BREAKING NEWS

En quoi l’IA affaiblit-elle l’authentification par mot de passe (et que faire pour y remédier) ?

Posted On 14 Déc 2023
By :
Comments: 2
Tag:

D’un côté, l’IA nous aide à renforcer les systèmes de protection des données sensibles. De l’autre, elle est utilisée par des acteurs malveillants en vue d’exploiter les faiblesses liées aux pratiques d’utilisation des mots de passe.

Dès lors, comment trouver le juste équilibre qui vous permettra d’exploiter l’IA pour renforcer votre sécurité tout en vous protégeant des écueils potentiels ? En comprenant les vulnérabilités que révèle l’IA dans les systèmes de sécurité par mot de passe, vous serez mieux à même de protéger l’accès aux données sensibles de votre entreprise.

Avantages de l’IA pour la sécurité des mots de passe

Commençons par voir en quoi les dernières avancées en matière d’IA sont bénéfiques à la sécurité des mots de passe. Voici quelques cas d’usage intéressants :

Évaluation de la force des mots de passe

Les algorithmes d’IA évaluent la force des mots de passe en temps réel et permettent d’identifier les mots de passe faibles ou faciles à deviner.

Avantage : les équipes IT peuvent appliquer des politiques de mots de passe plus robustes et réduire le risque d’accès non autorisé.

Authentification comportementale

L’IA analyse le comportement des utilisateurs, par exemple la dynamique de frappe au clavier ou les mouvements de la souris, pour une authentification continue.

Avantage : ajoute une couche de sécurité dynamique aux simples mots de passe statiques. Cette fonctionnalité contribue à détecter les anomalies et à rejeter les tentatives d’accès non autorisées.

Détection des anomalies

L’IA supervise l’activité de connexion et signale les comportements qui sortent de l’ordinaire, par exemple en cas de connexion depuis un lieu inhabituel ou à une heure anormale.

Avantage : détection précoce des failles potentielle permettant d’apporter une réponse rapide aux menaces de sécurité.

Authentification multifacteur (MFA)

L’IA renforce la MFA en adaptant de façon intelligente la méthode d’authentification au niveau de risque.

Avantage : des processus d’authentification rationalisés et robustes qui s’adaptent aux besoins de sécurité.

Automatisation de la récupération de mot de passe

Les chatbots propulsés par l’IA et les portails en libre-service simplifient les procédures de récupération et de réinitialisation des mots de passe.

Avantage : réduit la charge de travail de l’assistance IT tout en préservant les protocoles de sécurité.

Le côté sombre de l’IA dans les attaques ciblant les mots de passe

L’IA présente des avantages indéniables. Une question subsiste cependant : sommes-nous les seuls à profiter des exploits de l’IA en ce qui concerne la sécurité des mots de passe ? Malheureusement, la réponse est non. Comme toujours, les cybercriminels font preuve d’imagination et d’une grande capacité d’adaptation, et ils ont d’ores et déjà commencé à mettre la puissance de l’IA au travail pour élaborer des attaques dévastatrices ciblant les mots de passe.

Comment les hackers ont-ils donc recours à l’IA pour décrypter les mots de passe plus efficacement ?

Attaques par force brute

L’une des méthodes d’attaque les plus courantes est la force brute : un programme spécialisé teste une myriade de combinaisons de lettres, chiffres et symboles à une vitesse qui dépasse largement les capacités humaines.

Avec les attaques par force brute propulsées par l’IA, les cybercriminels peuvent essayer des millions de mots de passe en une minute. On le devine facilement, ces outils propulsés par l’IA permettent aux cybercriminels d’exploiter les faiblesses au niveau de la complexité des mots de passe. C’est pourquoi il est urgent d’implémenter des pratiques visant à les renforcer.

Attaques par dictionnaire

Autre technique : celle dite des attaques par dictionnaire. Dans le cadre d’une attaque par dictionnaire, les pirates s’appuient sur une liste de mots courants, d’expressions et de variantes dans l’espoir de décoder un mot de passe composé d’un mot simple ou utilisé sur plusieurs sites web. Cette technique est particulièrement efficace sur les mots de passe uniquement composés de mots courants, comme « vacances » ou « jetaime ».

Là où une attaque par force brute s’emploie de façon systématique à essayer toutes les combinaisons de caractères possibles, une attaque par dictionnaire s’appuie sur une liste prédéfinie de mots courants pour tenter de décrypter les mots de passe plus efficacement.

Anticiper sur les risques et les difficultés

PassGAN, un outil de décryptage de mot de passe propulsé par l’IA, est capable de casser 51 % des mots de passe courants en moins d’une minute (en anglais).

Pour les acteurs malveillants, ces chiffres signifient qu’il est désormais possible de lancer des attaques à très grande échelle.

Les équipes IT, elles, y voient deux conséquences :

les mots de passe ne sont vraiment, vraiment pas sûrs (mais on le savait déjà), et

l’arrivée de l’IA laisse à croire que n’importe quel mot de passe faible sera un jour compromis (et plus tôt qu’on ne le croit).

