Chaque année, le 28 janvier, l’Europe célèbre la Journée européenne de la protection des données, une date symbolique pour rappeler l’importance de la sécurité de nos données personnelles dans un monde numérique en constante évolution. En 2024, cette journée revêt une signification particulièrement cruciale, car les défis liés à la préservation de la confidentialité des données numériques ne cessent de croître.
Les progrès technologiques ont engendré l’émergence de cybercrimes plus complexes, avec des attaques de phishing sophistiquées, des attaques par force brute améliorées, et d’importantes fuites de données, largement facilitées par l’Intelligence Artificielle (IA). Face à ces nouveaux défis en matière de sécurité des données, l’Union Européenne (UE) a appelé les entreprises, notamment celles des secteurs sensibles, à adopter la directive NIS2 (Network and Information Security) d’ici le second semestre 2024. Cette directive de l’UE vise à renforcer la protection des données et la sécurité économique, faisant de 2024 une année cruciale pour la cybersécurité.
La Journée européenne de la protection des donnée : objectif
Instaurée par le Conseil de l’Europe, elle est célébrée le 28 janvier chaque année en commémoration de la signature de la Convention 108 sur la protection des données. En 2018, cette convention a été révisée et mise à jour sous l’appellation «Convention 108+» pour faire face aux défis posés par les avancées des technologies de l’information et de la communication. Cette journée, désormais connue sous le nom de « Privacy Day », est célébrée mondialement dans le but de sensibiliser le public à l’importance de protéger ses données personnelles.
Les données personnelles sont des informations qui peuvent identifier une personne, comme son nom, son adresse, son numéro de téléphone, ou même des données plus sensibles comme les informations médicales ou financières. L’objectif principal de cette journée est de rappeler à tous que la confidentialité des données est un droit fondamental, et que leur protection est essentielle dans notre société numérique.
2024 : des cybermenaces toujours plus sophistiquées
Les progrès technologiques ont créé de nouvelles problématiques en ce qui concerne la protection des données numériques. L’année 2022 a vu l’introduction de ChatGPT, suivie en 2023 par l’arrivée de modèles de génération d’images, de vidéos et de fichiers audio. En 2023, l’IA générative, ou GenAI, a été au centre des préoccupations, et cette tendance devrait se poursuivre en 2024.
Comme pour toute technologie émergente, l’IA générative suscite à la fois des espoirs, mais également des inquiétudes. Une étude récente d’IBM souligne que l’IA générative pourrait engendrer de nombreuses cyberattaques supplémentaires au cours des 6 à 12 prochains mois, avec une préoccupation particulière des Responsable de la Sécurité des Systèmes d’Information (RSSI). Basée sur des enquêtes auprès de 200 cadres d’entreprises aux États-Unis sur la cybersécurité liée à l’IA, elle montre que 47 % d’entre eux craignent que l’adoption de l’IA générative n’augmente les risques de sécurité.
Les cyberattaques visant à voler des données sensibles et confidentielles peuvent exploiter diverses fonctionnalités de l’IA afin d’améliorer leur efficacité.
L’IA au service de la cybercriminalité
L’utilisation de l’IA générative rend les escroqueries en ligne plus faciles et élaborées. Voici quelques exemples de méthodes avancées, utilisant l’IA, pour tromper les individus et obtenir des informations confidentielles et sensibles :
– Phishing et usurpation d’identité : l’intégration de l’IA dans l’ingénierie sociale permet de produire des e-mails et des sites web de phishing qui semblent authentiques tant au niveau visuel que du contenu. Elle peut reproduire fidèlement le style d’écriture, la mise en page, et intégrer des logos et des images pour accroître la crédibilité de ces faux contenus. Elle peut aussi générer des images extrêmement avancées, appelées « deepfakes », pour simuler des contenus légitimes.
