Les smartphones cryptés sécurisent votre identité, pas seulement vos données

Les smartphones cryptés sécurisent votre identité, pas seulement vos données
Un smartphone est une forme numérique d'identifiant pour de nombreuses applications et services. Département des transports de l'Iowa

Les smartphones stockent votre email, vos photos et votre calendrier. Ils donnent accès à des sites de médias sociaux en ligne comme Facebook et Twitter, et même à vos comptes bancaires et de cartes de crédit. Et ils sont la clé de quelque chose d'encore plus privé et précieux - votre identité numérique.

Grâce à leur rôle dans systèmes d'authentification à deux facteurs, le plus couramment utilisé méthode de protection d'identité numérique sécurisée, les smartphones sont devenus essentiels pour identifier les gens en ligne et hors ligne. Si les données et les applications sur les smartphones ne sont pas sécurisées, cela constitue une menace pour l'identité des personnes, permettant potentiellement aux intrus de se positionner comme cibles sur les réseaux sociaux, le courrier électronique, les communications professionnelles et autres comptes en ligne.

Aussi récemment que 2012, le FBI recommandé au public de protéger les données de leurs smartphones en le chiffrant. Plus récemment, cependant, l'agence des demandé aux fabricants de téléphones pour fournir un moyen de entrer dans des dispositifs cryptés, ce que la police appelle "accès exceptionnel"Le débat jusqu'ici s'est concentré sur la confidentialité des données, mais cela laisse de côté un aspect essentiel du cryptage des smartphones: sa capacité à sécuriser les identités personnelles des internautes.

Comme je l'ai écrit dans mon livre récent, "À l'écoute: La cybersécurité dans un âge précaire«Faire ce que le FBI veut - rendre les téléphones plus faciles à déverrouiller - réduit nécessairement la sécurité des utilisateurs. Une récente Académie nationale des sciences, ingénierie et médecine, à laquelle j'ai participé, prévient également que le fait de rendre les téléphones plus faciles à déverrouiller pourrait affaiblir cet élément clé de la sécurisation des identités en ligne.

Rassembler des preuves ou affaiblir la sécurité?

Au cours des dernières années, la police a demandé l'accès aux smartphones des suspects dans le cadre d'enquêtes criminelles, et les entreprises technologiques ont résisté. La plus importante de ces situations est survenue à la suite de 2015 San Bernardino tir de masse. Avant que les attaquants eux-mêmes soient tués dans une fusillade, ils ont pu détruire leurs ordinateurs et leurs téléphones - sauf un, un iPhone verrouillé. Le FBI voulait le téléphone décrypté, mais inquiet que les tentatives infructueuses pour casser les mécanismes de sécurité d'Apple pourraient causer le téléphone supprimer toutes ses données.

L'agence a pris Apple au tribunal, cherchant à forcer l'entreprise à écrire un logiciel spécial pour éviter les protections intégrées du téléphone. Apple a résisté, arguant que l'effort du FBI était un dépassement du gouvernement qui, s'il réussissait, diminuer la sécurité de tous les utilisateurs d'iPhone - et, par extension, celle de tous les utilisateurs de smartphones.

Le conflit a été résolu lorsque le FBI payé une firme de cybersécurité pour percer dans le téléphone - et trouvé rien de pertinent à l'enquête. Mais le bureau est resté ferme que les enquêteurs devraient avoir ce qu'ils ont appelé "accès exceptionnel, "Et ce que les autres appelaient un"porte arrière": Logiciel intégré permettant à la police de décrypter les téléphones verrouillés.

L'importance de l'authentification à deux facteurs

La situation est pas aussi simple que le suggère le FBI. Les téléphones sécurisés constituent des obstacles aux enquêtes policières, mais ils constituent également un excellent élément de la cybersécurité. Et compte tenu de la fréquence des cyberattaques et de la diversité de leurs cibles, c'est extrêmement important.

En juillet 2015, les responsables américains ont annoncé que Cyberthieves avait volé les numéros de sécurité sociale, la santé et l'information financière et d'autres données privées de 21.5 millions de personnes qui avait demandé des autorisations de sécurité fédérales auprès du US Office of Personnel Management. En décembre, 2015, une cyberattaque de trois compagnies d'électricité en Ukraine un quart de million de personnes sans électricité pendant six heures. En mars 2016, d'innombrables e-mails ont été volés du compte Gmail personnel de John Podesta, président de la campagne présidentielle de Hillary Clinton.

Dans chacun de ces cas, et beaucoup plus dans le monde depuis, une pratique de sécurité médiocre - sécuriser les comptes uniquement à l'aide de mots de passe - laisser les méchants faire de sérieux dégâts. Lorsque les informations de connexion sont faciles à trouver, les intrus entrent rapidement - et peuvent passer inaperçu pendant des mois.

