Fuite de données massive révèle un problème de mot de passe — Une solution radicale est-elle en cours ?

Un appel à une mentalité axée sur la “confidentialité d’abord”

La révélation fracassante d’une immense violation de données, compromettant 16 milliards d’identifiants, a plongé les utilisateurs d’Internet dans une nouvelle vague d’anxiété, suscitant des craintes que les cybercriminels ne pillent déjà des comptes personnels. Bien que les experts en sécurité incitent à des changements de mots de passe immédiats, un contre-argument critique estime que cette mesure réactive ne constitue pas une véritable protection contre des intrusions futures identiques.

Au lieu de se concentrer uniquement sur le changement de mots de passe, les experts interrogés par Bitcoin.com News soutiennent que les récentes violations nécessitent un changement de paradigme radical. Ils affirment qu’il est temps d’abandonner la confiance dans les bases de données centralisées stockant des informations sensibles sur les utilisateurs, et d’adopter une mentalité axée sur la confidentialité qui s’appuie fondamentalement sur la décentralisation.

Shahaf Bar-Geffen, PDG de COTI, a également soutenu que bien que les sociétés aient historiquement fait confiance aux “autorités” et aux institutions, cet état d’esprit est mal adapté pour servir efficacement les gens dans les espaces virtuels qui médiatisent de plus en plus nos vies.

“Le monde traditionnel basé sur la confiance n’est pas adapté au monde en ligne, et pourtant c’est encore le mode opératoire dominant. Les affaires en ligne conduisent souvent à des points terminaux traditionnels qui laissent une traînée d’identifiants exposés à travers les plateformes”, a expliqué Bar-Geffen.

Ce point de vue est partagé par Nanak Nihal Khalsa, co-fondateur de Holonym, qui soutient que les entreprises ne restent fidèles à ce modèle que parce qu’il est peu coûteux. Il a déclaré : “Le problème est que les entreprises utilisent encore ces solutions au lieu d’alternatives décentralisées parce qu’elles sont bon marché et pratiques. Mais, il existe des moyens plus sûrs et plus efficaces d’authentifier les utilisateurs et/ou de stocker leurs données sensibles.”

Selon Bar-Geffen, l’une de ces méthodes est l’utilisation de données décentralisées et cryptées auxquelles on peut accéder sans avoir besoin de les déchiffrer, grâce à des innovations comme les preuves à divulgation nulle de connaissance (Zero-Knowledge Proofs, ZKPs) et le chiffrement homomorphe.

Comme rapporté par Bitcoin.com News, les chercheurs de Cybernews qui ont découvert la brèche ont déclaré qu’il ne s’agissait pas seulement d’une fuite mais “d’un plan pour une exploitation massive.” D’autres experts avertissent que les cybercriminels peuvent utiliser les ensembles de données divulgués pour intensifier le vol d’identité, le phishing et les intrusions dans les systèmes.

Pourtant, pour d’autres, la violation massive remet en question la pertinence des mots de passe à une époque où les cybercriminels deviennent de plus en plus sophistiqués. Bien que la question de l’élimination totale des mots de passe suscite des discussions depuis une décennie, Khalsa estime qu’aucune alternative claire n’a émergé pour justifier l’abandon du paradigme du mot de passe. Concernant les clés d’accès, que certains présentent comme des alternatives viables aux mots de passe, le co-fondateur de Holonym a déclaré :

“Il y a une rumeur courante selon laquelle les clés d’accès remplaceront les mots de passe. Mais les clés d’accès sont généralement synchronisées dans nos comptes cloud qui dépendent finalement des mots de passe. Les clés cryptographiques peuvent aussi être utilisées mais sont difficiles à gérer. Leurs techniques de récupération tendent à reposer sur des comptes qui nécessitent des mots de passe.”

Pendant ce temps, Bar-Geffen pense que des outils tels que l’identité décentralisée, les ZKP et les portefeuilles crypto jouent déjà le rôle de “méthodes d’accès sécurisées et contrôlées par l’utilisateur”. Cependant, le défi, selon Bar-Geffen, est de convaincre les entreprises, les gouvernements et les utilisateurs d’adopter l’approche axée sur la confidentialité. Il souligne également pourquoi l’adoption de cette approche est cruciale à l’ère de l’intelligence artificielle (IA).

“Il y a aussi le problème croissant de l’IA. Il est important de passer à un nouveau modèle (auto-souverain et basé sur la permission) car l’automatisation par l’IA se propage, ce qui exacerbera l’ampleur des violations de données, et nous pourrions même voir Internet devenir inutilisable sans un nouveau modèle pour la confidentialité”, a déclaré le dirigeant de COTI.