Voici quelques étapes qui vous permettront d’anticiper sur ces difficultés :

Étape 1 : ne cessez jamais d’optimiser vos politiques en matière de mots de passe

Mettez à jour et renforcez régulièrement vos politiques en matière de mots de passe afin de garantir qu’elles suivent l’évolution des menaces.

Imposez des critères de complexité pour vos mots de passe ; encouragez le recours à l’authentification multifacteur (MFA) et sensibilisez vos utilisateurs aux bonnes pratiques en matière de mots de passe.

Étape 2 : utilisez une solution de détection d’intrusion propulsée par l’IA

Déployez des systèmes de détection des intrusions propulsés par l’IA de sorte à identifier rapidement les comportements de connexion inhabituels.

Mettez en place des mécanismes d’alerte automatisés afin d’apporter une réponse immédiate aux activités suspectes.

Étape 3 : sécurisez les mots de passe grâce au hachage et au salage

Sécurisez le stockage des mots de passe en ayant recours à des techniques de cryptographie complexes comme le hachage ou le salage.

Étape 4 : formez et sensibilisez vos utilisateurs

Organisez régulièrement des sessions de sensibilisation à la cybersécurité et soulignez les risques liés aux attaques propulsées par l’IA.

Encouragez vos collaborateurs à utiliser un gestionnaire de mots de passe et activez l’authentification multifacteur (MFA) dès que possible.

Étape 5 : utilisez l’IA pour vos tests d’intrusion

Utilisez l’IA lors de vos tests d’intrusion afin d’identifier les vulnérabilités tout en réduisant les interventions humaines, pour un processus plus efficace et moins laborieux.

Les systèmes propulsés par l’IA peuvent analyser de grands volumes de données afin de détecter les vulnérabilités de façon fiable, ce qui contribue à réduire le nombre de faux positifs et faux négatifs dans les résultats de test.

Étape 6 : développez des plans complets de réponse aux incidents

Enfin, développez des plans complets de réponse aux incidents spécifiquement adaptés aux attaques propulsées par l’IA. Les mesures de réponse aux incidents traditionnels peuvent servir de point de départ.

L’IA souligne plus que jamais l’importance de sécuriser les processus de connexion

Le processus de connexion incarne donc le point d’accès à toutes vos ressources numériques et données sensibles. Traditionnellement, la sécurité des processus de connexion repose sur une authentification par mot de passe. Et même si nous savons depuis longtemps qu’il est vital de ne pas se contenter de la sécurité des mots de passe, l’IA ne fait que renforcer cette conviction. Dans un contexte où la MFA peine encore à se démocratiser, la façon dont l’IA exploite les vulnérabilités liées aux mots de passe expose plus que jamais les entreprises aux cybermenaces.

Aujourd’hui, il est particulièrement important de renforcer l’authentification des utilisateurs à l’aide de contrôles supplémentaires, comme l’authentification à deux facteurs (2FA).

Face à l’IA, votre entreprise risque davantage d’être exposée à un vol de mot de passe. Si vous n’ajoutez pas une couche de sécurité supplémentaire à vos mots de passe, vous vous exposez à toutes les conséquences négatives d’une fuite de données : ramifications financières, conséquences juridiques, perte de propriété intellectuelle, et perturbation des opérations.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

0

Le coffre-fort de votre hôtel est-il de confiance ?

Posted On 17 Juil 2014
, By
  1. Cybersonic 14/12/2023 at 22:51 Reply

    Si les concepteurs de sites et apply utilisaient un minimum de bon sens avec des fail2ban , des authentification sur 2 niveaux et l’obligation d’utiliser des passwd avec caractères alphanumériques et symboles, ça compliquerai aussi la tâche des hackers.
    Pour la petite histoire, en Belgique pdt plusieurs années, les services de police et bourgmestre (le maire) utilisaient quasiment tous des boites mail du FAI Voo brutele, et chacun recevait par défaut le même pass à l’identique et aucun n’a jamais penser qu’il suffisait de rentrer leurs boites dans Outlook où autres avec le pass identique et vous aviez accès à l’ensemble de leurs conversations y compris professionnel avec des infos hyper sensible ! J’avais écrit et ils ont mis près de 2 ans pour faire changé
    Bref, aussi longtemps que les utilisateurs ne verront pas les réels problèmes sur le laxisme en choix de pass, les hacker auront le champ libre

  2. Ranx 23/12/2023 at 22:09 Reply

    Oui, d’où l’intérêt de bloquer l’accès à une demande de password après X tentatives infructueuses. Et ce pendant un temps donné (1 mn, 10 mn, 1h) qui s’incrémente si le fouineur s’obstine.
    Mais sans bloquer l’utilisateur légitime si celui-ci essaie de se connecter pendant cette période d’exclusion. Logique, il n’a rien demandé, lui.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

NinjaOne
IS Decisions Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique Transmettre vos fichiers sécurisés à ZATAZ

Publicité

Flux Data Security

Partenaires de ZATAZ

Oteria Cyber School CyberSecuExpo 2024 Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

avril 2024
L M M J V S D
1234567
891011121314
15161718192021
22232425262728
2930  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

209 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

147 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon