Arculus : Vers un avenir sans mot de passe avec le Dr Adam Lowe

Avec la multiplication des menaces cybernétiques, nos pratiques de sécurité doivent évoluer. Alors, pourquoi n’avons-nous pas adopté des solutions plus sûres ? Le Dr Adam Lowe déclare : « La meilleure sécurité est celle que les gens utilisent », impliquant que l’ergonomie est essentielle.

L'équipe de CoinDesk a parlé avec le Dr Lowe pour décomposer cette idée.

Lowe est le Directeur Produit et Innovation chez CompoSecure, qui a construit sa carrière à la pointe de l'innovation. Il est l'auteur de plusieurs chapitres techniques et est reconnu en tant qu'inventeur sur plus de 500 brevets délivrés et en instance, y compris Arculus, une plateforme de sécurité numérique de nouvelle génération offrant aux utilisateurs la possibilité de protéger leurs actifs et identités numériques.

L’expertise en sécurité de Lowe s’étend au-delà de CompoSecure et Arculus. Il a précédemment occupé un poste en R&D au sein d’une organisation à but non lucratif soutenant la défense et le renseignement aux États-Unis. Les expériences de Lowe lui confèrent une compréhension approfondie de la sécurité web2 et web3 pour des utilisateurs allant des particuliers aux entités gouvernementales.

Dans cette conversation, nous explorerons l’état actuel et futur de la cybersécurité et pourquoi Lowe croit en un avenir sans mot de passe.

Je pense que votre parcours offre beaucoup de contexte quant à la façon dont vous en êtes venu à travailler chez CompoSecure et à développer Arculus, mais ce sur quoi j’aimerais approfondir un peu plus, c’est comment ces expériences vous ont conduit vers le web3.

Bien sûr, cela a été un long parcours, remontant à l'époque où j'étais en école doctorale, vers 2011. Bitcoin faisait parler de lui dans le milieu académique. Je n'étais pas un grand acheteur de Bitcoin à cette époque, je regrette certainement de ne pas l'avoir été, mais c'est là que j'ai eu mon premier aperçu.

Puis je suis entré dans la défense où j'ai développé un intérêt pour la cryptographie, qui assurait la sécurité des personnes, des combattants et de l'ensemble de la communauté du renseignement. J'ai exercé cette activité pendant quelques années, puis je me suis orienté vers les paiements.

Je travaille chez CompoSecure, notre société mère, depuis environ 10 ans, spécialisée dans la technologie des cartes de paiement en métal haut de gamme. À mesure que la crypto-monnaie a mûri, j'ai vraiment commencé à la percevoir comme l'avenir des paiements et de l'identité numérique, ainsi que la manière dont ces deux éléments se fusionnent dans le web3.

Du point de vue des paiements mondiaux, j'ai en quelque sorte vu où ce nexus s'est formé et j'ai pris position pour nous placer favorablement en créant Arculus. Arculus est le volet actif numérique et identité numérique de notre activité, où nous utilisons une technologie de carte de paiement en métal premium, à laquelle nous ajoutons une courbe elliptique pour lui permettre de faire beaucoup de choses. Elles peuvent effectuer des paiements. Elles peuvent authentifier les consommateurs. Et c'est également un signataire matériel complet pour toutes les blockchains modernes pertinentes.

C'est en quelque sorte la vision : les personnes doivent gérer leurs identités numériques, et nous souhaitons leur offrir la sécurité à portée de main pour le faire.

Nous souhaitons tous avoir acheté du Bitcoin en 2011, mais votre parcours dans la cryptomonnaie est assurément unique et vous a permis d’acquérir des connaissances approfondies en matière de sécurité personnelle, d’entreprise et gouvernementale.

Il semble que les entreprises perdent les données des clients aussi facilement que les clients oublient leurs mots de passe. Pourquoi cela se produit-il ?

