Le 28 janvier 2023, c’est la Journée européenne de la protection des données. A l’initiative du Conseil de l’Europe, cet événement a pour objectif de sensibiliser le grand public à l’importance de la protection des données à caractère personnel. L’occasion pour NEOWAVE de revenir sur quelques points importants.
Une donnée personnelle, c’est quoi ?
La journée européenne de la protection des données se tient chaque année le 28 janvier depuis 2007. Désormais célébrée à l’échelle mondiale (appelée en anglais “Privacy Day” hors d’Europe), elle cherche à sensibiliser particuliers et professionnels sur l’importance de la protection des données à caractère personnel et à la vie privée.
Mais au fait, c’est quoi une donnée personnelle ? Une donnée personnelle est toute information se rapportant à une personne physique susceptible d’être identifiée directement (nom et prénom) ou indirectement (numéro de téléphone, adresse mail, empreinte digitale, numéro de sécurité sociale, données de connexion informatique, informations bancaires…). De nombreuses informations personnelles sont délivrées délibérément par l’internaute (moteur de recherche, réseaux sociaux, achats en ligne…) et sont exploitées pour alimenter des bases de données.
Une intensification des usages numériques
La crise sanitaire a intensifié le recours aux usages numériques, une tendance qui s’est par ailleurs accentuée pour les entreprises. Les niveaux d’usage numériques en France sont très élevés depuis plusieurs années et ont enregistré une progression en 2021 d’après le baromètre 2022 de l’ACSEL (Association de l’économie numérique) : e-banking, e-administration, e-commerce, e-santé, réseaux sociaux, écoute de la radio en ligne, messageries instantanées, visioconférences, services de vidéo à la demande (VàDA), services faisant appel à l’intelligence artificielle…
De nouveaux usages tels que la cryptomonnaie et le métavers ont fait leur apparition dans le paysage numérique. Données d’identification, historique d’usage, données biométriques, « eye-tracking » sont autant de données personnelles partagées et collectées avec la réalité virtuelle et sur les plateformes métaverses. Elles rendent donc les individus identifiés ou identifiables et les exposent à des risques de cyber malveillances si les usages numériques sont faiblement sécurisés. Les violations de données personnelles notifiées à la CNIL (Commission nationale de l’informatique et des libertés) ont enregistré une forte hausse (+75%) entre 2020 et 2021, la cybercriminalité étant à l’origine de la majorité des fuites de données.
2023, la vigilance doit rester de mise
2023 reste donc une année où les opportunités d’actions malveillantes restent nombreuses. Les acteurs malveillants utilisent des techniques d’attaques de plus en plus sophistiquées et convaincantes : phishing ou hameçonnage, spear phishing, malwares, « Man In the Middle », smishing, phishing « Browser in The Browser » (BITB), deepfake (ou hypertrucage en français) qui consiste à manipuler une photo ou une vidéo grâce à l’intelligence artificielle. Les cybercriminels ne manquent pas d’imagination et ne cessent d’adapter leurs techniques et leurs procédures pour être moins détectables.
Parmi les attaques en ligne les plus répandues figure le phishing. Il représente le principal vecteur de cybermalveillance en France en 2021, tous publics confondus, avec une hausse de +143% par rapport à 2020, selon cybermalveillance.gouv.fr. Il consiste à obtenir des données personnelles (identifiants de connexion…) et/ou bancaires en se faisant passer pour un tiers de confiance afin de lui dérober de l’argent. Qu’il soit par email, site web, SMS ou encore par le biais des réseaux sociaux, le phishing consiste à tromper des victimes avec de faux messages ou de fausses campagnes.
La journée de la protection des données est l’occasion de rappeler quelques bonnes pratiques pour éviter que les données personnelles ne tombent entre de mauvaises mains.
Des solutions efficaces existent
NEOWAVE profite de cet événement pour rappeler les règles de base en matière de sécurité. L’identité numérique étant la cible favorite des cybercriminels, sa vérification constitue une étape indispensable pour une protection maximale. Il est donc recommandé d’adopter des mots de passe robustes (longueur, complexité, renouvellement des mots de passe et mesures supplémentaires telles que la restriction des accès, la mise à disposition d’un coffre-fort de mots de passe…).
