Publié par Julien L., le Samedi 19 Janvier 2013

Google cherche à se passer des mots de passe

Le mot de passe ne protège plus aussi bien qu'avant. C'est l'avis de Eric Grosse, vice-président de Google en charge des sujets de sécurité informatique, et Mayak Upadhyay, ingénieur. Les deux hommes travaillent à l'élaboration d'un nouveau protocole de sécurité, qui s'ajouterait à la protection du mot de passe, voire le remplacerait.

Le mot de passe a-t-il un avenir en informatique ? Seul, il paraît de moins en moins apte à fournir une protection suffisante pour l'internaute, même si ce dernier en choisit un qui respecte scrupuleusement les règles du genre (longueur, complexité, intelligibilité). Mais si le mot de passe n'est plus viable, par quoi le remplacer ? C'est une question qui occupe depuis quelques temps Google.

La double authentification

Le géant de la recherche en ligne a d'abord mis en place la double authentification. En plus du mot de passe, l'usager doit renseigner un code de sécurité de quelques chiffres, généré aléatoirement et qui demeure valide pendant quelques secondes. Si le code est rentré trop tard, il faudra en taper un nouveau. Et là encore, le code ne marchera que pendant un temps très court.

L'outil permet de s'assurer que la personne qui cherche à accéder au compte est bien celle qui en est le titulaire, même si son mot de passe est compromis. En effet, une deuxième protection est en place et ne peut être contournée que si le smartphone de la victime est aussi compromis ou si le SMS contenant le code de sécurité est intercepté à temps.

Avec la double authentification, le piratage d'un compte Google devient particulièrement difficile car l'assaillant doit réunir deux informations, dont l'une a une durée de vie très courte. Plusieurs sociétés proposent la double authentification pour sécuriser l'accès à leurs services. C'est le cas par exemple de Dropbox, Blizzard (World of Warcraft, Diablo 3, Starcraft 2) ou d'ArenaNet (Guild Wars 2).

S'authentifier via un objet tiers

La double authentification n'est peut-être pas parfaite (le mobile contenant l'application générant les codes de sécurité peut être volé, une fois le mot de passe dérobé), mais il réduit le risque et sécurisé beaucoup mieux un compte qu'un mot de passe seul. Mais cela ne semble pas suffire à à Eric Grosse, vice-président du groupe chargé des sujets de sécurité informatique, et Mayak Upadhyay, ingénieur.

Dans un futur article qui sera publié dans le journal spécialisé IEEE Security & Privacy, mais dont Wired a pu en consulter le contenu, les deux hommes considèrent que "les mots de passe et les jetons d'identification comme les cookies ne sont plus suffisants pour assurer la sécurité des utilisateurs". Ce sentiment serait partagé par beaucoup d'informaticiens, ajoutent les deux spécialistes.

Plutôt que de s'en remettre aux mots de passe, aussi solides soient-ils, les deux ingénieurs souhaitent mettre à profit les dispositifs nomades pour s'authentifier. Qu'il s'agisse d'un smartphone, d'une petite carte à puce cryptée ou d'une bague qui intégrerait elle aussi une puce, l'idée serait de s'en servir comme d'une clé de voiture. Il suffirait alors de brancher l'objet via un port USB par exemple.

En cas de vol ou de perte ?

L'idée est séduisante mais soulève quelques interrogations : si l'authentification se déroule via un dispositif externe, que se passe-t-il si celui-ci est perdu ? Il faut qu'une procédure existe pour signaler la perte du terminal, de la bague ou de la carte afin de verrouiller l'accès. Pour l'heure, les deux hommes travaillent à l'élaboration du protocole : mais ce cas de figure devra absolument être pris en compte.

Ces dispositifs remplaceront-ils vraiment le mot de passe ? Ce n'est peut-être pas ainsi que le problème doit être posé. Ces nouvelles protections sont vraisemblablement plus intéressantes en les associant à d'autres mécanismes de sécurité, comme la double authentification. La clé USB Yubico s'inscrit dans cette logique, en se substituant à l'une des deux étapes de la double authentification.

La reconnaissance par la biométrie est également un terrain sur lequel beaucoup d'entreprises se sont déjà engagées. En prenant les empreintes digitales, en effectuant la reconnaissance du visage ou en procédant à l'analyse de l'iris, ce ne sont pas les techniques qui manquent. Mais celles-ci soulèvent des problématiques de bioéthique et de protection de l'identité très compliquées.

Publié par Julien L., le 19 Janvier 2013 à 16h37
 
15
Commentaires à propos de «Google cherche à se passer des mots de passe»
Inscrit le 06/06/2012
74 messages publiés
La double authentification n'est peut-être pas parfaite (le mobile contenant l'application générant les codes de sécurité peut être volé, une fois le mot de passe dérobé


Plutôt que de s'en remettre aux mots de passe, aussi solides soient-ils, les deux ingénieurs souhaitent mettre à profit les dispositifs nomades pour s'authentifier. Qu'il s'agisse d'un smartphone, d'une petite carte à puce cryptée ou d'une bague qui intégrerait elle aussi une puce, l'idée serait de s'en servir comme d'une clé de voiture. Il suffirait alors de brancher l'objet via un port USB par exemple.


