qui concerne la sécurité des mots de passe ? Malheureusement, la réponse est non. Comme toujours, les cybercriminels font preuve d’imagination et d’une grande capacité d’adaptation, et ils ont d’ores et déjà commencé à mettre la puissance de l’IA au travail pour élaborer des attaques dévastatrices ciblant les mots de passe.
Comment les hackers ont-ils donc recours à l’IA pour décrypter les mots de passe plus efficacement ?
Attaques par force brute
L’une des méthodes d’attaque les plus courantes est la force brute : un programme spécialisé teste une myriade de combinaisons de lettres, chiffres et symboles à une vitesse qui dépasse largement les capacités humaines.
Avec les attaques par force brute propulsées par l’IA, les cybercriminels peuvent essayer des millions de mots de passe en une minute. On le devine facilement, ces outils propulsés par l’IA permettent aux cybercriminels d’exploiter les faiblesses au niveau de la complexité des mots de passe. C’est pourquoi il est urgent d’implémenter des pratiques visant à les renforcer.
Attaques par dictionnaire
Autre technique : celle dite des attaques par dictionnaire. Dans le cadre d’une attaque par dictionnaire, les pirates s’appuient sur une liste de mots courants, d’expressions et de variantes dans l’espoir de décoder un mot de passe composé d’un mot simple ou utilisé sur plusieurs sites web. Cette technique est particulièrement efficace sur les mots de passe uniquement composés de mots courants, comme « vacances » ou « jetaime ».
Là où une attaque par force brute s’emploie de façon systématique à essayer toutes les combinaisons de caractères possibles, une attaque par dictionnaire s’appuie sur une liste prédéfinie de mots courants pour tenter de décrypter les mots de passe plus efficacement.
Anticiper sur les risques et les difficultés
PassGAN, un outil de décryptage de mot de passe propulsé par l’IA, est capable de casser 51 % des mots de passe courants en moins d’une minute (en anglais).
Pour les acteurs malveillants, ces chiffres signifient qu’il est désormais possible de lancer des attaques à très grande échelle.
Les équipes IT, elles, y voient deux conséquences :
les mots de passe ne sont vraiment, vraiment pas sûrs (mais on le savait déjà), et
l’arrivée de l’IA laisse à croire que n’importe quel mot de passe faible sera un jour compromis (et plus tôt qu’on ne le croit).
Voici quelques étapes qui vous permettront d’anticiper sur ces difficultés :
Étape 1 : ne cessez jamais d’optimiser vos politiques en matière de mots de passe
Mettez à jour et renforcez régulièrement vos politiques en matière de mots de passe afin de garantir qu’elles suivent l’évolution des menaces.
Imposez des critères de complexité pour vos mots de passe ; encouragez le recours à l’authentification multifacteur (MFA) et sensibilisez vos utilisateurs aux bonnes pratiques en matière de mots de passe.
Étape 2 : utilisez une solution de détection d’intrusion propulsée par l’IA
Déployez des systèmes de détection des intrusions propulsés par l’IA de sorte à identifier rapidement les comportements de connexion inhabituels.
Mettez en place des mécanismes d’alerte automatisés afin d’apporter une réponse immédiate aux activités suspectes.
Étape 3 : sécurisez les mots de passe grâce au hachage et au salage
Sécurisez le stockage des mots de passe en ayant recours à des techniques de cryptographie complexes comme le hachage ou le salage.
Étape 4 : formez et sensibilisez vos utilisateurs
Organisez régulièrement des sessions de sensibilisation à la cybersécurité et soulignez les risques liés aux attaques propulsées par l’IA.
Encouragez vos collaborateurs à utiliser un gestionnaire de mots de passe et activez l’authentification multifacteur (MFA) dès que possible.
Étape 5 : utilisez l’IA pour vos tests d’intrusion
Utilisez l’IA lors de vos tests d’intrusion afin d’identifier les vulnérabilités tout en réduisant les interventions humaines, pour un processus plus efficace et moins laborieux.
Les systèmes propulsés par l’IA peuvent analyser de grands volumes de données afin de détecter les vulnérabilités de façon fiable, ce qui contribue à réduire le nombre de faux positifs et faux négatifs dans les résultats de test.
Étape 6 : développez des plans complets de réponse aux incidents
Enfin, développez des plans complets de réponse aux incidents spécifiquement adaptés aux attaques propulsées par l’IA. Les mesures de réponse aux incidents traditionnels peuvent servir de point de départ.
L’IA souligne plus que jamais l’importance de sécuriser les processus de connexion
Le processus de connexion incarne donc le point d’accès à toutes vos ressources numériques et données sensibles. Traditionnellement, la sécurité des processus de connexion repose sur une authentification par mot de passe. Et même si nous savons depuis longtemps qu’il est vital de ne pas se contenter de la sécurité des mots de passe, l’IA ne fait que renforcer cette conviction. Dans un contexte où la MFA peine encore à se démocratiser, la façon dont l’IA exploite les vulnérabilités liées aux mots de passe expose plus que jamais les entreprises aux cybermenaces.
Aujourd’hui, il est particulièrement important de renforcer l’authentification des utilisateurs à l’aide de contrôles supplémentaires, comme l’authentification à deux facteurs (2FA).
Face à l’IA, votre entreprise risque davantage d’être exposée à un vol de mot de passe. Si vous n’ajoutez pas une couche de sécurité supplémentaire à vos mots de passe, vous vous exposez à toutes les conséquences négatives d’une fuite de données : ramifications financières, conséquences juridiques, perte de propriété intellectuelle, et perturbation des opérations.
Si les concepteurs de sites et apply utilisaient un minimum de bon sens avec des fail2ban , des authentification sur 2 niveaux et l’obligation d’utiliser des passwd avec caractères alphanumériques et symboles, ça compliquerai aussi la tâche des hackers.
Pour la petite histoire, en Belgique pdt plusieurs années, les services de police et bourgmestre (le maire) utilisaient quasiment tous des boites mail du FAI Voo brutele, et chacun recevait par défaut le même pass à l’identique et aucun n’a jamais penser qu’il suffisait de rentrer leurs boites dans Outlook où autres avec le pass identique et vous aviez accès à l’ensemble de leurs conversations y compris professionnel avec des infos hyper sensible ! J’avais écrit et ils ont mis près de 2 ans pour faire changé
Bref, aussi longtemps que les utilisateurs ne verront pas les réels problèmes sur le laxisme en choix de pass, les hacker auront le champ libre
Oui, d’où l’intérêt de bloquer l’accès à une demande de password après X tentatives infructueuses. Et ce pendant un temps donné (1 mn, 10 mn, 1h) qui s’incrémente si le fouineur s’obstine.
Mais sans bloquer l’utilisateur légitime si celui-ci essaie de se connecter pendant cette période d’exclusion. Logique, il n’a rien demandé, lui.