Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    L'entreprise Beyond Identity veut supprimer les mots de passe tout en éliminant les frictions de connexion
    L'entreprise Beyond Identity veut supprimer les mots de passe tout en éliminant les frictions de connexion,
    et en proposant une alternative beaucoup plus sûre aux gestionnaires de mots de passe

    Deux poids lourds de l'industrie technologique que sont James «Jim» Clark (qui a fondé plusieurs entreprises à la Silicon Valley, en particulier Silicon Graphics, Netscape Communications, myCFO et Healtheon) et Tom «TJ» Jermoluk (qui a été General Partner de Kleiner, Perkins, Caufield & Byers, PDG de @Home Network) se sont associés pour mettre sur pieds Beyond Identity, une entreprise dédiée à l’élimination des mots de passe et qui « changerait radicalement la façon dont le monde se connecte, sans obliger les organisations à changer radicalement leur pile technologique ou leurs processus ».

    L’entreprise a reçu un financement de 30 millions de dollars en série A de Koch Disruptive Technologies, LLC (KDT) et New Enterprise Associates (NEA). Fondée en 2017, KDT est une filiale de capital-risque d'entreprise de Koch Industries, l'une des plus grandes sociétés privées d'Amérique avec plus de 110 milliards de dollars de revenus annuels. Fondée en 1977, NEA demeure l’une des sociétés de capital-risque les plus importantes et les plus actives au monde avec plus de 23 milliards de dollars de capitaux engagés. Les deux sociétés sont également les premiers clients de Beyond Identity.

    Le rapport Verizon 2019 Data Breach Investigations a révélé que 80% des violations liées au piratage impliquent toujours des informations d'identification compromises et faibles. Plusieurs cabinets d'analystes estiment que le marché de la gestion des identités et des accès pèse plus de 20 milliards de dollars et connait une croissance fulgurante. Derrière ces chiffres, cependant, il existe des segments de marchés pour compenser les contrôles, des gestionnaires de mots de passe à l'authentification multifacteur, qui s'efforcent de réduire la surface d'attaque massive et instable représentée par un mot de passe fondamentalement faible. Malheureusement, ces couches supplémentaires ne résolvent pas le problème principal, mais ajoutent plutôt de la complexité et nécessitent des étapes supplémentaires pour les utilisateurs finaux. Selon des cabinets, le résultat est une baisse de la productivité des employés et des revenus car les consommateurs peuvent abandonner la création d’un nouveau compte ou des transactions en ligne s’il y a des étapes supplémentaires.


    Revoir la perspective des mots de passe

    La prémisse derrière Beyond Identity découle d'une croyance selon laquelle non seulement les mots de passe ont toujours été horribles à retenir, mais aussi dangereux, a déclaré Baskett.

    « Ensuite, Apple a introduit Touch ID sur l'iPhone 5S ainsi que l'enclave sécurisée à l'intérieur pour protéger les données d'empreintes digitales activées par Touch ID. Google a ensuite copié le concept et l'a inséré dans l'environnement Android peu de temps après qu'Apple l'ait inséré dans le reste de l'environnement Apple », explique Baskett. Dès lors, il y avait un moyen sûr de déverrouiller vos appareils sans mot de passe.

    Clark a compris que « l'enclave sécurisée » pouvait être programmée pour être une « autorité de certification » personnelle afin qu'un appareil puisse interagir avec des sites Web sans mot de passe de la même manière que les sites Web interagissaient avec des certificats, pas des mots de passe. Cette pratique a été lancée par Netscape.

    Au-delà de l'identité, il est désormais « facile, pratique et sûr d'adopter ces autorités de certification personnelles comme substitut complet aux mots de passe », a déclaré Baskett.

    « C'est énorme dans de nombreuses dimensions. C'est vraiment une grande idée », a-t-il déclaré. « Mais il est compliqué à mettre en œuvre et nécessite de nombreuses interfaces pour être aussi largement utiles que nous le souhaitons, ce que l'équipe logicielle sophistiquée de Beyond Identity peut faire et être payée pour ce travail ».

    Une alternative sécurisée

    Beyond Identity a des brevets en instance dans le but de créer une « chaîne de confiance » étendue qui inclut l'identité de l'utilisateur et de l'appareil et un instantané en temps réel de la posture de sécurité de l'appareil « le tout dans un package immuable signé par un certificat dont la sécurité est prouvée ».

    L’entreprise prétend offrir « une solution fondamentalement sécurisée (basée sur des chaînes de certificats standard) pour la gestion d'identité sans mot de passe qui ne nécessite aucune modification des infrastructures de sécurité, élimine complètement les frictions de connexion pour les utilisateurs finaux et offre aux consommateurs une alternative beaucoup plus sûre aux gestionnaires de mots de passe ».

    Fondamentalement, Beyond Identity tente de « relancer » l'authentification principale en introduisant le concept d'autorité de certification personnelle et de certificats auto-signés.

