Faut-il croire à la mort du mot de passe ?

Après chaque vacances on entend souvent le même refrain dans les open spaces : « Zut j’ai encore oublié mon mot de passe » ou « que vais-je bien pouvoir choisir cette fois ?… ». On nous annonce régulièrement sa disparition, voici quelques suggestions pour remplacer le bon vieux mot de passe.

L’authentification : deux facteurs se développe oui mais…

Longtemps réservée, en raison de son coût, à des sociétés très concernées par la sécurité de leurs données, l’authentification à deux facteurs (un facteur connu par l’utilisateur, l’autre calculé par un algorithme et fourni à la demande) s’est largement démocratisée ces dernières années. Parmi les utilisateurs, les banques, pour des virements ou le paiement en ligne, mais aussi des sites grand publics comme Gmail. Cette authentification repose sur un code numérique fourni soit par un logiciel ou un accessoire physique (le token), soit via un SMS envoyé à la demande. Ce système d’authentification à deux facteurs, reconnu pour son efficacité, peut présenter quelques inconvénients et n’est pas encore généralisé pour le grand public.

Sans revenir sur le coût d’une telle solution pour le grand public (le volume des SMS peut être important et à un moment ou à un autre quelqu’un doit le payer), l’authentification à deux facteurs peut être perçue comme complexe ou contraignante par l’utilisateur. En entreprise, c’est souvent la lourdeur de gestion des flottes de tokens qui est perçue comme un problème et qui pousse à l’adoption de soft tokens (une application mobile permettant de « simuler » le comportement des token physique).

Le corps comme mot de passe ultime ?

L’idée est simple : pour se connecter vous avez besoin de quelque chose de personnel, comme vos yeux ou vos empreintes digitales. On a cru un moment à cette évolution avec les lecteurs d’empreintes digitales, mais les déboires d’Apple ou plus récemment de Samsung sur le sujet ont laissé des traces. Les différentes techniques développées, comme celles du Chaos Computer Club, montrent dès 2004 qu’il est possible, mais pas forcément aisé, de contourner la sécurité par empreinte digitale sur les équipements grands publics. Que dire alors de la reconnaissance par l’iris ? Même problème que pour l’empreinte digitale dans le cas d’appareils grands publics, il a été il a été démontré qu’une photo de bonne qualité peut tromper assez aisément certains dispositifs.

Ces échecs de la reconnaissance biométrique dans le grand public semblent dus au fait qu’ils ne reposent que sur un seul facteur biométrique. Avec Windows 10, Microsoft vient peut-être de faire un pas en avant dans ce que l’on pourrait appeler « l’authentification biométrique multi facteurs » pour le grand public. Présentée en mars dernier, la fonction de reconnaissance faciale de Windows 10 combine 3 facteurs pour reconnaitre un visage :

  • une analyse d’image,
  • la détection de chaleur,
  • une mesure de profondeur

Cela grâce à une caméra spéciale conçue par Intel. Mais est-ce que cela fonctionne ? Pour tester ce système, le journal The Australian Business Review a convoqué 6 paires de vrais jumeaux (filles et garçons). Dans 2 cas sur 6 l’un des jumeaux a pu se connecter avec le compte de l’autre et dans 1 cas sur 6 aucun des jumeaux n’a pu se connecter. Deux jumelles ont joué avec leur coiffure et leurs lunettes pour tromper le système, mais sans plus. Le résultat est correct mais le système doit donc encore être amélioré.

Enfin, parmi les pistes sérieusement envisagées il existe celle de l’utilisation des battements de cœur comme mot de passe, j’avais déjà évoqué la méthode ici. Je concède que cette méthode d’authentification serait limitée, dans un premier temps, à l’accès à certains équipements médicaux implantés (défibrillateur cardiaque en particulier) mais elle reste intéressante.

Et l’environnement dans tout ça ?

Et si notre environnement servait de facteur d’authentification ? Saugrenu ? Pas pour certains chercheurs qui se sont penchés sur l’utilisation de l’environnement sonore comme facteur d’authentification forte. Comment ça marche ?

La solution, baptisée Sound-Proof, analyse l’ambiance sonore à proximité du PC et celle captée par le téléphone de l’utilisateur. Si les deux ambiances sonores sont identiques, l’utilisateur peut déverrouiller son ordinateur sans aucun mot de passe.

La solution, testée avec des navigateurs implémentant le WebRTC et avec des téléphones Androïd et iOS, fonctionne à l’intérieur comme à l’extérieur mais également si le téléphone est rangé dans une poche ! Le système est séduisant mais rencontre tout de même quelques limitations. Comme il est nécessaire d’avoir son téléphone sur soi pour que la solution fonctionne, il doit donc être secouru par un autre système plus traditionnel si celui-ci est à cours de batterie. Enfin il peut être perturbé par certains systèmes Wi Fi ou peut ne pas fonctionner si l’ambiance sonore est trop calme ! Pour vous authentifier faites du bruit !

Alors le mot de passe est-il mort ?

Non pas vraiment. Même si l’authentification à deux facteurs se développe, il y a encore du chemin à faire pour remplacer les mots de passe par les méthodes alternatives. Mais, si ces méthodes font preuve de robustesse et gagnent en simplicité d’utilisation, elles pourraient remporter un grand succès et se généraliser à l’avenir.

En attendant ce moment je ne peux que vous recommander de protéger correctement vos mots de passe et surtout de ne pas utiliser le même pour tous vos usages.

Philippe

crédit photo : Fotolia @AndreyPopov

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.