Les alternatives potentielles aux mots de passe
Il y a deux ans, Matt Honan, journaliste au magazine Wired, a vu toute sa vie digitale effacée. Son identifiant Apple et ses comptes Google, Twitter et Amazon se sont retrouvés en danger en l'espace d'une heure. Le pirate tweetait des remarques désobligeantes à partir de son compte Twitter et a nettoyé son iPhone, iPad et MacBook.
Il y a quelques mois, un utilisateur de Reddit situé au Royaume-Uni s'est réveillé en découvrant qu'un pirate avait volé une bonne somme d'argent en accumulant des dépenses sur son compte PlayStation. En fait, le coupable avait volé tellement d'argent que, ce mois-là, l'auteur s'est trouvé dans l'impossibilité de payer son loyer. Ces deux incidents sont des exemples de ce qui peut arriver lorsque les noms d'utilisateur et mots de passe tombent entre de mauvaises mains.
En avril dernier, des chercheurs ont découvert une des plus grosses vulnérabilités que l'Internet n'ait jamais connues : le bug Heartbleed. Il provient d'une faille critique liée à OpenSSL, un célèbre système de cryptage. La faille peut permettre à des pirates de duper les serveurs OpenSSL et d'accéder aux informations personnelles chiffrées.
Depuis lors, les experts ont mis en garde le public en conseillant de modifier les mots de passe de ses comptes les plus importants. Toutefois, ces évènements soulèvent la question de savoir si oui ou non il existe un avenir aux couples noms utilisateurs/mots de passe traditionnels.
"Le mot de passe prend le même chemin que les dinosaures" - Jonathan Klein, Usher
Le problème du mot de passe
"Je pense que le mot de passe prend le même chemin que les dinosaures", a déclaré Jonathan Klein, président d'Usher, une entreprise qui se concentre sur les solutions d'identités mobiles pour les plateformes d'entreprise. "Je pense qu'il n'y a aucun doute : il s'agit d'un système défectueux et brisé".
D'après Jonathan Klein, il existe deux problèmes basiques avec le mot de passe, le plus évident d'entre eux étant qu'ils ne sont pas très conviviaux. "De deux choses l'une, souligne Jonathan Klein. Soit les utilisateurs oublient leur mot de passe et se retrouvent coincés... ou, ce qui est bien plus dangereux, ils utilisent les célèbres post-it. Et vous seriez surpris, en parcourant une entreprise supposée être hautement sécurisée, du nombre de gens qui écrivent leur nom utilisateur et mot de passe sur un petit post-it."
L'autre problème concerne la nature du système "nom utilisateur et mot de passe". L'envoi d'informations critiques tel que votre mot de passe vers un autre serveur l'expose aux pirates. Dans la plupart des cas, lorsque ce type de données voyage entre serveurs, il est chiffré pour empêcher des "intercepteurs" de le lire. Toutefois, si quelqu'un apprend comment tirer profit d'une grave vulnérabilité telle qu'Hearbleed, il pourrait potentiellement déchiffrer cette information.
"La simple transmission de cette information sensible liée au mot de passe à travers des canaux ouverts signifie qu'elle peut être volée ou hameçonnée", explique Jonathan Klein. "Nous pensons que la solution est carrément l'élimination totale des noms d'utilisateur et mots de passe".
Est-ce qu'un scanner d'empreintes digitales pourrait remplacer le mot de passe ? "Absolument pas"
Les alternatives au mot de passe existaient bien avant Hearbleed, mais aucune d'entre elles n'a vraiment été appliquée à grande échelle. Apple et Samsung ont toutefois tous deux ajouté des scanners d'empreintes digitales biométriques à leurs smartphones phares les plus récents, une technologie utilisée comme un moyen de débloquer son smartphone.
Mais "il se peut que cette technologie ne soit suffisamment sécurisée pour remplacer le mot de passe traditionnel", affirme Nicholas Percoco, vice-président des services stratégiques chez Rapid7, entreprise de sécurité informatique. Lorsqu'on lui demande si la technologie de scan d'empreintes digitales pourrait rendre obsolètes les mots de passe, il répond : "absolument pas".
"La raison principale est que la clé n'est pas forcément secrète, alors qu'un mot de passe devrait l'être", assure Nicholas Percoco. "Regardez vos empreintes digitales : chaque chose que vous avez touchée depuis que vous vous êtes réveillé ce matin possède votre mot de passe. Donc, c'est un problème".
Il est relativement facile de tromper les systèmes de scan d'empreintes digitales
Selon lui, il est relativement facile de tromper ces systèmes. Si un voleur s'empare de votre iPhone 5S protégé par vos empreintes digitales, il pourrait désactiver son écran de verrouillage. En septembre dernier, des pirates allemands ont compris comment contourner le capteur biométrique de l'iPhone 5S seulement deux jours après sa sortie. En Allemagne, des chercheurs ont également trouvé comment tromper le scanner d'empreintes digitales du Galaxy S5 en utilisant le moule d'un doigt enregistré plutôt que l'original.