Oui, donc je donne des conférences là-dessus tout le temps, et un titre de conférence que j'ai utilisé récemment, avec une touche d'humour, était « les mots de passe sont dépassés ». Parce que c’est vraiment le cas.

Ce que j’aime dire, et c’est vrai, c’est que vous faites confiance à une clé pour la porte d’entrée de votre maison ou de votre appartement. Vous devriez faire confiance à une clé numérique pour votre vie digitale. Pas à un mot de passe.

Le problème fondamental de la plupart de ces systèmes, quelle que soit leur échelle, est qu'ils reposent sur la connaissance. Un mot de passe n'est rien d'autre qu'un secret partagé, et pour quiconque a traversé le collège, les secrets partagés ne durent pas très longtemps. C'est donc une faille de conception inhérente.

Et comme vous l'avez mentionné, les gens l'oublient souvent et il faut le réinitialiser. Environ la moitié de toutes les activités des centres d'appels sont liées aux mots de passe. Pour les entreprises, cela peut devenir très coûteux.

D'accord, les mots de passe sont dépassés, mais qu'y a-t-il d'autre?

Plutôt que des mots de passe, qui reposent sur la connaissance, les systèmes modernes tendent vers des solutions basées sur des clés.

Vous avez peut-être déjà vu Facebook, Coinbase et d'autres utiliser des clés numériques pour gérer votre vie numérique. C'est la même façon dont vous signez une transaction Ethereum avec une clé numérique, mais ici, vous signez numériquement un défi qui prouve votre identité.

C'est une avancée majeure en matière de sécurité.

Un peu mieux que les mots de passe est quelque chose comme Google Authenticator, mais ce n'est pas une expérience utilisateur idéale. Vous devez quitter l'onglet, aller chercher six chiffres, revenir à l'onglet, courir contre la montre, et espérer que vous faites bonne figure. Ce n’est tout simplement pas satisfaisant.

Cette approche à confiance zéro, basée sur les clés, dont nous parlons est obligatoire pour l'ensemble du ministère de la Défense cette année, et sera rendue obligatoire pour davantage d'agences gouvernementales avec le temps.

CISA l'a qualifié de référence en or et vous devriez viser l'or. Nous pensons vraiment que c'est la meilleure approche, et des entreprises comme Apple, Google et d'autres sont de notre avis, ce qui explique pourquoi chaque téléphone Android et iPhone le prend en charge.

Ainsi, ce que nous avons fait avec la clé d’accès, et pour fonctionner au sein du système de clé d’accès Fido WebAuth, c’est que nous les avons placées sur de magnifiques cartes métalliques externes que les entreprises peuvent remettre à leurs clients, avec leur propre image de marque.

Pour les risques faibles à modérés, il existe une application sur votre téléphone : vous allez regarder votre téléphone, pour déverrouiller votre site web ou application favorite.

Pour les opérations à risque moyen à élevé, vous utilisez votre carte, une clé externe, ce qui la rend encore plus sécurisée. Vous approchez la (clé) (carte) de votre téléphone, elle signe un challenge, et vous êtes connecté.

Vous avez dit plus tôt que « la meilleure sécurité est celle que les gens utilisent » et cela m’a rappelé comment mes parents s’en tiennent simplement à ce qu’ils connaissent.

Quelle est votre perspective sur l’adoption de votre technologie ? Est-ce une sécurité que mes parents utiliseraient ?

Chez Arculus, nous avons littéralement quelque chose appelé le « Test de la Mère d’Adams », qui exige que ma mère puisse le faire sans aucune assistance. Et si elle ne peut pas, et qu’elle a besoin d’accompagnement, alors ce n’est pas assez simple.

Les trois piliers d'Arculus sont sûrs, simples et sécurisés, et la simplicité est définitivement très importante.

Une transaction moyenne que votre mère effectuera nécessite simplement l’utilisation de la biométrie sur son appareil. Elle n’aura qu’à regarder son téléphone ou utiliser son empreinte digitale, sans jamais avoir à se souvenir d’un mot de passe. Je pense que c’est un grand avantage de cette technologie.

Une des raisons pour lesquelles nous pensons que les cartes à puce sont un véhicule si performant pour cela est que tout le monde en possède. Les cartes à puce sont, à l'échelle mondiale, 20 à 25 fois plus répandues que les iPhones. Tout le monde pense que tout le monde possède un iPhone. Pourtant, il y a 20 fois plus de cartes à puce que d'iPhones.

Pour revenir à la crypto, j'entends régulièrement des personnes qui conservent l’intégralité de leur portefeuille dans le même portefeuille qu’elles utilisent pour se connecter à toutes leurs applications.

Compte tenu de l'idée que la meilleure sécurité est celle réellement utilisée par les personnes, comment envisagez-vous le déploiement de cette adoption dans le web3, et comment renforcera-t-elle la protection des utilisateurs interagissant avec les dApps ?

Je pense que vous verrez bientôt un changement concernant les portefeuilles chauds. Le défi avec les anciennes méthodes de stockage à froid, souvent réduites à de simples clés USB, est qu'elles étaient beaucoup trop compliquées à utiliser — peu conviviales, nécessitant des téléchargements et téléversements constants, et peu viables.

Avec Arculus, nous avons rendu son utilisation plus simple que celle de nombreux portefeuilles chauds.

Vous bénéficiez de cette facilité d'utilisation avec une sécurité maximale sur une plateforme multifonctionnelle. Comme je l'ai mentionné précédemment, nous pouvons effectuer des paiements sur la carte, nous pouvons en faire l'authentificateur FIDO dont nous avons parlé, qui vous connecte aux plateformes web2.

Votre vie numérique entière peut tenir sur une carte que vous portez régulièrement, et son utilisation est aussi simple que celle de votre portefeuille chaud préféré, mais les clés sont dans votre poche. Il est impossible de la pirater car le seul endroit où vos clés privées existent est sur cette carte.

De plus, il s'agit de 3FA, mais un 3FA simple :

• Quelque chose que vous possédez : cette carte spécifique, qui est synchronisée avec votre téléphone,
• Quelque chose que vous êtes : la biométrie sur votre appareil, et
• Quelque chose que vous connaissez : votre code PIN.

Vous disposez de cette profondeur indépendante de défense qui protège efficacement vos cryptomonnaies et vous permet de fonctionner pleinement dans l’environnement Web3. Vous pouvez utiliser WalletConnect avec votre DEX préféré, effectuer toutes les transactions que vous souhaitez, et vous êtes prêt à partir.

Quelles menaces cybernétiques émergentes anticipez-vous dans les années à venir, et comment Arculus y répond-il ?

Bien sûr, tout le monde évoque l'IA. Je pense que c'est un élément raisonnable à surveiller puisqu'il abaisse le seuil des cyberattaques.

Avec l'IA, vous pouvez être moins compétent qu'auparavant pour lancer une attaque cybernétique raisonnable, car l'IA vous aidera à coder et à l'exécuter avec un seuil de connaissance inférieur. Nous verrons donc une échelle et un volume d'attaques plus importants grâce à cela.

Nous devons avoir nos systèmes prêts à pouvoir défendre contre ce volume d’attaques. Nous protégeons contre les attaques futures en éliminant le type de problème d’identifiants pêchables par échange de carte SIM dont nous avons parlé, car vous avez soit la clé, soit vous ne l’avez pas.

Un attaquant peut frapper ce mur autant qu'il le souhaite. S'il ne possède pas la clé cryptographique pour déverrouiller le compte ou accéder à ces privilèges, il n'entrera pas. C'est pourquoi il est crucial que nous abandonnions ce système basé sur la connaissance qui permet aux attaquants d'entrer.

Qu'en est-il dans le monde du web3 et de la crypto ?

