Sésame ouvre – toi !
Administration, banque, e-commerce, réseaux sociaux, messagerie, intranet et outils professionnels : nombreuses sont les activités de la vie quotidienne qui passent dorénavant par internet. La plupart de ces espaces privatifs contiennent des informations confidentielles, convoitées par les hackers. Le site Have I been pwned répertorie ainsi plus de 2 milliards de comptes piratés depuis sa création. Or aujourd’hui la plupart de ces données sensibles sont protégées par des mots de passe qui sont devenus le véritable sésame de notre sécurité en ligne.
Vous étés plutôt 123456 ou h&P!lr@Mp1/225 ?
Un internaute gère aujourd’hui une multitude de comptes en ligne, ce qui le pousse souvent à utiliser des mots de passe identiques : les statistiques montrent que 50% des internautes utilisent le même mot de passe pour tous leurs comptes. Par ailleurs, les utilisateurs ont tendance à surestimer la force de leur mot de passe et à choisir des mots du quotidien, facile à deviner : histoires personnelles (date de mariage, naissance, nom du chat, film préféré…) ou des suites d’une grande simplicité.
Chaque année, les sociétés spécialisées dans la sécurité informatique se lancent dans une compilation des différentes fuites de données publiées pour établir un classement des pires mots de passe utilisés par les internautes. En 2016, Keeper Security a publié la liste et les résultats font peur. Sur un panel de 10 millions de mots de passe récupérés, « 123456 » représente 17% et maintient ainsi sa position de leader. Le top 25 des pires mots de passe consultables ici représente 50% de ce panel d’analyse. Ces chiffres démontrent que le public n’est pas totalement sensibilisé à l’impact que peut avoir le mot de passe sur la sécurité de ses données.
Aujourd’hui, chercher le moyen de mettre en sûreté nos informations est un enjeu majeur de la cyber sécurité mondiale. Nous passons notre temps à entrer des mots de passe, du matin au soir. Or, comme on le constate, ce n’est pas un outil de sécurité maximal.
Alors quelles sont les alternatives d’authentification possibles tout en conciliant sécurité et ergonomie ?
Une première approche consiste à simplifier la gestion de mot de passe par l’intermédiaire d’un coffre fort numérique comme l’américain LastPass ou le français Dashlane.
Dans le même ordre d’idée, on voit aussi apparaître des solutions dites de fédération d’identité qui permettent d’utiliser le même compte pour se connecter à différentes plateformes. Par exemple, Facebook, Linkedin ou encore Google proposent ce type de service pour simplifier la création de comptes sur des sites partenaires.
Le « One Time Password » est une solution de double authentification qui allie sécurité et ergonomie tout en s’adaptant aux usages mobiles. L’OTP consiste à coupler l’utilisation du mot de passe à un second facteur par l’envoi d’un code à usage unique par SMS, notification push ou via une application spécifique comme Google Authenticator. Cette solution est aujourd’hui couramment utilisée par les services financiers (banques, Paypal…), voir certains réseaux sociaux (Twitter, Facebook, Linkedin …) et même des plateformes comme Google ou Amazon. Pour la mise en œuvre de cette solution voir ici.
La biométrie est également une des approches explorées par un grand nombre de start-ups et géants du web. Elle se matérialise sous différentes formes et technologies, leur point commun étant d’utiliser une caractéristique unique du corps humain pour identifier l’utilisateur.
- L’empreinte digitale est la solution la plus connue grâce au Touch ID de l’Iphone. Cependant, cette technologie reste vulnérable à certaines attaques comme le démontre le hacker Jan Krissler lors de la Conférence annuelle du CCC (Chaos Computer Club).
- La start-up américaine Eyeverify, rachetée en 2016 par Alibaba, propose un logiciel d’authentification basé sur l’analyse des caractéristiques de l’œil à travers la camera des smartphones. Cette application est aujourd’hui opérationnelle auprès d’une douzaine d’établissements financiers.
- Le réseau veineux est une technique assez éprouvée, notamment au Japon. Différents industriels ont mis au point des solutions de ce type : Fujitsu, Hitachi, Samsung ou encore le français Morpho. Le principe consiste à reconnaître les caractéristiques du réseau veineux (par exemple celui de la main) qui est propre à chaque individu pour procéder à des paiements ou s’authentifier sur une plateforme.
- L’authentification par la voix est aussi une solution envisagée. Elle est testée en France par la Banque Postale à travers la solution Talk to pay développée par PW Consultants. Cette technologie repose sur une empreinte vocale qui est propre à chaque individu et donc utilisable pour l’authentifier.
- Apple a récemment déposé un brevet pour une technologie permettant d’utiliser le rythme cardiaque, comme moyen d’authentification d’une personne. La société canadienne Nymi commercialise d’ores et déjà ce type de technologie à travers un bracelet connecté.