– Piratage des données biométriques : L’IA a la capacité également d’imiter fidèlement les données biométriques telles que des visages, des iris, des voix, des empreintes digitales et des signatures. Ces attaques permettent aux cybercriminels de contourner les systèmes de reconnaissance biométrique. Elle peut compromettre l’accès à une variété de services qu’ils soient physiques (bâtiments, zones sécurisées, infrastructures critiques) ou logiques (systèmes informatiques, comptes et services en ligne…).
– Attaques par force brute améliorées : L’IA est utilisée pour automatiser la génération de combinaisons possibles de mots de passe afin de trouver rapidement le mot de passe correct.
– Détection de vulnérabilités : Les attaquants peuvent utiliser l’IA pour automatiser la recherche de vulnérabilités dans les systèmes informatiques, accélérant ainsi le processus de recherche de failles de sécurité.
L’IA est devenue une arme puissante dans le domaine de la cybercriminalité permettant l’exécution de diverses attaques hautement élaborées. Face à ces enjeux, une approche plus stricte est nécessaire pour préserver la confidentialité des données et la sécurité en ligne.
Sécuriser l’identité numérique : un défi permanent
Les cyberattaques visant l’identité numérique, de plus en plus complexes grâce à l’IA, sont une préoccupation majeure en cybersécurité. Les attaques basées sur l’ingénierie sociale, facilitées et sophistiquées par l’IA, restent au cœur des attaques de phishing. Les statistiques du rapport de Verizon de 2023 sur les violations de données montrent que plus de la moitié des compromissions résultent de l’utilisation d’identifiants volés ou compromis. De plus, selon le baromètre annuel de l’authentification en ligne de l’Alliance FIDO, 54 % des personnes interrogées ont constaté une augmentation des messages suspects et des arnaques en ligne, tandis que 52% estiment que ces dernières ont gagné en sophistication.
La protection de l’identité numérique demeure donc un défi permanent dans le paysage de la cybersécurité actuel. Afin de renforcer la sécurité des données personnelles, il est important de mettre en œuvre certaines mesures clés : effectuer des mises à jour régulières, être vigilant en ligne, utiliser des réseaux Wi-Fi sécurisés ou un VPN, personnaliser les paramètres de confidentialité sur les réseaux sociaux, effectuer des sauvegardes régulières, surveiller ses comptes en ligne, et activer l’authentification à deux facteurs (A2F). Toutefois, il est important de noter que, surtout lorsqu’il s’agit de données très sensibles, ces pratiques ne fournissent pas à elles seules une sécurité optimale.
L’authentification « Passwordless » FIDO2 : l’avenir de la sécurité en ligne
Les pirates informatiques font preuve d’une ingéniosité croissante dans leur quête d’accès à des données sensibles. Ils recourent à l’Intelligence Artificielle pour contourner les mesures de sécurité, y compris l’authentification multifacteurs (MFA). Cette dernière ajoute une couche de sécurité en combinant au moins deux facteurs d’authentification, tels que ce que l’utilisateur connaît (mot de passe), ce qu’il possède (téléphone, carte à puce, clé de sécurité), et ce qu’il est (empreintes digitales, voix ou reconnaissance faciale) pour vérifier l’identité de l’utilisateur.
Ce contexte souligne l’importance capitale de choisir des méthodes d’authentification solides. Pour une authentification plus robuste et résistante au phishing, il est recommandé de favoriser l’utilisation de dispositifs physiques tels que les cartes à puce, les cartes SIM et les clés de sécurité matérielles, qui reposent sur la cryptographie. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) préconise trois mécanismes d’authentification forte, à savoir les certificats (stockés dans des cartes à puce), les protocoles FIDO2 et FIDO U2F, ainsi que certains protocoles OTP (HOTP, TOTP, OCRA). Pour une sécurité optimale, l’utilisation d’un matériel physique équipé d’un composant de sécurité qualifié ou certifié par l’ANSSI et conforme au RGS (Référentiel Général de Sécurité) est à privilégier.
