Face à l’augmentation des cybermenaces, nos pratiques de sécurité doivent évoluer. Alors pourquoi T adopté des solutions plus sécurisées ? Le Dr Adam Lowe déclare : « La meilleure sécurité est celle que les gens utilisent », ce qui implique que la convivialité est la clé.
L'équipe CoinDesk s'est entretenue avec le Dr Lowe pour déballer cette idée.
Lowe est le directeur des produits et de l'innovation chez CompoSecure qui a fait carrière à la pointe de l'innovation. Il est l'auteur de plusieurs chapitres d'ouvrages techniques et est répertorié comme inventeur de plus de 500 brevets et brevets en attente, notamment Arculus, une plateforme de sécurité numérique de nouvelle génération donnant aux utilisateurs la possibilité de sécuriser leurs actifs et identités numériques.
L'expertise en sécurité de Lowe s'étend au-delà de CompoSecure et Arculus. Il a auparavant occupé un poste en R&D au sein d’une organisation à but non lucratif soutenant la défense et le renseignement américains. Les expériences de Lowe lui confèrent une compréhension approfondie de la sécurité Web2 et Web3 pour les utilisateurs, des particuliers aux entités gouvernementales.
Dans cette conversation, nous explorerons l'état actuel et futur de la cybersécurité et pourquoi Lowe croit en un avenir sans mot de passe.
Je pense que votre parcours fournit beaucoup de contexte sur la façon dont vous avez fini par travailler chez CompoSecure et développer Arculus, mais j'aimerais approfondir la façon dont ces expériences vous ont amené au Web3.
Bien sûr, cela a été un long voyage, qui a commencé lorsque j'étais à l'école supérieure, vers 2011. Bitcoin grondait dans le monde universitaire. Je n’étais T un gros acheteur de Bitcoin à l’époque, j’aurais certainement aimé l’être, mais c’est là que j’en ai pris goût pour la première fois.
Ensuite, je me suis lancé dans la défense où j'ai développé un intérêt pour la cryptographie qui assurait la sécurité des personnes, des combattants et de l'ensemble de la communauté du renseignement. J'ai fait cela pendant quelques années, puis je suis passé aux paiements.
Je travaille chez CompoSecure, notre société mère, depuis environ 10 ans et je travaille sur la Technologies des cartes de paiement en métal haut de gamme. Au fur et à mesure que la Crypto mûrissait, j’ai vraiment commencé à voir cela comme l’avenir des paiements et de l’identité numérique, et comment les deux fusionnent dans le Web3.
Du point de vue des paiements mondiaux, j’ai en quelque sorte compris où se formait ce lien et j’ai contribué à bien nous positionner en créant Arculus. Arculus est le côté actif numérique et identité numérique de notre activité, où nous prenons la Technologies des cartes de paiement en métal haut de gamme et ajoutons une courbe elliptique pour lui permettre de faire beaucoup de choses. Ils peuvent effectuer des paiements. Ils peuvent authentifier les consommateurs. Et c'est également un signataire matériel complet pour toutes les blockchains modernes pertinentes.
Voilà donc un peu la vision : les gens doivent gérer leur identité numérique, et nous voulons leur donner la sécurité dans leur poche pour le faire.
Nous aurions tous souhaité acheter Bitcoin en 2011, mais votre parcours Crypto est définitivement unique et vous a donné un aperçu de la sécurité personnelle, de l'entreprise et du gouvernement.
Il semble que les entreprises perdent les données de leurs clients aussi facilement que les clients oublient leurs mots de passe. Pourquoi cela arrive-t-il?
Ouais, donc je donne tout le temps des conférences sur ce sujet et une sorte de titre ironique que j'ai eu récemment était que les mots de passe sont dépassés. Parce qu’ils le sont vraiment.
Ce que j'aime dire, c'est, et c'est vrai, qu'on confie la clé de la porte d'entrée de sa maison ou de son appartement. Vous devez faire confiance à une clé numérique pour votre vie numérique. Pas un mot de passe.
Le problème fondamental de la plupart de ces systèmes, quelle que soit leur échelle, est qu’ils sont fondés sur la connaissance. Un mot de passe n'est rien d'autre qu'un Secret partagé, et pour quiconque a déjà fréquenté le collège, les secrets partagés ne durent T très longtemps. C'est donc intrinsèquement un défaut de conception.
Et comme vous l'avez mentionné, les gens l'oublient souvent et doivent être réinitialisés. Environ la moitié de toutes les activités des centres d’appels sont liées aux mots de passe. Pour les entreprises, cela peut coûter très cher.
Ok, donc les mots de passe sont transmis, mais qu'y a-t-il d'autre ?
Au lieu des mots de passe, qui sont basés sur la connaissance, les systèmes modernes évoluent vers des solutions basées sur des clés.
Vous avez peut-être déjà vu Facebook, Coinbase et d'autres utiliser des clés numériques pour gérer votre vie numérique. C'est de la même manière que vous signez une transaction Ethereum avec une clé numérique, mais à la place, vous signez numériquement un défi qui prouve que vous êtes bien.
