Sésame ouvre – toi !

Administration, banque, e-commerce, réseaux sociaux, messagerie, intranet et outils professionnels : nombreuses sont les activités de la vie quotidienne qui passent dorénavant par internet. La plupart de ces espaces privatifs contiennent des informations confidentielles, convoitées par les hackers. Le site Have I been pwned répertorie ainsi plus de 2 milliards de comptes piratés depuis sa création. Or aujourd’hui la plupart de ces données sensibles sont protégées par des mots de passe qui sont devenus le véritable sésame de notre sécurité en ligne.

Vous étés plutôt 123456 ou h&P!lr@Mp1/225 ?

Mot de passe

Un internaute gère aujourd’hui une multitude de comptes en ligne, ce qui le pousse souvent à utiliser des mots de passe identiques : les statistiques montrent que 50% des internautes utilisent le même mot de passe pour tous leurs comptes. Par ailleurs, les utilisateurs ont tendance à surestimer la force de leur mot de passe et à choisir des mots du quotidien, facile à deviner : histoires personnelles (date de mariage, naissance, nom du chat, film préféré…) ou des suites d’une grande simplicité.

Chaque année, les sociétés spécialisées dans la sécurité informatique se lancent dans une compilation des différentes fuites de données publiées pour établir un classement des pires mots de passe utilisés par les internautes. En 2016, Keeper Security a publié la liste et les résultats font peur. Sur un panel de 10 millions de mots de passe récupérés, « 123456 » représente 17% et maintient ainsi sa position de leader. Le top 25 des pires mots de passe consultables ici représente 50% de ce panel d’analyse. Ces chiffres démontrent que le public n’est pas totalement sensibilisé à l’impact que peut avoir le mot de passe sur la sécurité de ses données.

Aujourd’hui, chercher le moyen de mettre en sûreté nos informations est un enjeu majeur de la cyber sécurité mondiale. Nous passons notre temps à entrer des mots de passe, du matin au soir. Or, comme on le constate, ce n’est pas un outil de sécurité maximal.

Alors quelles sont les alternatives d’authentification possibles tout en conciliant sécurité et ergonomie ?

Une première approche consiste à simplifier la gestion de mot de passe  par l’intermédiaire d’un coffre fort numérique comme l’américain LastPass ou le français Dashlane.

Dans le même ordre d’idée, on voit aussi apparaître des solutions dites de fédération d’identité qui permettent d’utiliser le même compte pour se connecter à différentes plateformes. Par exemple, Facebook, Linkedin ou encore Google proposent ce type de service pour simplifier la création de comptes sur des sites partenaires.

Le « One Time Password » est une  solution de double authentification qui allie sécurité et ergonomie tout en s’adaptant aux usages mobiles. L’OTP consiste à coupler l’utilisation du mot de passe à un second facteur par l’envoi d’un code à usage unique par SMS, notification push ou via une application spécifique comme Google Authenticator. Cette solution est aujourd’hui couramment utilisée par les services financiers (banques, Paypal…), voir certains réseaux sociaux (Twitter, Facebook, Linkedin …) et même des plateformes comme Google ou Amazon. Pour la mise en œuvre de cette solution voir ici.

La biométrie est également une des approches explorées par un grand nombre de start-ups et géants du web. Elle se matérialise sous différentes formes et technologies, leur point commun étant d’utiliser une caractéristique unique du corps humain pour identifier l’utilisateur.

  • L’empreinte digitale est la solution la plus connue grâce au Touch ID de l’Iphone. Cependant, cette technologie reste vulnérable à certaines attaques comme le démontre le hacker Jan Krissler lors de la Conférence annuelle du CCC (Chaos Computer Club).
  • La start-up américaine Eyeverify, rachetée en 2016 par Alibaba, propose un logiciel d’authentification basé sur l’analyse des caractéristiques de l’œil à travers la camera des smartphones. Cette application est aujourd’hui opérationnelle auprès d’une douzaine d’établissements financiers.
  • Le réseau veineux est une technique assez éprouvée, notamment au Japon. Différents industriels ont mis au point des solutions de ce type : Fujitsu, Hitachi, Samsung ou encore le français Morpho. Le principe consiste à reconnaître les caractéristiques du réseau veineux (par exemple celui de la main) qui est propre à chaque individu pour procéder à des paiements ou s’authentifier sur une plateforme.
  • L’authentification par la voix est aussi une solution envisagée. Elle est testée en France par la Banque Postale à travers la solution Talk to pay développée par PW Consultants. Cette technologie repose sur une empreinte vocale qui est propre à chaque individu et donc utilisable pour l’authentifier.
  • Apple a récemment déposé un brevet pour une technologie permettant d’utiliser le rythme cardiaque, comme moyen d’authentification d’une personne. La société canadienne Nymi commercialise d’ores et déjà ce type de technologie à travers un bracelet connecté.
  • Plusieurs sociétés : Mastercard, Amazon ou Alibaba réfléchissent aujourd’hui au déploiement de solutions basées sur la reconnaissance faciale. Amazon vient de déposer un brevet pour identifier ses clients à travers un selfie et Mastercard expérimente le paiement en ligne à travers le même procédé.

  • Le géant de l’informatique NEC Corporation prévoit de lancer en 2018 une technologie biométrique basée sur la reconnaissance du conduit auditif. Elle consiste à envoyer un son dans l’oreille et capter le signal renvoyé par celle-ci pour identifier la personne. Pour l’instant ce procédé n’est pas encore mis en œuvre de façon industrielle, mais d’autres acteurs du web semblent intéressés par ce type de technologie : Yahoo et Amazon ont également déposé un brevet similaire.

Et si le mot de passe c’était vous ?

Aucune de ces solutions ne peut être considérée complètement infaillible et certaines souffrent de limites en matière d’ergonomie ou de sécurité. La solution est peut-être dans la combinaison de différents facteurs d’authentification comme cherche à le démontrer la start-up UnifyID. Celle-ci annonce avoir mis au point un algorithme qui combine les données biométriques (comme par exemple le rythme cardiaque) et comportementales (la façon dont on marche, dont on tape sur le clavier…) afin d’authentifier une personne. Le fondateur de l’entreprise parle « d’authentification implicite”.

Dans la même logique, Google travaille également sur la mise au point « d’un score de confiance » qui combinerait plusieurs paramètres comme la reconnaissance vocale et faciale et des données comportementales (la façon de taper sur le clavier, les lieux de connexion via la géolocalisation).

Malgré ces alternatives, il n’existe pas aujourd’hui de solution miracle pour remplacer totalement le mot de passe tout en garantissant une sécurité maximale. De plus, ces technologies ne sont pas sans poser d’autres questions dans le domaine de la vie privée et de l’utilisation des données biométriques par les sociétés qui les collecteraient. Dans ce contexte, le mot de passe semble être encore là pour durer et l’utilisation d’un coffre-fort numérique, des solutions d’authentification multiple ou encore la fédération d’identité restent les options les plus accessibles. Tout dépend de notre propre sensibilité au risque et des choix que nous souhaitons faire pour nous protéger en conciliant facilité d’usage et sécurité.

Source :  

http://www.lesechos.fr/week-end/business-story/liste/0211679144734-6-mots-de-passe-du-futur-2056933.php
https://www.franceculture.fr/emissions/la-vie-numerique/le-mot-de-passe-est-mort-vive-le-mot-de-passe
http://www.linformatique.org/battements-du-coeur-deverrouiller-apple-watch.html
http://www.huffingtonpost.com/2014/12/30/hack-phone-fingerprint-photographs_n_6395730.html
 https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/