Logique infaillible.
Inscrit le 03/10/2011
6958 messages publiés
On peut aussi avoir des clés RSA SerurID comme pour les VPN. De toutes les façons, la sécurité absolue n'existe pas.
Pour voler une voiture maintenant, il y a le homejacking. Et pour les empreintes digitales, le sécateur fonctionne bien.
Après, il faut voir quels sont les données à protéger, avant de mettre en place un système qui va faire chier tout le monde.
En ce qui concerne les téléphones, le problème, c'est qu'on sait depuis longtemps qu'ils ne sont pas sécurisés, qu'on peut savoir ce qu'il y a sur un téléphone qui se trouve à 1000km, et qu'on sait que des chevaux de Troie peuvent être installés sur des smartphones, cette voie semble de plus en plus compromise.
Moi, j'utilise une fonction simple, à chaque essai de connexion sur un compte, je met un sleep qui double à chaque essai, au bout de 8 essais, il faut déjà attendre 4 minutes avant de ressayer, ta brute force, tu peux la ranger.
Inscrit le 13/08/2010
8778 messages publiés
Laisse tomber le sécateur... en fonction de la techno, il est parfaitement inutile.
Après, le pb de Gogole, ça va être les moyens techniques et financiers à mettre en œuvre, pour l'inernaute. Les solutions existent dans le monde pro. Mais sont-elles adaptées à l'internaute, ceux qu'on nomme les "Michus" ?

Image IPB
Inscrit le 06/11/2010
8 messages publiés
le secateur ne fonctionne pas ,car les capteurs biometriques regardent l'afflux sanguin. J'ai déja essayé
Inscrit le 11/08/2010
251 messages publiés
L'empreinte veineuse est une technologie assez récente, les capteurs biométriques regarde l'empreinte digitale
Inscrit le 19/01/2013
12 messages publiés
Les Mythbusters aussi...

http://www.myvideo.d...ingerprint_Lock

Ca dépend certainement de la serrure.

EDIT : ce message est une réponse à yoyoz. Désolé NeoBurner.
[message édité par SyntheM le 19/01/2013 à 18:02 ]
Inscrit le 06/11/2010
8 messages publiés
ah, oui effectivement,contourner la protection avec juste une photocopie, c 'est plus que navrant...
Inscrit le 13/08/2010
8778 messages publiés
Tout ça dépend de la techno, encore une fois.
Les capteurs optiques ne réagissent pas comme les capacitifs, qui eux-mêmes ne réagissent pas comme ceux d'autres technos...
Pour le veineux, ça vaut pas tripette : pas fiables dans le temps (les veines, pas le capteur)... trop sujettes à variations.
Inscrit le 03/09/2012
1316 messages publiés
Donc la bonne vielle méthode du flingue sur la tempe est toujours d'actualité !
Inscrit le 19/10/2009
6491 messages publiés
Ou comment récupérer les numéros de téléphone des ' googles ' ( avec jeu de mot )
Inscrit le 05/06/2009
586 messages publiés
Un système d'identification unique sous la dépendance de Google ? Ca ne gêne personne ça ?
Outre la sécurité qui, à mon avis, fonctionne tout aussi bien avec un mot de passe, cela permettra surtout à Google de connaître toutes nos séances d'identification sur Internet même si cela ne les concerne pas le moins du monde.
VADE RETRO SATANAS !
Inscrit le 27/10/2008
738 messages publiés
"Un [...] article [...] dont Wired a pu en consulter le contenu".

Cela vous dérangerait beaucoup d'écrire en bon français ?
Inscrit le 27/10/2008
738 messages publiés
Sur le fond, cette préoccupation de Google reste stupide, à croire que ces gens-là veulent faire notre bonheur malgré nous. Des bolcheviks ?

C'est à l'utilisateur de prendre ses précautions s'il veut protéger ses données et sa vie privée. Imaginez que les marchands de serrures décident de vous obliger à poser sur votre porte une serrure de sécurité...
Inscrit le 11/03/2009
1720 messages publiés
Et bien moi j'en ai ras le cul de voir Youtube essayer de m'imposer de mettre mon vrai nom à chaque fois que je poste un commentaire !!!
Inscrit le 06/11/2012
612 messages publiés
En gros, il veulent réinventer la carte à puce ? Par contre, il faudrait un vrai standard pour ce genre de "device" ainsi n'importe qui pourrait proposer de telle
carte.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Janvier 2013
 
Lu Ma Me Je Ve Sa Di
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
4 5 6 7 8 9 10