À l’origine, les mots de passe relativement basiques suffisaient à protéger un compte. Aujourd’hui, si l’on se préoccupe un tant soit peu de la sécurité en informatique, on doit se rendre à l’évidence : des consignes supplémentaires doivent être respectées pour dormir l’esprit tranquille, d’abord en respectant les règles du genre (longueur, complexité, intelligibilité), ensuite en prenant soin de créer un mot de passe différent par site sur lequel on veut s’inscrire.
Ces deux règles représentent le minimum syndical que devraient appliquer tous les internautes. L’histoire a malheureusement montré que ce n’est pas le cas. La grande majorité des utilisateurs ne veut pas s’embêter avec des mots de passe complexes. Dans un monde idéal, il faudrait pourtant employer des phrases secrètes (qui sont en fait des mots de passe bien plus longs que d’ordinaire) et activer, lorsque c’est possible, la validation en deux étapes.
Toutes ces mesures permettent à l’usager de bénéficier d’un bouclier de protection face aux techniques habituellement employées lors d’un piratage (test exhaustif pour trouver le bon mot de passe, tentative de hameçonnage pour essayer de vous voler des données personnelles en vous bernant, etc). Bien sûr, l’usager n’est qu’un maillon de la chaîne de la sécurité en informatique. Le site web sur lequel vous voulez vous connecter en est un autre et il doit aussi faire sa part.
En finir avec le mot de passe
Aux yeux de Google, il est néanmoins temps de passer à autre chose. Voilà en effet plus de trois ans que la firme de Mountain View cherche à se passer des mots de passe au profit d’une technique plus efficace. « Les mots de passe et les jetons d’identification comme les cookies ne sont plus suffisants pour assurer la sécurité des utilisateurs », observaient des représentants de l’entreprise en 2013. Trois ans plus tard, une piste intéressante semble émerger : le score de confiance.
Lors de conférence I/O, Dan Kaufman, le patron du centre de recherches avancées de la firme de Moutain View (ATAP), a dévoilé une alternative consistant à déterminer si un accès peut être accordé en prenant en compte toutes sortes d’indicateurs, qui ne seront pas forcément les mêmes selon le site sur lequel l’usager veut se rendre. En outre, chaque site pourra choisir le score de confiance à partir duquel il autorise l’accès au compte.
Un score de confiance calculé à partir de multiples facteurs
Par exemple, le score de confiance nécessaire pour accéder à l’application d’une banque pourra être plus exigeant que celui requis pour Instagram. Parmi les indicateurs pouvant être utilisés figurent la reconnaissance faciale, le schéma de frappe au clavier ou encore la géolocalisation. « Nous avons tous un téléphone, et celui-ci a tout plein de capteurs à l’intérieur. Pourquoi ne pourrait-il pas savoir qui je suis, de façon à ne plus avoir besoin de mot de passe ? », s’est interrogé Dan Kaufman.
Pour que le concept marche, il faut que le dispositif évaluant le score de confiance fonctionne tourne en tâche de fond, afin de pouvoir être ajusté en permanence, surtout si vous passez votre mobile à un proche pendant quelques instants.
Google n’aura pas de mal à déployer un tel système si celui démontre son efficacité. La firme dispose d’une part de marché d’environ 80 % dans le mobile grâce à Android. À ce sujet, il est prévu de mettre à disposition l’API dédiée aux développeurs d’ici la fin de l’année.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !