SafetyDetectives a parlé avec le fondateur et PDG de Hideez, Oleg Naumenko. Il se trouve actuellement en Ukraine et s'est porté volontaire pour aider le gouvernement à améliorer sa cybersécurité en mettant à niveau l'infrastructure, en éliminant les vulnérabilités et en intégrant gratuitement la nouvelle norme d'authentification sans mot de passe. Nous avons également parlé de Hideez et il a donné quelques conseils pour améliorer votre cybersécurité.
— Je suis ici avec le fondateur et PDG de Hideez, Oleg Naumenko. Merci d'avoir pris le temps de parler avec moi. Qu'est-ce qui vous a motivé à créer Hideez ?
Hideez est une entreprise relativement jeune fondée en 2017. Notre histoire de marque a commencé avec mon incident de sécurité personnel. Il y a quelques années, mon adresse e-mail et mes comptes de médias sociaux ont été piratés en raison d'un mot de passe divulgué. Les attaquants ont pu retirer une somme d'argent importante de mon compte bancaire, ce qui m'a amené à revoir mon approche de la sécurité des données. Finalement, j'ai eu l'idée de créer un dispositif de poche capable de stocker de manière sécurisée et de remplir automatiquement les informations d'identification des utilisateurs. Et c'est ainsi que notre marque est née.
— Parlez-moi de Hideez ; quel est votre produit phare ?
Après un accélérateur de start-up en cybersécurité, notre entreprise a recentré son activité du B2C vers le marché B2B. Nous avons développé une solution universelle de gestion des identités et des accès qui peut être utilisée dans un large éventail de domaines, notamment la banque, la santé, le gouvernement et d'autres secteurs.
Notre produit phare est le Serveur d'Authentification Hideez qui permet d'utiliser des outils d'authentification sans mot de passe avec n'importe quel service, même les anciens. Notre serveur a été développé sur la base de FIDO2, une norme d'authentification ouverte qui harmonise et simplifie l'expérience d'authentification en ligne de l'utilisateur. Toutes les spécifications FIDO utilisent la cryptographie à clé publique pour fournir la méthode d'authentification sans mot de passe la plus sécurisée.
Outre le serveur, notre solution d'entreprise comprend une application mobile prenant en charge l'authentification sans mot de passe et la connexion sans mot de passe sur ordinateur de bureau ainsi que des clés de sécurité matérielle qui fonctionnent comme des gestionnaires de mots de passe portables et des générateurs de codes à usage unique en plus des fonctionnalités mentionnées ci-dessus. Dans les deux cas, ces outils d'authentification sont bien plus sécurisés et robustes que les mots de passe traditionnels.
— Pourquoi la gestion des identités et l'authentification sans mot de passe sont-elles des outils de cybersécurité aussi critiques ?
90 % de toutes les cyberattaques telles que le phishing, les attaques par rançongiciel et les attaques de l'homme du milieu découlent de l'exposition des informations d'identification des utilisateurs. Utiliser les mots de passe comme méthode d'authentification principale est une habitude dépassée et dangereuse qui peut entraîner de lourdes pertes, notamment pour les grandes entreprises. La transition vers l'authentification sans mot de passe est actuellement le moyen le plus efficace de sécuriser les informations d'identification des employés et de prévenir les violations de données à long terme.
— Je comprends que vous êtes impliqué dans le renforcement du système de défense numérique ukrainien. Pouvez-vous nous en dire plus sur vos efforts ?
Depuis le 24 février 2022, l'Ukraine est confrontée à une véritable guerre hybride de nouvelle génération. Les structures de pouvoir russes attaquent non seulement notre territoire, mais aussi notre infrastructure critique dans le cyberespace. Malheureusement, tous les fournisseurs d'infrastructures critiques ne sont pas en mesure de résister à ces attaques.
C'est pourquoi notre équipe a décidé d'aider volontairement les agences ukrainiennes à mettre à niveau l'infrastructure, à éliminer les vulnérabilités et à intégrer la nouvelle norme d'authentification sans mot de passe. Nous avons reçu la certification de conformité gouvernementale et avons commencé à déployer notre solution dans les entreprises publiques gratuitement.
— Quels sont certains des principaux cyberattaques venant de Russie, et comment votre technologie les empêche-t-elle de causer des dommages ?
La plupart des attaques de cybersécurité en Ukraine sont axées sur les informations d'identification des utilisateurs. Par conséquent, les agences gouvernementales et les fournisseurs d'infrastructures critiques sont motivés à passer de l'authentification basée sur des mots de passe à l'authentification sans mot de passe à un rythme accéléré.
En raison de la précipitation constante et des conditions extrêmement stressantes, de nombreux employés ne peuvent pas faire leur travail efficacement. Lorsqu'ils travaillent pendant des raids aériens constants et des bombardements de missiles, ils ne peuvent pas penser aux mots de passe et à la conformité aux politiques de sécurité. Les travailleurs oublient souvent leurs mots de passe et perdent l'accès à leurs comptes même en conditions de fonctionnement normales, sans parler de la période de guerre stressante.
Quoi qu'il en soit, notre système d'authentification sans mot de passe ne concerne pas seulement l'authentification sécurisée. Il améliore l'expérience utilisateur et élève l'ensemble du système de gestion des informations d'identification à un nouveau niveau de qualité, aidant ainsi les employés à rester plus productifs.
— Que peut faire une personne moyenne, tant en Ukraine qu'à travers le monde, pour améliorer sa sécurité en ligne et éviter des choses comme les attaques de phishing et les attaques de l'homme du milieu ?
Chaque personne utilise régulièrement plus de 30 comptes sur différents sites Web et services. La plupart d'entre eux stockent des informations personnelles, et nous devrions tous réfléchir à leur confidentialité. Il a longtemps été prouvé que l'authentification à deux facteurs traditionnelle n'est pas suffisamment sécurisée. Pas plus que les mots de passe, même les plus longs et les plus complexes.
Je recommande d'utiliser des clés de sécurité matérielles pour accéder aux services les plus critiques et des authenticateurs logiciels pour les services moins importants. Des services modernes comme Gmail, Facebook et Office 365 prennent déjà en charge l'authentification basée sur FIDO, vous pouvez donc facilement sécuriser votre vie privée avec l'une des méthodes susmentionnées d'authentification sans mot de passe.