Le mot de passe ne protège plus aussi bien qu'avant. C'est l'avis de Eric Grosse, vice-président de Google en charge des sujets de sécurité informatique, et Mayak Upadhyay, ingénieur. Les deux hommes travaillent à l'élaboration d'un nouveau protocole de sécurité, qui s'ajouterait à la protection du mot de passe, voire le remplacerait.

Le mot de passe a-t-il un avenir en informatique ? Seul, il paraît de moins en moins apte à fournir une protection suffisante pour l'internaute, même si ce dernier en choisit un qui respecte scrupuleusement les règles du genre (longueur, complexité, intelligibilité). Mais si le mot de passe n'est plus viable, par quoi le remplacer ? C'est une question qui occupe depuis quelques temps Google.

La double authentification

Le géant de la recherche en ligne a d'abord mis en place la double authentification. En plus du mot de passe, l'usager doit renseigner un code de sécurité de quelques chiffres, généré aléatoirement et qui demeure valide pendant quelques secondes. Si le code est rentré trop tard, il faudra en taper un nouveau. Et là encore, le code ne marchera que pendant un temps très court.

L'outil permet de s'assurer que la personne qui cherche à accéder au compte est bien celle qui en est le titulaire, même si son mot de passe est compromis. En effet, une deuxième protection est en place et ne peut être contournée que si le smartphone de la victime est aussi compromis ou si le SMS contenant le code de sécurité est intercepté à temps.

Avec la double authentification, le piratage d'un compte Google devient particulièrement difficile car l'assaillant doit réunir deux informations, dont l'une a une durée de vie très courte. Plusieurs sociétés proposent la double authentification pour sécuriser l'accès à leurs services. C'est le cas par exemple de Dropbox, Blizzard (World of Warcraft, Diablo 3, Starcraft 2) ou d'ArenaNet (Guild Wars 2).

S'authentifier via un objet tiers

La double authentification n'est peut-être pas parfaite (le mobile contenant l'application générant les codes de sécurité peut être volé, une fois le mot de passe dérobé), mais il réduit le risque et sécurisé beaucoup mieux un compte qu'un mot de passe seul. Mais cela ne semble pas suffire à à Eric Grosse, vice-président du groupe chargé des sujets de sécurité informatique, et Mayak Upadhyay, ingénieur.

Dans un futur article qui sera publié dans le journal spécialisé IEEE Security & Privacy, mais dont Wired a pu en consulter le contenu, les deux hommes considèrent que "les mots de passe et les jetons d'identification comme les cookies ne sont plus suffisants pour assurer la sécurité des utilisateurs". Ce sentiment serait partagé par beaucoup d'informaticiens, ajoutent les deux spécialistes.

Plutôt que de s'en remettre aux mots de passe, aussi solides soient-ils, les deux ingénieurs souhaitent mettre à profit les dispositifs nomades pour s'authentifier. Qu'il s'agisse d'un smartphone, d'une petite carte à puce cryptée ou d'une bague qui intégrerait elle aussi une puce, l'idée serait de s'en servir comme d'une clé de voiture. Il suffirait alors de brancher l'objet via un port USB par exemple.

En cas de vol ou de perte ?

L'idée est séduisante mais soulève quelques interrogations : si l'authentification se déroule via un dispositif externe, que se passe-t-il si celui-ci est perdu ? Il faut qu'une procédure existe pour signaler la perte du terminal, de la bague ou de la carte afin de verrouiller l'accès. Pour l'heure, les deux hommes travaillent à l'élaboration du protocole : mais ce cas de figure devra absolument être pris en compte.

Ces dispositifs remplaceront-ils vraiment le mot de passe ? Ce n'est peut-être pas ainsi que le problème doit être posé. Ces nouvelles protections sont vraisemblablement plus intéressantes en les associant à d'autres mécanismes de sécurité, comme la double authentification. La clé USB Yubico s'inscrit dans cette logique, en se substituant à l'une des deux étapes de la double authentification.

La reconnaissance par la biométrie est également un terrain sur lequel beaucoup d'entreprises se sont déjà engagées. En prenant les empreintes digitales, en effectuant la reconnaissance du visage ou en procédant à l'analyse de l'iris, ce ne sont pas les techniques qui manquent. Mais celles-ci soulèvent des problématiques de bioéthique et de protection de l'identité très compliquées.

Partager sur les réseaux sociaux

Articles liés