La vie après le mot de passe

Le vol massif d’adresses email et de mots de passe médiatisé cet été soulève la question du futur du mot de passe. Si, pour l’instant, il y a plus de peur que de mal, il convient de s’interroger sur les failles des mots de passe, comment on peut d’ores et déjà y remédier, et comment ils vont évoluer dans un futur proche.

Le problème du mot de passe

L’attaque perpétrée, au-delà de son ampleur, montre surtout les failles du mot de passe. En effet, les particuliers utilisent très fréquemment le même mot de passe pour différents services Internet, ou en crée un particulièrement simple, qui peut être « cracké » très rapidement. Par conséquent, si un site Internet est compromis et que les identifiants sont dérobés, les cybercriminels peuvent avoir accès à de nombreux comptes et services utilisés par la victime.
La plupart des utilisateurs ne changent pas leur mot de passe, même lorsqu’ils sont informés de vulnérabilités critiques de services Internet. Une recherche récente du Pew Research Center a montré que seulement 39 % des particuliers ont procédé à un changement de mot de passe après la médiatisation de la faille Heartbleed. Au lieu de blâmer un comportement un peu léger, il serait préférable d’essayer d’améliorer la sécurité des connexions des utilisateurs à leurs services en ligne préférés et de considérer les différentes options technologiques existantes et à venir.

L’authentification par le mobile

Le boom des smartphones ces dernières années a permis le développement de la double authentification. Lorsque l’utilisateur s’identifie à son compte avec un mot de passe, il reçoit un email, un SMS ou une notification sur application mobile qui lui fournit un code d’authentification temporaire. Même si un cybercriminel compromet un mot de passe, il devra avoir accès à ce deuxième élément d’identification pour accéder au compte et au service ciblé.
L’authentification biométrique est l’un des nouveaux développements du secteur, là encore, poussée par le mobile. Le système existe certes depuis plusieurs années, mais c’est Apple qui l’a popularisé avec le capteur d’empreinte digitale intégré à l’iPhone 5S, suivi par d’autres constructeurs de téléphonie mobile. D’autres recherches sont en cours, notamment chez Samsung, avec l’identification de l’utilisateur par l’iris de ses yeux, unique à chaque individu.

Le futur de l’identification

L’authentification ne s’arrêtera pas là, au vu des nombreuses recherches sur le sujet. Regina Dugan, Directrice de l’Advanced Technology and Projects group de Google, a suggéré qu’un tatouage ou une pilule pourrait permettre l’identification d’un utilisateur. Celui-ci n’aurait qu’à toucher un terminal, voire même sa voiture ou sa porte d’entrée, pour le déverrouiller.
Une société issue de l’Université d’Oxford travaille également à la création d’un nouveau système d’authentification. Le système conçu par Oxford BioChronometrics analyse les différents comportements numériques d’un utilisateur lorsqu’il interagit avec un ordinateur ou un terminal mobile : comment il tient le terminal, les gestes réalisés sur son pavé numérique ou avec sa souris, la vitesse de défilement des sites qu’il visite, etc. Le système conjugue l’ensemble de ces données pour créer une « eADN », qui identifie l’individu.

Mot de passe, double authentification, biométrie, eDNA… l’essentiel est de protéger ses données

Si certaines technologies sont déjà commercialisées, il n’en demeure pas moins que le mot de passe est encore largement utilisé. Le particulier doit en créer plusieurs, nécessairement complexes (on parlera de phrase de passe) et éventuellement utiliser un gestionnaire de mot de passe.
Les entreprises, elles, ont tout intérêt à proposer une authentification forte, voire une double authentification, et s’assurer que les informations de leurs clients sont sécurisées, chiffrées et correctement gérées. In fine, il en va de la confiance numérique et du développement de nouveaux services, pour le bien des particuliers et la prospérité de tous.