Je pense que l'une des menaces, en particulier dans le web3, provient de ce grand mouvement visant à intégrer davantage de personnes. Nous devons faire entrer plus de gens dans cet espace et les intégrer. Bien que cela soit vrai, on observe de nombreuses plateformes optant pour la connexion sociale afin de faciliter l'intégration.

Si ces comptes ne sont pas sécurisés, alors tout ce que vous avez fait est de transférer les problèmes du web2 dans un monde web3, car vous revenez aux mots de passe, aux e-mails et aux mêmes problèmes d’antan.

Que se passe-t-il lorsque le pirate déclare « J’ai oublié mon 2FA ? » et que la solution consiste à recevoir un lien par e-mail ? Il suffirait au pirate de procéder à une opération de SIM swap pour vous, et nous serions de retour au point de départ.

Nous ne pouvons pas transférer l'insécurité du web2 vers le web3.

Cette discussion a fait écho au sentiment « pas vos clés, pas votre crypto ». Mais qu’en est-il des dépositaires et des DAO ? Arculus peut-il prendre en charge des systèmes multipartites tels que les multisignatures ?

Nous collaborons avec de nombreuses personnes et travaillons avec plusieurs systèmes. Nous estimons être le moteur de cryptographie le plus sécurisé et le plus facile à utiliser, alors pourquoi serions-nous prescriptifs quant à la manière dont les gens devraient l’utiliser ?

Nous pourrions travailler, par exemple, sur quelque chose comme Gnosis Multi-Sig, où nous pouvons signer pour l'un de ces contrats et être un signataire, M sur M signataire, dans cet écosystème multi-signature, où vous pourriez utiliser cette connexion Fido WebAuth pour vous connecter à une plateforme.

Nous pensons vraiment être un système de cryptographie facile à utiliser et flexible, capable de fonctionner aussi bien dans un environnement d'entreprise ou centralisé que pour un consommateur. Je pense que les réponses à ces différents problèmes sont distinctes. Nous sommes un couteau suisse où nous pouvons sortir l'outil approprié et aider à résoudre le problème.

J'ai remarqué qu'Arculus collabore à la fois avec des solutions de paiement traditionnelles et des entreprises du web3. Pourriez-vous nous en dire plus à ce sujet ?

Bien sûr. Nous collaborons beaucoup avec des acteurs comme Solana, Aptos et Sui, ainsi que d'autres, en nous concentrant vraiment sur la convergence du Web3 et des paiements. Comme je l'ai mentionné plus tôt, nous pouvons gérer l'identité en utilisant la norme d'authentification web Fido, que ces blockchains adoptent pour une sorte de connexion ZK simplifiée. Mais nous sommes également en mesure de soutenir les paiements via ces réseaux.

Nous faisons partie des rares personnes au monde privilégiées à fabriquer des cartes Visa, MasterCard, American Express. Lors du dernier Solana Hacker House, nous avons donné une conférence et démontré comment vous pouviez utiliser nos cartes par simple contact, soit en passant par les réseaux Visa, soit en envoyant instantanément via Solana Pay sur les réseaux Solana.

C’est vraiment l’unification de ces systèmes de paiement, l’utilisation des stablecoins comme instruments de paiement et de règlement, et l’intégration de ce web3 dans des cas d’usage quotidiens réels, ce que je trouve tout simplement fantastique.

Autre chose avant de conclure ?

Je tiens à réitérer que la facilité d'utilisation, combinée à la sécurité et à la simplicité, positionne réellement Arculus comme un leader dans ce domaine. Chaque fois que quelqu'un déclare que la garde en propre ou le stockage à froid est trop compliqué, et que vous placez Arculus entre ses mains, vous gagnez un converti.

Avec notre technologie, nous entendons réellement « taper » dans le Web3 pour rendre les paiements simples et sécurisés. Notre technologie est là pour protéger les actifs numériques et les identités des personnes.