"Il y a une autre chose, c'est que vous ne pouvez pas changer vos empreintes digitales. Donc, vous n'avez vraiment droit qu'à 10 essais", continue Nicholas Percoco.
La bonne solution
L'authentification multifacteurs est le meilleur moyen de s'assurer que les pirates ne mettent pas la main sur vos informations personnelles. Il vous faut entrer votre mot de passe, et un deuxième mot de passe est envoyé sur votre téléphone sous forme de texto. Plusieurs comptes et services, y compris ceux de Google, proposent aujourd'hui une authentification à deux facteurs. En théorie, un pirate aurait besoin de votre mot de passe et de votre smartphone pour accéder à vos comptes, ce qui est improbable.
Néanmoins, Jonathan Klein et Liam O Murchu, un haut responsable de l'entreprise de sécurité Symantec, ont imaginé une solution pour l'avenir qui pourrait consister à combiner des types variés de vérification technique. Par exemple, Jonathan Klein fait l'éloge du système utilisé par la maison mère d'Usher, MicroStrategy, qui requiert l'utilisation de votre smartphone pour scanner un code QR sur votre écran d'ordinateur pour vous connecter plutôt que d'entrer un nom utilisateur et un mot de passe.
Une identification mobile cryptée serait stockée dans votre téléphone et indiquerait à l'ordinateur que vous avez l'autorisation de vous connecter. Ce type de technologie serait encore plus sécurisée si vous utilisiez un téléphone à authentification biométrique tel que l'iPhone 5S ou le Galaxy S5. "Il n'y a rien à intercepter, rien à voler, rien à se souvenir et c'est parfaitement sécurisé, déclare-t-il. Nous pensons que c'est l'avenir, un mélange de biométrie et de chiffrement sur un smartphone".
L'utilisation de plus d'un type d'authentification pourrait également répondre aux préoccupations auxquelles Nicholas Percoco faisait référence plus haut. Par exemple, si un téléphone ou un compte bancaire requiert à la fois une vérification vocale et un glissement des empreintes digitales, un intrus rencontrera beaucoup plus de difficultés à obtenir vos informations, même s'il a imité vos empreintes digitales.
Pourquoi nous ne l'utilisons pas aujourd'hui ?
Pour Liam O Murchu, la technologie empêchant le vol de notre identité digitale existe déjà, mais elle ne fait pas encore partie de notre vie quotidienne. Cela est largement dû au fait qu'elle n'est tout simplement pas encore assez fiable pour être diffusée à grande échelle.
"Je pense que c'est un marché très nouveau, ajoute-t-il en référence à la sécurité biométrique et la reconnaissance faciale. Il a encore besoin d'être testé. Les deux modèles (l'iPhone 5s et le Galaxy S5) qui sont sortis avec le scanner d'empreintes digitales étaient un vrai coup de poker".
Dans à peu près cinq ans, Liam O Murchu pense que nous verrons des alternatives bien plus fortes aux mots de passe, même si ces derniers continueront à exister. Une technologie identique à la reconnaissance faciale utilisée dans la Xbox One de Microsoft pourrait facilement s'intégrer, dans les prochaines années, à notre smartphone et notre quotidien. "Peut-être que d'ici trois ou cinq ans, nous assisterons à ça : en regardant simplement notre téléphone, il s'ouvrira car il aura reconnu notre visage", signale Liam O Murchu.
D'après Jonathan Klein, il existe deux raisons-clé pour lesquelles les systèmes de biométrie et de scan de QR n'ont pas encore touché le grand public. Comme Liam O Murchu, il avoue que ces types de technologie ont encore besoin d'être perfectionnés. Mais il souligne également que l'adoption du smartphone est maintenant assez répandue à travers le monde pour faire de ce genre de technique de connexion une réalité.
Jonathan Klein indique qu'il y a 2 milliards de smartphones en circulation dans le monde, et que ce chiffre devrait doubler d'ici les trois prochaines années. "Nous pensons que le changement concernant l'identification va rapidement arriver, conclut Jonathan Klein. 2014 est vraiment la première année dans l'histoire où ça pourrait réellement se produire. Les noms d'utilisateur et mots de passe seront certes encore présents pour un moment. Mais nous pensons seulement qu'un changement important va avoir lieu afin de trouver une nouvelle solution, une meilleure solution".
Article de Lisa Eadicicco. Traduction par Sylvie Ségui, JDN
Voir l'article original : Passwords Are A Horrible Way To Keep Us Safe ? Here Are The Potential Alternatives