    Jermoluk a indiqué que la société était enthousiaste à l'idée de permettre aux utilisateurs d'être leur propre autorité de certification, de prendre le contrôle de leur propre sécurité et de « posséder leur propre identité ». Il a déclaré que l'équipe fondatrice était surprise que personne n'y ait jamais pensé auparavant. « C'est comme quand vous voyez une roue. Une fois que vous la voyez, c'est évident », a déclaré Jermoluk. « Et puis il vous vient à l’esprit : "pourquoi ne pas faire ça? " »

    Marchés ciblés

    Koch, NEA et quelques « autres » utilisent déjà la technologie, en plus de Beyond Identity lui-même, a-t-il déclaré. L'entreprise compte plus de 40 employés, dont la majorité ont été embauchés au cours des six derniers mois et principalement par le bouche à oreille, selon Jermoluk.

    « Pendant tout ce temps, nous avons opéré sous notre nom furtif, et nous n'avons dit à personne qui nous sommes. Nous n’avions même pas un site Web avec autre chose que notre nom », a-t-il déclaré. « Mais maintenant, nous pensons qu'il est temps de sensibiliser le public à ce que nous faisons ».

    L’objectif de l’entreprise est de cibler les entreprises de 200 employés ou plus. Jermoluk souligne que d'autres startups, comme Okta, se sont bien comportées sur le marché intermédiaire. Ping a également réussi à attirer de plus grandes entreprises du Fortune 100.

    « Nous pensons qu'il y a là une grande opportunité de marché pour nous et nous pensons à ces deux marchés », a-t-il déclaré. « Nous avons l’intention de nous attaquer au marché de consommation globale plus tard qui, à notre avis, sera un grand marché, encore plus grand que celui des entreprises ».

    Par exemple, la société a déclaré qu'elle prévoyait de cibler les consommateurs individuels qui détestent les mots de passe, se démènent avec l'utilisabilité de leur gestionnaire de mots de passe et ne font pas confiance aux solutions de connexion proposées par les entreprises qui monétisent les données des utilisateurs.

    « Pendant trop longtemps, nous avons poussé le fardeau de la confiance vers les points d'agrégation centralisés - des répertoires d'entreprise aux serveurs des services cloud - chacun avec des niveaux de fiabilité variables et un ensemble massivement large de postures de sécurité et de plateformes », a déclaré Clark, Co- Fondateur et président de Beyond Identity. « Bien que rationnel, cela a créé un risque plus centralisé et des cibles attrayantes, sur lesquelles les attaquants se sont régalés. De nouveaux appareils dotés de la biométrie et d'enclaves sécurisées nous ont donné un niveau de sécurité beaucoup plus élevé qui nous permet d'établir la confiance en et avec chaque utilisateur. En se décentralisant sur le périmètre, il soutient les principes de Zero Trust et détruit l'économie de l'attaquant ».

    Le conseil d'administration de Beyond Identity, qui comprend déjà Clark (président) et TJ (PDG), comporte également :
    • Forest Baskett (associé général chez NEA) - Avant de rejoindre NEA, Baskett était vice-président directeur de la R&D et directeur de la technologie chez Silicon Graphics. Avant cela, il a fondé et dirigé le Western Research Laboratory de Digital Equipment Corporation.
    • Byron Knight (directeur général de KDT) - Avant de rejoindre KDT, Knight était vice-président du commerce électronique chez Georgia-Pacific. Il a commencé sa carrière chez TechDiscovery (acquis par Harvey Nash).
    • Hilarie Koplow-McAdams - Koplow-McAdams a été présidente de New Relic ainsi que de Salesforce. Elle a commencé sa carrière chez Oracle Corporation, où elle a occupé divers postes au cours des 18 dernières années, notamment celle de vice-présidente principale d'Oracle Direct. Koplow-McAdams siège actuellement au conseil d'administration de BloomReach, DataRobot, HackerOne, Knotch et Zendesk Corporation, entre autres.

    Source : Beyond Identity

    Et vous ?

    Que pensez-vous de cet objectif ?
    Que pensez-vous de cette façon de procéder ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Tout ça me semble bien flou, mais si c'est du Let's Encrypt décentralisé, l'idée me plaît.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  3. #3
    Membre émérite
    Bonjour,

    L'entreprise Beyond Identity veut supprimer les mots de passe tout en éliminant les frictions de connexion > Que pensez-vous de cet objectif ?
    J'y crois pas du tout ... Supprimer le mot de passe classique reviendrait à dire .

    On ne fait que , du token + emprunte digital + reconnaissance facial / optique . Le risque > que les 3 canaux d'identifications lâchent . Le token lache ou impossible de recevoir le code , le titulaire physique décède et ou perd un doigt et ou devient aveugle ...

    Bon c'est tiré par le cheveux mais le risque zéro n'existe pas.

    Pour remettre une couche, le risque du rançongiciel qui vient tout crypter/chiffrer.

    Que pensez-vous de cette façon de procéder ?


    Le bon vieux mot de passe sans gestionnaire a encore de beau jour, devant lui

    On doit cumuler les modes d'identifications pour éviter de se faire coincer en cas de pépin ou d'entrer urgemment dans le système.