La technologie pour sécuriser les comptes en ligne réside dans les poches des gens. Utiliser un smartphone pour exécuter un logiciel appelé authentification à deux facteurs (ou deuxième facteur) rend la connexion aux comptes en ligne beaucoup plus difficile pour les méchants. Le logiciel sur le smartphone génère une information supplémentaire qu'un utilisateur doit fournir, au-delà d'un nom d'utilisateur et d'un mot de passe, avant de pouvoir se connecter.

À l'heure actuelle, de nombreux propriétaires de smartphones utilisent les messages texte comme un second facteur, mais ce n'est pas assez bon. L'Institut national américain des normes et de la technologie avertit que les textos sont beaucoup moins sécurisés que les applications d'authentification: les attaquants peuvent interception ou même convaincre une société de téléphonie mobile de transférer le message SMS à un autre téléphone. (Il est arrivé à Activistes russes, Activiste de Black Lives Matter DeRay Mckesson, et autres.)

Une version plus sûre est une application spécialisée, comme Authentificateur Google or Authy, qui génère ce qu'on appelle des mots de passe à usage unique basés sur le temps. Lorsqu'un utilisateur souhaite se connecter à un service, il fournit un nom d'utilisateur et un mot de passe, puis reçoit une invite pour le code de l'application. L'ouverture de l'application révèle un code à six chiffres qui change toutes les secondes 30. Ce n'est qu'en tapant que l'utilisateur est connecté. Une startup du Michigan appelée Duo Cela rend la chose encore plus facile: après avoir tapé un nom d'utilisateur et un mot de passe, le système envoie une commande ping sur l'application Duo sur son téléphone, ce qui lui permet d'appuyer sur l'écran pour confirmer la connexion.

Cependant, ces applications sont aussi sûres que le téléphone lui-même. Si le niveau de sécurité d'un smartphone est faible, une personne en ayant la possession peut accéder aux comptes numériques d'une personne et même bloquer le propriétaire. En effet, peu de temps après le début de l'iPhone dans 2007, les pirates ont développé des techniques pour piratage dans les téléphones perdus et volés. Apple a répondu by construire une meilleure sécurité pour le des données sur ses téléphones; Ce sont les mêmes protections que les forces de l'ordre cherchent maintenant à défaire.

Éviter les catastrophes

L'utilisation d'un téléphone comme deuxième facteur d'authentification est pratique: la plupart des gens portent leur téléphone tout le temps et les applications sont faciles à utiliser. Et c'est sécurisé: les utilisateurs remarquent que leur téléphone est manquant, ce qu'ils ne font pas si un mot de passe est levé. Les téléphones en tant qu'authentificateurs de second facteur offrent une sécurité accrue au-delà des noms d'utilisateur et des mots de passe.

Si le Bureau de la gestion du personnel utilisait l'authentification par second facteur, ces dossiers personnels n'auraient pas été si faciles à lever. Si les compagnies d'électricité ukrainiennes utilisaient l'authentification du deuxième facteur pour accéder aux réseaux internes contrôlant la distribution de l'énergie, les pirates auraient eu beaucoup plus de mal à perturber le réseau électrique lui-même. Et si John Podesta avait utilisé l'authentification du second facteur, les pirates russes n'auraient pas pu accéder à son compte Gmail, même avec son mot de passe.

Le FBI se contredit sur cette question importante. L'agence a suggéré l'authentification à deux facteurs d'utilisation publique et l'exige quand les policiers veulent se connecter à systèmes fédéraux de bases de données de justice pénale d'un endroit non sécurisé tel qu'un café ou même une voiture de police. Mais le bureau veut rendre les smartphones plus faciles à débloquer, affaiblissant ainsi les protections de son propre système.

La ConversationOui, les téléphones difficiles à débloquer entravent les enquêtes. Mais cela manque une plus grande histoire. La criminalité en ligne augmente brusquement et les attaques deviennent de plus en plus sophistiquées. Rendre les téléphones faciles à déverrouiller pour les enquêteurs sape la meilleure façon pour les gens ordinaires de sécuriser leurs comptes en ligne. C'est une erreur pour le FBI de poursuivre cette politique.

A propos de l'auteur

Susan Landau, professeur d'informatique, de droit et de diplomatie et de cybersécurité, Tufts University

Cet article a été publié initialement le La Conversation. Lis le article original.

Livres de cet auteur

{amazonWS: searchindex = Livres; keywords = Susan Landau; maxresults = 3}