Singapour peut-elle devenir une nation sans mot de passe ?

Les cybercriminels sont de plus en plus habiles à voler les mots de passe des utilisateurs. De fait, l'attaque par force brute, une technique de craquage de mots de passe utilisée par les cybercriminels pour déchiffrer les mots de passe faibles, a sonné l'alarme auprès des utilisateurs.

Une étude montre que les pirates informatiques peuvent essayer 2 180 milliards de combinaisons mot de passe/nom d'utilisateur en 22 secondes et qu'un mot de passe simple peut facilement voler le compte. Une autre méthode fréquemment utilisée par les cybercriminels pour voler les informations des utilisateurs est le « stupéfiage d'identifiants », qui consiste à utiliser des comptes et des mots de passe divulgués pour accéder sans autorisation aux comptes utilisateurs par le biais de demandes de connexion automatisées et généralisées.

En Asie du Sud-Est, un rapport du fabricant et distributeur russe de logiciels de sécurité Kaspersky a montré qu'il y a eu 47,8 millions d'attaques ciblant les travailleurs à distance de janvier à juin 2022, ce qui signifie une moyenne d'environ 265 000 attaques se produisant chaque jour.

Singapour, en particulier, a connu une augmentation de ce type d'attaques. Parmi celles-ci, on compte les campagnes de phishing dont les clients d'OCBC Bank ont ​​été victimes l'année dernière, et qui ont coûté plus de 8,5 millions de dollars singapouriens. Suite à cette épidémie, les autorités ont mis en place de nouvelles mesures de sécurité, notamment l'interdiction des liens dans les e-mails et SMS bancaires.

Plus récemment, on a constaté une augmentation des débits non autorisés sur les cartes de débit et de crédit dans l'État insulaire. Selon le Straits Times (Singapour), de nombreuses transactions non autorisées ont été signalées. L'Agence de cybersécurité de Singapour a déclaré que ces petites transactions pouvaient être utilisées par les cybercriminels pour tester ou authentifier les informations des cartes de débit et de crédit avant d'effectuer des transactions plus importantes, et a conseillé aux consommateurs de configurer des alertes pour de telles transactions sur leurs comptes.

Une autre cyberattaque récente à Singapour a impliqué le diffuseur national Mediacorp. Selon certaines informations, environ 14 000 utilisateurs du compte meconnect de Mediacorp ont dû réinitialiser leurs mots de passe après qu'un tiers inconnu a découvert que leurs comptes avaient été consultés. Ces identifiants ont servi à accéder aux services de Mediacorp, comme la plateforme de streaming meWatch. Mediacorp a informé tous les titulaires de comptes concernés du problème et a réinitialisé leurs mots de passe.

Est-il temps de supprimer les mots de passe ?

La récente augmentation des débits non autorisés par carte de crédit et de débit a mis en évidence les vulnérabilités des systèmes d'authentification traditionnels par mot de passe, selon David Hope, vice-président senior pour l'Asie-Pacifique et le Japon chez ForgeRock, une multinationale basée à San Francisco spécialisée dans les logiciels de gestion des identités et des accès. Il estime donc qu'il est plus important que jamais d'adopter des solutions sans mot de passe pour garantir une sécurité accrue.

« Les identités numériques sont essentielles à la sécurité de notre accès à des services tels que les services bancaires et de vente en ligne. Cette évolution, conjuguée à la quantité d'informations personnelles utilisées pour accéder à ces services, a élargi la surface numérique que les cybercriminels peuvent exploiter. Pour optimiser la sécurité et atténuer ces cyberrisques, les entreprises doivent abandonner les mots de passe. Elles doivent intégrer des mesures d'authentification et de vérification plus intelligentes à leurs écosystèmes technologiques afin de se protéger et de protéger leurs utilisateurs contre la fraude, tout en garantissant une identification aisée des menaces potentielles », a déclaré David Hope.