- Plusieurs sociétés : Mastercard, Amazon ou Alibaba réfléchissent aujourd’hui au déploiement de solutions basées sur la reconnaissance faciale. Amazon vient de déposer un brevet pour identifier ses clients à travers un selfie et Mastercard expérimente le paiement en ligne à travers le même procédé.
- Le géant de l’informatique NEC Corporation prévoit de lancer en 2018 une technologie biométrique basée sur la reconnaissance du conduit auditif. Elle consiste à envoyer un son dans l’oreille et capter le signal renvoyé par celle-ci pour identifier la personne. Pour l’instant ce procédé n’est pas encore mis en œuvre de façon industrielle, mais d’autres acteurs du web semblent intéressés par ce type de technologie : Yahoo et Amazon ont également déposé un brevet similaire.
Et si le mot de passe c’était vous ?
Aucune de ces solutions ne peut être considérée complètement infaillible et certaines souffrent de limites en matière d’ergonomie ou de sécurité. La solution est peut-être dans la combinaison de différents facteurs d’authentification comme cherche à le démontrer la start-up UnifyID. Celle-ci annonce avoir mis au point un algorithme qui combine les données biométriques (comme par exemple le rythme cardiaque) et comportementales (la façon dont on marche, dont on tape sur le clavier…) afin d’authentifier une personne. Le fondateur de l’entreprise parle « d’authentification implicite”.
Dans la même logique, Google travaille également sur la mise au point « d’un score de confiance » qui combinerait plusieurs paramètres comme la reconnaissance vocale et faciale et des données comportementales (la façon de taper sur le clavier, les lieux de connexion via la géolocalisation).
Malgré ces alternatives, il n’existe pas aujourd’hui de solution miracle pour remplacer totalement le mot de passe tout en garantissant une sécurité maximale. De plus, ces technologies ne sont pas sans poser d’autres questions dans le domaine de la vie privée et de l’utilisation des données biométriques par les sociétés qui les collecteraient. Dans ce contexte, le mot de passe semble être encore là pour durer et l’utilisation d’un coffre-fort numérique, des solutions d’authentification multiple ou encore la fédération d’identité restent les options les plus accessibles. Tout dépend de notre propre sensibilité au risque et des choix que nous souhaitons faire pour nous protéger en conciliant facilité d’usage et sécurité.
Source :
Sujet très intéressant et très bien documenté.
Quel casse-tête les mots de passe! Merci pour cet état des lieux.
J’avoue avoir une préférence pour le One Time Password, en attendant une option biométrique, et même si je trouve à « choupinette » beaucoup de charme:)
Mille mercis ! Très utile pour éventuellement revoir sa copie et opter pour l’une ou l’autre pistes préconisées ici… Vivement l’arrivée de La technologie qui offrira à nos mots de passe un futur plus rassurant !
Bravo Oana pour cet article riche. J’ai appris plein de choses autour de ce sujet qui nous concerne tous
Effectivement un monde entièrement « sécurisé » n’existe pas, beaucoup de solutions sont malgré tout possibles et d’ores et déjà utilisées. Bravo Oana pour ton article très complet !
Bon article de vulgarisation sur un sujet pas simple!
Bravo pour cet article riche… et j’adore l’humour de la vidéo !
Bravo ! A quand le prochain article ?
Bel article merci! c’est interessant de voir comment évolue la sécurité des données sur le web 🙂
Article très intéressant aux explications bien détaillées, sur un sujet qui nous concerne tous: à l’ère où le numérique est notre quotidien.
Password , 8eme mot de passe le plus utilisé au monde! incroyable! Il y a effectivement quelque chose à trouver pour renforcer la sécurité, sans doute en commençant par sensibiliser le public aux choix à faire ou à ne pas faire….
Password , 8eme mot de passe le plus utilisé au monde! incroyable! Il y a effectivement quelque chose à trouver pour renforcer la sécurité, sans doute en commençant par sensibiliser le public aux choix à faire ou à ne pas faire….
Article intéressant et instructif.
Bravo pour la clarté des explications!
Intéressant à lire! Merci
Eduquer la securité de l internaut… un bon business a prendre !
Merci oana, je serai vigilant !
merci pour cet éclairage
Est-ce que les « cloud » password managers comme Dashlane/LastPass sont vraiment des solutions sécures? https://www.theguardian.com/technology/2017/mar/30/lastpass-warns-users-to-exercise-caution-while-it-fixes-major-vulnerability
Très intéressant et très informatif. Je rêve d’un monde où je ne devrais plus créer dix mille mots de passes et passer toute une matinée à les récupérer. Merci pour ce très bon article.