C'est un énorme pas en avant en matière de sécurité.
Quelque chose comme Google Authenticator est progressivement meilleur que les mots de passe, mais ce n'est pas une excellente expérience utilisateur. Vous devez vous retirer, obtenir six chiffres, revenir, courir contre la montre et espérer que vous réussirez. Ce n'est tout simplement pas génial.
Cette approche zéro confiance basée sur des clés dont nous parlons est obligatoire pour l'ensemble du DoD cette année, et le sera pour davantage d'agences gouvernementales au fil du temps.
CISA l’a appelé l’étalon-or et vous devriez viser l’or. Nous pensons vraiment que c'est la meilleure approche, et des gens comme Apple, Google et d'autres sont d'accord avec nous, c'est pourquoi tous les téléphones Android et iPhone le prennent en charge.
Donc, ce que nous avons fait avec le mot de passe, et pour travailler au sein du système de mot de passe Fido WebAuth, c'est de les placer sur de belles cartes métalliques externes que les entreprises peuvent fournir à leurs clients, à leur image de marque.
Pour les choses à risque faible à moyen, il existe une application sur votre téléphone : vous allez consulter votre téléphone pour déverrouiller votre site Web ou votre application préféré.
Pour les choses à risque moyen à élevé, vous utilisez votre carte, une clé externe, ce qui la rend encore plus sécurisée. Vous appuyez sur la clé (pass) (carte) de votre téléphone, il signe un défi et vous y êtes.
Vous avez dit plus tôt que « la meilleure sécurité est ONE que les gens utilisent » et cela m'a rappelé à quel point mes parents s'en tenaient à ce qu'ils savent.
Quel est votre point de vue sur l’adoption de votre technologie ? Est-ce une sécurité que mes parents utiliseraient ?
Chez Arculus, nous avons littéralement quelque chose appelé « le test de la mère Adams », qui exige que ma mère puisse le faire sans aucun encadrement. Et si elle n’y parvient T et qu’elle a besoin d’être coachée, alors ce n’est pas assez simple.
Les trois piliers d'Arculus sont sûrs, simples et sécurisés, et la simplicité est certainement très importante.
Une transaction moyenne que votre mère effectuera nécessite simplement d'utiliser la biométrie sur son appareil. Elle se contenterait de regarder son téléphone ou d'utiliser son empreinte digitale, sans jamais avoir à se souvenir d'un mot de passe. Je pense que c'est un gros avantage de cette Technologies.
ONEune des raisons pour lesquelles nous pensons que les cartes à puce constituent un excellent moyen d’y parvenir est que tout le monde en possède. Les cartes à puce sont 20 à 25 fois plus répandues dans le monde que les iPhones. Tout le monde pense que tout le monde possède un iPhone. Eh bien, il y a 20 fois plus de cartes à puce que d'iPhone.
Pour en revenir à la Crypto, j’entends régulièrement parler de personnes qui stockent l’intégralité de leur portefeuille dans le même portefeuille auquel ils se connectent à tout.
Étant donné l’idée selon laquelle la meilleure sécurité est ONE que les gens utilisent réellement, comment voyez-vous cette adoption se dérouler dans le Web3 et comment améliorera-t-elle la protection des utilisateurs qui utilisent les dApps ?
Je pense que vous verrez bientôt un changement par rapport aux portefeuilles HOT . Le défi avec les anciennes méthodes de stockage à froid, glorifiées par les clés USB, est qu'elles étaient tout simplement trop compliquées à utiliser : peu conviviales, impliquent des chargements et des téléchargements constants et ne sont pas très viables.
Avec Arculus, nous l'avons rendu plus facile à utiliser que de nombreux portefeuilles HOT .
Vous bénéficiez de cette facilité d’utilisation avec une sécurité maximale sur une plateforme multifonctionnelle. Comme je l'ai mentionné précédemment, nous pouvons effectuer le paiement sur la carte, nous pouvons en faire l'authentificateur FIDO dont nous avons parlé et qui vous connecte aux plateformes Web2.
Toute votre vie numérique peut résider dans une carte que vous transportez régulièrement, et elle est tout aussi facile à utiliser que votre portefeuille HOT préféré, mais les clés sont dans votre poche. Il n'y a aucun moyen de le pirater car le seul endroit où existent vos clés privées se trouve sur cette carte.
De plus, c'est du 3FA, mais du 3FA simple :
- Quelque chose que vous possédez : cette carte spécifique, qui est synchronisée avec votre téléphone,
- Quelque chose que vous êtes : la biométrie sur votre appareil, et
- Quelque chose que vous connaissez : votre épingle.
Vous disposez de cette profondeur de défense indépendante qui assure la sécurité de votre Crypto et peut pleinement fonctionner dans l’environnement Web3. Vous pouvez utiliser WalletConnect sur votre DEX préféré, vous effectuez toutes les transactions que vous voulez et vous êtes en pleine forme.
Quelles cybermenaces émergentes prévoyez-vous dans les années à venir, et comment Arculus y répond-il ?
Bien sûr, tout le monde cite l’IA. Je pense que c'est une chose raisonnable à laquelle il faut prêter attention, car cela abaisse la barre des cyberattaques.
Avec l’IA, vous pouvez être moins capable qu’avant de lancer une cyberattaque raisonnable, car l’IA vous aidera à coder et à l’exécuter avec un seuil de connaissances inférieur. Nous assisterons donc à une plus grande ampleur et à un plus grand volume d’attaques.
Nous devons préparer nos systèmes pour pouvoir nous défendre contre ce volume d’attaques. Nous nous protégeons contre les attaques futures en supprimant le type de problème d'informations d'identification exploitables par échange de carte SIM dont nous avons parlé, car soit vous avez la clé, soit vous ne l'avez T.
Un attaquant peut se cogner contre ce mur autant qu’il le souhaite. S'ils ne disposent T de la clé cryptographique pour déverrouiller le compte ou débloquer ces privilèges, ils n'y accéderont pas. C'est pourquoi il est si essentiel que nous nous éloignions de ce système basé sur la connaissance qui permet aux attaquants d'entrer.
Qu’en est-il dans le monde du web3 et de la Crypto?
Je pense ONE des menaces, notamment dans le web3, vient de ce grand mouvement d'intégration des gens. Nous devons attirer plus de personnes dans l’espace et nous devons les intégrer. Bien que cela soit vrai, de nombreuses plates-formes se tournent vers la connexion sociale pour tenter de faciliter l'intégration.
Si ces comptes ne sont T sécurisés, tout ce que vous avez fait est de prendre les problèmes Web2 et de les amener dans un monde Web3, car vous revenez aux mots de passe, aux e-mails et aux mêmes vieux problèmes.
Que se passe-t-il lorsque le pirate informatique dit « J'ai oublié mon 2FA ? » et la solution est que vous receviez un LINK par e-mail ? Tout ce que le pirate informatique aurait à faire est de vous échanger la carte SIM et nous reviendrons là où nous avons commencé.
Nous ne pouvons T pousser l’insécurité du Web2 vers le Web3.
Cette discussion a fait écho au sentiment « pas vos clés, pas votre Crypto». Mais qu’en est-il des dépositaires et des DAO ? Arculus peut-il prendre en charge les systèmes multipartites comme les multi-signatures ?
Nous travaillons en partenariat avec un certain nombre de personnes et travaillons avec plusieurs systèmes. Nous pensons être le moteur de cryptographie le plus sécurisé et le plus simple à utiliser, alors pourquoi serions-nous prescriptifs sur la manière dont les gens devraient l'utiliser ?
Nous pourrions travailler, par exemple, sur quelque chose comme Gnosis Multi-Sig, où nous pouvons signer ONEun de ces contrats et être signataire, signataire M of M, dans cet écosystème multi-signature où vous pouvez utiliser cette connexion Fido WebAuth pour vous connecter. vous dans une plate-forme.
Nous pensons vraiment que nous sommes un système de cryptographie flexible et facile à utiliser qui peut fonctionner dans un environnement d'entreprise ou centralisé tout aussi facilement pour un consommateur. Je pense que les réponses à ces différents problèmes sont différentes. Nous sommes un couteau suisse où nous pouvons trouver l'outil approprié et aider à résoudre le problème.
J'ai remarqué qu'Arculus s'associe à la fois à des solutions de paiement traditionnelles et à des sociétés Web3. Pouvez-vous élaborer sur ce sujet?
Bien sûr. Nous faisons donc beaucoup de choses avec Solana, Aptos , SUI et d'autres, vraiment concentrés sur le rapprochement du Web3 et des paiements. Comme je l'ai mentionné plus tôt, nous pouvons gérer l'identité à l'aide de la norme d'authentification Web Fido, que ces chaînes reprennent pour une sorte de connexion ZK facile. Mais nous sommes également en mesure de prendre en charge les paiements utilisant ces réseaux.
Nous sommes ONEune des rares personnes au monde privilégiées à fabriquer des cartes Visa, MasterCard, American Express. Lors de la dernière Solana Hacker House, nous avons fait une conférence et montré comment vous pouviez exploiter nos cartes et les faire passer sur les rails Visa ou pour envoyer Solana Pay via les rails Solana .
Il s'agit vraiment d'unifier ces systèmes de paiement et d'utiliser des pièces stables comme instruments de paiement et de règlement et d'intégrer ce Web3 dans de réels cas d'utilisation quotidienne, ce que je trouve tout simplement fantastique.
Y a-t-il autre chose avant de conclure ?
Je tiens à réitérer que la facilité d'utilisation combinée à la sécurité et à la simplicité positionne vraiment Arculus pour être un leader dans le domaine. Chaque fois que quelqu'un dit, ah, la garde autonome ou la chambre froide est trop difficile et que vous confiez Arculus à ses mains, vous avez un converti.
Avec notre Technologies, nous entendons vraiment « exploiter » Web3 pour rendre les paiements simples et sécurisés. Notre Technologies est là pour protéger les actifs numériques et les identités des personnes.