L'authentification sans mot de passe et d'autres solutions de protection contre les menaces basées sur l'IA créent des mesures de sécurité plus précises pour protéger les identités numériques. Grâce à cette approche, les organisations singapouriennes peuvent mieux faire face au nombre croissant d'attaques, améliorer l'expérience utilisateur, réduire les inefficacités opérationnelles et réduire les coûts liés aux réinitialisations de mots de passe régulières.

« Alors que Singapour continue de montrer la voie en matière de numérisation dans la région, le besoin d'accès sécurisé et d'authentification autorisée continuera de croître et les organisations doivent se concentrer sur l'amélioration de leurs systèmes dès aujourd'hui pour pérenniser leur avantage concurrentiel et protéger leurs utilisateurs », a ajouté M. David Hope.

Que signifie l’authentification sans mot de passe ?

L'authentification sans mot de passe est aujourd'hui considérée comme la meilleure méthode pour vérifier l'identité des utilisateurs sans utiliser de mot de passe. Les méthodes sans mot de passe utilisent plutôt des alternatives plus sécurisées comme la biométrie.

Pour fonctionner, les données d'authentification (généralement une empreinte digitale biométrique ou une reconnaissance faciale) doivent correspondre aux données stockées dans une base de données. En l'absence de données biométriques, un code d'accès ou une authentification multifacteur via un appareil personnel peuvent être utilisés.

L'authentification multifactorielle sur les appareils personnels a été mise en œuvre par certains fournisseurs de services financiers, grâce à laquelle l'identité de l'utilisateur est confirmée par empreinte digitale ou par scan rétinien sur un appareil mobile.

Pour répondre à cette tendance, l'Alliance FIDO (Fast IDentity Online) a été créée afin de promouvoir des normes d'authentification ouvertes et de réduire l'utilisation des mots de passe comme moyen d'authentification. FIDO2 est la dernière norme intégrant la norme d'authentification WebAuthn. FIDO permet aux utilisateurs et aux organisations d'exploiter une base de données pour se connecter à des ressources sans avoir besoin de noms d'utilisateur, de mots de passe ou de clés d'application intégrés à l'appareil.

Les défis du passage au sans mot de passe

Passer au sans mot de passe présente plusieurs défis à relever pour une mise en œuvre réussie. Le plus important est l'adoption et les habitudes des utilisateurs. Comme mentionné précédemment, le passage du sans mot de passe au sans mot de passe peut être déroutant pour certains utilisateurs, notamment les générations plus âgées, habituées à utiliser des mots de passe pour se connecter aux applications.

L'introduction de nouvelles méthodes d'authentification peut nécessiter un changement de mentalité des utilisateurs pour garantir une adoption généralisée. De plus, la mise en œuvre de solutions sans mot de passe nécessite souvent des modifications importantes des systèmes et infrastructures existants. Des problèmes de compatibilité peuvent survenir lors de l'intégration avec des systèmes existants conçus pour fonctionner avec des mots de passe, ce qui peut freiner l'adoption de méthodes sans mot de passe.

Les méthodes d'authentification sans mot de passe doivent également privilégier une expérience utilisateur fluide tout en garantissant l'accessibilité aux personnes handicapées. Trouver le juste équilibre entre les exigences de sécurité, la simplicité d'utilisation et la satisfaction des besoins variés des utilisateurs peut s'avérer complexe.

Un autre défi réside dans le processus de récupération et de gestion des comptes, qui sera complètement différent. Au lieu de simplement réinitialiser les mots de passe, les organisations devront développer des mécanismes alternatifs permettant aux utilisateurs de récupérer l'accès à leurs comptes en cas de perte de leur appareil, de modification biométrique ou autre.

Singapour peut-elle devenir une nation sans mot de passe ?

Avec l'infrastructure nationale existante, la mise en œuvre de systèmes sans mot de passe serait complexe. Cependant, grâce à la connectivité synchrone et au développement numérique rapide, la mise en œuvre de solutions pour devenir une nation sans mot de passe pourrait certainement devenir une réalité à l'avenir à Singapour.

La seule question est désormais de savoir si le public est prêt à de tels changements. Si certaines formes d'authentification sans mot de passe ont été largement déployées, il faudra peut-être un certain temps avant que cette nouvelle approche ne soit largement acceptée.