Une boîte de dés connectés peut-elle rendre vos mots de passe (presque) infaillibles ?
Jeter des dés pour décider de votre mot de passe le plus important.
Avec un de ces logiciels, l'utilisateur n'a plus qu'un seul mot de passe, dit « maître », à retenir. Long et complexe, il permet d'accéder au coffre-fort des mots de passe générés, et donc à l'intégralité de vos services et applications. C'est ce mot de passe que Stuart Schechter veut aider à créer et à retenir.
Un mot de passe immensément complexe, mais facile à retrouver
Il a donc lancé, en « version alpha », une boîte de 25 dés baptisée DiceKeys, repérée par Wired. Sur chacune des 6 faces de ces dés sont inscrits une lettre et un chiffre différents. Pour déterminer un mot de passe robuste, Stuart jette les dés dans une boîte en plastique, les positionne à plat, puis referme la boîte : il verrouille ainsi les dés dans un carré de 5 par 5.
Ensuite, il utilise l'app dédiée sur son smartphone pour lire les codes inscrits sur chaque face de ces dés. Le logiciel prend en compte les symboles des dés, mais aussi leur position dans le carré et leur orientation, afin de générer un mot de passe maître unique.
Avec ce système, Stuart Schechter avance qu'il existe plus de 2^196 combinaisons possibles à chaque lancer. Un nombre si gigantesque que le scientifique le compare à plusieurs milliers de fois le nombre d'atomes dans le système solaire. Plus concrètement, cela signifie qu'en l'état actuel de l'informatique, même le plus puissant des ordinateurs ne pourrait identifier toutes les combinaisons possibles existantes en un temps raisonnable. Autrement dit, le mot de passe sera mathématiquement impossible à deviner, d'autant plus qu'il ne suivra aucune construction logique.
Ce n'est pas le seul avantage du système. Puisque le mot de passe est figé dans la boîte en plastique, l'utilisateur peut le scanner à chaque fois qu'il en a besoin. La structure en plastique, relativement durable dans le temps, se substitue ainsi à l'écriture du mot de passe maître dans un carnet. Il est en effet conseillé de garder ce genre d'identifiant central dans un lieu sécurisé, hors ligne. Mais cette pratique idéale se confronte aux frictions de la réalité. Par exemple, l’utilisateur peut facilement oublier dans quel carnet ou sur quel post-it est écrit l'identifiant, ou encore il peut mal protéger le support, qui se dégraderait avec le temps. La structure de DiceKeys a pour objectif d'éviter ce genre de scénario catastrophe. Mieux, d'après Wired, le chercheur envisage un modèle en acier capable de résister aux incendies.
25 dollars le mot de passe
Pour autant, DiceKeys n'est pas parfait : une boîte coûte pour l'instant 25 dollars en précommande et n'est utilisable en pratique qu'une seule fois, pour un seul mot de passe.
Ensuite, la transcription de la boîte en mot de passe s'appuie sur une application, pour l'instant hébergée en ligne sur dicekeys.app. Même si le chercheur affirme qu'aucune donnée ne quitte l'appareil de l'utilisateur, ce passage en ligne expose à certaines attaques, notamment contre les serveurs de l'entreprise. En revanche, l'app ne conserve aucune donnée : ni le mot de passe ni la clé qui sert à scanner le dé. Les pirates intéressés par ces données devraient donc s'en prendre aux communications puisqu'il ne devrait pas y avoir de base de données.
D'ici la livraison des précommandes en janvier 2021, Stuart Schechter espère acheter des versions iOS et Android de l'app, qui traiteraient tout en local. Dans tous les cas, l'app sera open source, de sorte que n'importe qui pourra vérifier son code, et donc ses mécanismes de fonctionnement. Le scientifique espère qu'une communauté pourra se créer autour du système, et contribuer à son développement.
Le public cible de DiceKeys est pour l'instant restreint à un petit nombre d'utilisateurs les plus éduqués aux questions de sécurité. Mais le chercheur a l'ambition d'en faire un outil destiné à populariser l'usage de gestionnaire de mots de passe. Un petit pas de plus pour la sécurité globale des utilisateurs d'Internet.