Néanmoins, ces mesures ne garantissent pas une sécurité optimale contre les attaques d’ingénierie sociale comme l’hameçonnage. Il est donc indispensable d’ajouter un cran de sécurité et renforcer le processus de vérification d’identité en activant une méthode d’authentification multifacteur ou MFA (Multifactor Authentication). L’utilisateur doit prouver son identité pour accéder à ses ressources, et ce grâce à des caractéristiques qui lui sont spécifiques, appelées «facteurs d’authentification». Les trois facteurs d’authentification les plus utilisés reposent sur les critères suivants : une chose que vous connaissez (un mot de passe ou code secret), une chose que vous possédez (un téléphone mobile, une clé de sécurité USB, une carte à puce, un dispositif générant des codes à usage unique ou OTP…) et une chose que vous êtes (voix ou reconnaissance faciale, empreintes digitales, comportement…). L’utilisateur doit confirmer son identité par le biais d’un code reçu par téléphone par exemple et d’un autre facteur. Même si le code est compromis, l’attaquant doit encore récupérer l’autre facteur afin d’usurper l’identité de l’utilisateur.
Cette méthode n’est toutefois pas efficace à 100 % contre les menaces telles que le phishing et autres attaques avancées. Les nouvelles techniques de vols d’identifiants de connexion et les nouveaux malwares permettent de contourner la MFA, en particulier les OTP (One-Time Password) et SMS. Pour une méthode d’authentification plus robuste, il est recommandé de privilégier l’utilisation de moyens d’authentification forts reposant sur des mécanismes de cryptographie.
Les équipements physiques (facteurs de possession) tels que les cartes à puce, cartes SIM ou clés de sécurité fonctionnent sur le principe de clés cryptographiques. Dans son guide de « Recommandations relatives à l’authentification multifacteur et aux mots de passe », L’ANSSI a référencé trois mécanismes d’authentification forte :
- L’authentification par certificats (stockés dans des cartes à puce par exemple)
- Les protocoles FIDO2 et FIDO U2F
- Certains protocoles OTP (HOTP, TOTP, OCRA).
Pour une protection maximale, l’utilisation d’un matériel physique équipé d’un composant de sécurité qualifié ou certifié par l’ANSSI et s’appuyant sur des mécanismes cryptographiques conformes au RGS (Référentiel Général de Sécurité) est à privilégier.
L’authentification avec clé de sécurité FIDO de plus en plus plébiscitée
L’utilisation des clés de sécurité matérielles FIDO est de plus en plus plébiscitée par les internautes et par les services en ligne. Pour exemple, en ce début d’année 2023, Apple a ajouté dans les fonctionnalités de son nouvel iOS 16.3 et de son macOS Ventura 13.2 les clés de sécurité matérielles FIDO comme l’un des deux facteurs d’authentification. Le métaverse s’organise également. Des systèmes d’authentification incluant l’utilisation d’une clé de sécurité physique FIDO pourraient être adoptés afin d’aider à sécuriser les métaverses et empêcher les violations de données.
Choisies par plus de 150 acteurs mondiaux de l’informatique tel que Google, Apple ou encore Microsoft, les solutions d’authentification forte FIDO apportent plus de sécurité aux échanges web que les solutions actuelles tout en améliorant la facilité d’utilisation pour les utilisateurs quel que soit le matériel ou le système d’exploitation utilisé. Les spécifications FIDO2 et FIDO U2F s’appuient sur des architectures à base de cryptographie asymétrique et de certificats électroniques. Le protocole FIDO U2F permet une authentification à double facteur, le protocole FIDO2 propose quant à lui une authentification sans mot de passe. Le Passwordless est une solution d’avenir qui répond au défi actuel de la sécurisation des accès Web.
NEOWAVE est une société française spécialisée dans la conception, la fabrication et la commercialisation de dispositifs d’authentification forte à base de composants sécurisés et de certificats numériques. Ses produits sont 100% Made in France et sont labellisés « Cybersecurity Made in Europe ». Ils sont conformes aux exigences de sécurité européenne (RGS, eIDAS, RGPD, DSP2).
NEOWAVE propose 3 grandes familles de produits :
- les solutions ID 2.0 (clés de sécurité et cartes à puce avec certificats)
- la gamme FIDO (clés de sécurité et cartes à puce reposant sur le protocole FIDO)
- la gamme de lecteurs de carte à puce (lecteurs de carte à puce à contact et/ou sans contact (RFID/NFC) et clés USB lecteur de carte Micro et Mini-SIM)
NEOWAVE offre des solutions sécurisées parfaitement adaptées à des besoins d’authentification forte. Ses clés de sécurité FIDO, la Winkeo-A FIDO2 et Winkeo-C FIDO2 ont obtenu le Visa de sécurité de l’ANSSI. En outre, NEOWAVE est partenaire Microsoft pour ses solutions d’authentification « passwordless » (FIDO2).
Pour plus d’informations : NEOWAVE : https://www.neowave.fr
Boutique FIDO de NEOWAVE : https://authentification-web.fr
Des tutos pour mettre en place une authentification sur vos comptes en ligne (Gmail, Facebook, OVH, Ping Identity, Bank of America, Microsoft) sont proposés sur la boutique de NEOWAVE.