Pour une authentification en ligne hautement sécurisée, bien plus fiable que les mots de passe traditionnels et les méthodes de MFA vulnérables à l’IA, l’option préconisée consiste à opter pour les facteurs d’authentification basés sur le protocole FIDO. Ces solutions, adoptées par des géants de l’informatique comme Google, Apple et Microsoft, renforcent la sécurité en ligne grâce à la cryptographie asymétrique. Les spécifications FIDO2 et FIDO U2F offrent une authentification robuste, y compris une méthode sans mot de passe appelée « Passwordless».
La clé de sécurité FIDO2 pour une protection optimale
Face à l’escalade des menaces en 2024, la sécurisation des identités numériques revêt une importance cruciale. C’est dans ce contexte que la clé de sécurité USB FIDO2 se distingue comme une solution de choix, offrant une authentification robuste et une résistance sans égale aux attaques en ligne, tout en simplifiant l’expérience utilisateur. Les raisons de son efficacité sont nombreuses :
1. Authentification forte : elle est considérée comme un facteur d’authentification forte puisqu’elle s’appuie sur le protocole FIDO, basé sur la cryptographie asymétrique.
2. Résistance au phishing : elle est conçue pour résister au phishing, car elle ne peut pas être dupliquée par des attaquants, contrairement aux mots de passe qui peuvent être volés.
3. Protection contre les attaques de force brute : elle génère des codes uniques à chaque utilisation, ce qui rend ces attaques inefficaces.
4. Stockage sécurisé : les informations de la clé de sécurité FIDO2 sont stockées de manière sécurisée sur la clé elle-même, généralement avec une protection matérielle. En revanche, les mots de passe peuvent être stockés de manière moins sécurisée sur des serveurs en ligne, ce qui les rend vulnérables aux violations de données.
5. Facilité d’utilisation : elle est généralement facile à utiliser. Il suffit de la brancher ou de la connecter sans fil à votre appareil et d’appuyer sur un bouton pour vous authentifier. Cela élimine la nécessité de mémoriser de longs mots de passe complexes.
6. Réduction des risques de réutilisation de mots de passe : Les utilisateurs ont souvent tendance à réutiliser les mêmes mots de passe sur plusieurs sites, ce qui accroît les risques en cas de violation d’un seul compte. Les clés de sécurité FIDO2 sont spécifiques à chaque site ou service, réduisant ainsi le risque de réutilisation de mots de passe.
7. Élimination des problèmes liés aux mots de passe faibles : elle ne requière pas de mot de passe, éliminant ainsi le risque lié à l’utilisation de mots de passe faibles comme « 123456 » ou « password ».
En cette Journée européenne de la protection des données en 2024, nous sommes confrontés à des défis de cybersécurité croissants. L’Intelligence Artificielle amplifie les menaces, mais la clé de sécurité USB FIDO2 représente une solution incontournable. En adoptant cette technologie, nous renforçons notre sécurité en ligne et préservons la confidentialité de nos données personnelles, contribuant à un avenir numérique plus sûr.
A propos :
NEOWAVE, entreprise française spécialisée en cybersécurité, offre des solutions d’authentification fortes pour protéger le patrimoine numérique des entreprises et des utilisateurs en utilisant des technologies d’authentification solides basées sur des composants sécurisés et des certificats numériques.
Ses produits FIDO2, tels que les clés de sécurité USB (Winkeo-A FIDO2 et Winkeo-C FIDO2) et les cartes à puce, sont fabriqués en France, certifiés par l’ANSSI, et respectent les normes de sécurité européennes (LPM, NIS, RGPD, eIDAS, DSP2,…). Ils sont également labellisées « Cybersecurity Made in Europe ». NEOWAVE est par ailleurs un partenaire de Microsoft pour ses solutions d’authentification « sans mot de passe » basées sur FIDO2, et est également membre de l’Alliance FIDO.
Pour plus d’informations :
NEOWAVE : https://www.neowave.fr
Boutique FIDO de NEOWAVE : https://authentification-web.fr
Alliance FIDO : https://fidoalliance.org/