Le mot de passe a-t-il un avenir en informatique ? Seul, il paraît de moins en moins apte à fournir une protection suffisante pour l'internaute, même si ce dernier en choisit un qui respecte scrupuleusement les règles du genre (longueur, complexité, intelligibilité). Mais si le mot de passe n'est plus viable, par quoi le remplacer ? C'est une question qui occupe depuis quelques temps Google.
Le géant de la recherche en ligne a d'abord mis en place la double authentification. En plus du mot de passe, l'usager doit renseigner un code de sécurité de quelques chiffres, généré aléatoirement et qui demeure valide pendant quelques secondes. Si le code est rentré trop tard, il faudra en taper un nouveau. Et là encore, le code ne marchera que pendant un temps très court.
L'outil permet de s'assurer que la personne qui cherche à accéder au compte est bien celle qui en est le titulaire, même si son mot de passe est compromis. En effet, une deuxième protection est en place et ne peut être contournée que si le smartphone de la victime est aussi compromis ou si le SMS contenant le code de sécurité est intercepté à temps.
Avec la double authentification, le piratage d'un compte Google devient particulièrement difficile car l'assaillant doit réunir deux informations, dont l'une a une durée de vie très courte. Plusieurs sociétés proposent la double authentification pour sécuriser l'accès à leurs services. C'est le cas par exemple de Dropbox, Blizzard (World of Warcraft, Diablo 3, Starcraft 2) ou d'ArenaNet (Guild Wars 2).
S'authentifier via un objet tiers
La double authentification n'est peut-être pas parfaite (le mobile contenant l'application générant les codes de sécurité peut être volé, une fois le mot de passe dérobé), mais il réduit le risque et sécurisé beaucoup mieux un compte qu'un mot de passe seul. Mais cela ne semble pas suffire à à Eric Grosse, vice-président du groupe chargé des sujets de sécurité informatique, et Mayak Upadhyay, ingénieur.
Dans un futur article qui sera publié dans le journal spécialisé IEEE Security & Privacy, mais dont Wired a pu en consulter le contenu, les deux hommes considèrent que "les mots de passe et les jetons d'identification comme les cookies ne sont plus suffisants pour assurer la sécurité des utilisateurs". Ce sentiment serait partagé par beaucoup d'informaticiens, ajoutent les deux spécialistes.
Plutôt que de s'en remettre aux mots de passe, aussi solides soient-ils, les deux ingénieurs souhaitent mettre à profit les dispositifs nomades pour s'authentifier. Qu'il s'agisse d'un smartphone, d'une petite carte à puce cryptée ou d'une bague qui intégrerait elle aussi une puce, l'idée serait de s'en servir comme d'une clé de voiture. Il suffirait alors de brancher l'objet via un port USB par exemple.
En cas de vol ou de perte ?
L'idée est séduisante mais soulève quelques interrogations : si l'authentification se déroule via un dispositif externe, que se passe-t-il si celui-ci est perdu ? Il faut qu'une procédure existe pour signaler la perte du terminal, de la bague ou de la carte afin de verrouiller l'accès. Pour l'heure, les deux hommes travaillent à l'élaboration du protocole : mais ce cas de figure devra absolument être pris en compte.
Ces dispositifs remplaceront-ils vraiment le mot de passe ? Ce n'est peut-être pas ainsi que le problème doit être posé. Ces nouvelles protections sont vraisemblablement plus intéressantes en les associant à d'autres mécanismes de sécurité, comme la double authentification. La clé USB Yubico s'inscrit dans cette logique, en se substituant à l'une des deux étapes de la double authentification.
La reconnaissance par la biométrie est également un terrain sur lequel beaucoup d'entreprises se sont déjà engagées. En prenant les empreintes digitales, en effectuant la reconnaissance du visage ou en procédant à l'analyse de l'iris, ce ne sont pas les techniques qui manquent. Mais celles-ci soulèvent des problématiques de bioéthique et de protection de l'identité très compliquées.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !