Quand un malheureux mot de passe oublié se retourne contre son propriétaire

Selon l'organisme Chainalytics, spécialiste des cryptomonnaies, sur les 18,5 millions de bitcoins existants, environ 20% semblent être dans des portefeuilles dont le mot de passe est perdu.

L'histoire de Stefan Thomas a récemment fait les gros titres : cet Américain détenteur d'une fortune de 220 millions de dollars grâce à un portefeuille de bitcoins dont la valeur s'est envolée avec les années se retrouve dans l'impossibilité de la récupérer à cause d'un mot de passe oublié ! Le système lui autorise 9 essais infructueux, et si la 10ème proposition est toujours erronée, il verrouille le portefeuille et crypte l'ensemble, inutilisable à jamais.

Ce scénario catastrophe, qui semble exceptionnel, ne l’est pas du tout en réalité. Selon l’organisme Chainalytics, spécialiste des cryptomonnaies, sur les 18,5 millions de bitcoins existants, environ 20% (soit une échelle de grandeur de 140 milliards de dollars) semblent être dans des portefeuilles perdus ou bloqués[1].

Le mot de passe devrait-il (enfin) tirer sa révérence ?

Au-delà de ces exemples, la mémorisation des mots de passe et le degré de protection qu’ils offrent réellement sont problématiques. Les études montrent qu’environ 80% des gens ont déjà oublié leur mot de passe et ont dû le réinitialiser.  Une récente étude menée au Royaume-Uni révélait que 38% des répondants devaient se prêter au moins une fois par mois à la réinitialisation de leur mot de passe[2]. Outre l'inconfort que représente cette situation, celle-ci présente un risque pour la cybersécurité et les finances des particuliers comme des entreprises. Des récits toujours plus effrayants voient le jour, liés à la perte de mot de passe, alors même qu'il existe des mécanismes simples et bien plus sûrs pour confirmer l'identité des utilisateurs. 

Les armes des fraudeurs se sont renforcées et diversifiées ces dernières années : de plus en plus d’attaques de phishing sont constatées, visant à récupérer des informations personnelles via e-mail, téléphone ou SMS. Par conséquent, tous les moyens d’authentification basés sur la connaissance d’une information (mots de passe, codes PIN, questions de vérification, etc.) offrent un niveau de sécurité de plus en plus faible, et leur pertinence à l’heure actuelle est sérieusement remise en question. Les fraudeurs réussissent même parfois à acheter en ligne ces informations sur lesquelles s’appuient leurs détenteurs pour se protéger.

Quant aux mots de passe à usage unique envoyés par SMS, ils donnent une fausse impression de sécurité accrue : la pratique de l’échange de carte SIM (ou SIM swapping) s’intensifie chaque année. A titre d’exemple, Robert Ross, investisseur dans la technologie, a perdu près d’un million de dollars d’assurance-vie en moins d’une heure à cause d’un fraudeur qui a réussi à convaincre son interlocuteur du service client de changer son numéro de téléphone au profit d’une nouvelle carte SIM.

La biométrie permet de tirer un trait sur la connaissance d’une information

Pour en revenir à l’exemple de Stefan Thomas, si son portefeuille bitcoin avait été protégé par un élément biométrique, son destin aurait été totalement différent. Il est en effet impossible d’oublier un élément que l’on n’a pas besoin de connaître.  La biométrie s'impose de plus en plus pour son efficacité à renforcer les processus d'authentification. En se servant d'un attribut caractéristique du corps humain (empreintes digitales, empreinte vocale, reconnaissance faciale, etc.), l'intelligence artificielle permet d’automatiser le processus d'authentification et de confirmer l'identité de l'utilisateur, tout en conjuguant les avantages de sécurité et de confort d'utilisation attendus par les clients et les entreprises.

Les algorithmes impliqués dans les solutions à base de biométrie vocale sont à eux seuls capables de scanner plus de 1000 caractéristiques vocales, en quelques secondes uniquement. Autant de facteurs d’identification qui, une fois cumulés, font de la voix d’un individu une signature impossible à copier. A cette finesse d’observation s’ajoute la biométrie comportementale, capable de mesurer les gestes et habitudes les plus anodins (a priori) d’une personne : sa façon de tenir son téléphone, de frapper sur son clavier d’ordinateur ou de smartphone et même sa façon de marquer une pause une fois qu’elle a fini une tâche par exemple. La création d’un profil utilisateur avec empreinte vocale empêche tout vol par "multi-comptes" : si un fraudeur tente d’ouvrir un nouveau compte et d’y enregistrer sa voix (déjà utilisée sous un autre identifiant), l’IA est capable de recouper ces profils correspondant à la même signature vocale, et de bloquer le processus de fraude en cours.

Quoi de plus simple et de plus sécurisé que de s’authentifier au moyen de son corps uniquement ? L’heure est venue pour tous les services clients et tous les acteurs de commerce en ligne de refermer le chapitre anciennement glorieux des mots de passe dans l’histoire de l’informatique, et de proposer à leurs utilisateurs finaux un niveau de protection digne de l’importance qu’ils leur accordent. Puisqu’on ne peut réécrire l’histoire, en attendant, il ne reste plus qu’à souhaiter à Stefan Thomas de retrouver le mot de passe mystérieux qui lui permettra de devenir l’homme riche qu’il est (presque).

[1] Source

[2] Source