Internet: Vers la fin des mots de passe?

WEB Des comptes Sony piratés l'an dernier, des milliers d'identifiants LinkedIn, Yahoo! ou encore Dropbox retrouvés dans la nature récemment... Les mots de passe ne suffisent plus pour protéger efficacement nos informations privées aujourd'hui...

Anaëlle Grondin

— 

Un homme pianote sur un clavier d'ordinateur.

Un homme pianote sur un clavier d'ordinateur. — VALINCO/SIPA

Les vols d’identifiants et de mots de passe ne sont plus si rares que cela sur Internet. Il suffit de passer en revue la rubrique high tech sur ces deux dernières années pour s’en rendre compte.  Et malheureusement, ce type de problèmes est amené à se multiplier. Il y aura toujours des plateformes qui ne seront pas assez sécurisées pour protéger vos identifiants. Les experts en sécurité informatique ont du fil à retordre. Devenu une source d’exaspération pour les utilisateurs (non seulement il faut trouver des mots de passe complexes et différents pour chaque site, mais en changer régulièrement), le mot de passe n’est plus suffisant aujourd’hui.

Pour toutes ces raisons, Bill Gates avait annoncé sa mort… en 2004. Forbes semble être du même avis. Dans un billet paru ce week-end, le magazine américain estime que le futur de l'authentification sur Internet passera par la biométrie (reconnaissance facile, empreintes, rétine). Cela peut-être une solution, mais les mots de passe ne disparaîtront pas aussi vite que cela. Gwendal Le Grand, chef du service d’expertise informatique de la Commission nationale de l’informatique et des libertés (Cnil), interrogé par 20 Minutes, estime que «le mot de passe n’est pas obsolète». Pour lui, la solution serait dans un premier temps de «vous demander un deuxième secret» en complément. Une alternative déjà mise en place par certains sites comme Google. 20 Minutes fait un tour d’horizon des outils qui pourraient se développer dans les années à venir pour mieux s’authentifier sur le Net. 

  • Le mobile

L’an dernier, Google s’est lancé dans la double authentification. L’entreprise vous envoie un code à six chiffres par une application smartphone ou un SMS avec un mot de passe supplémentaire pour pouvoir vous connecter à votre compte Google depuis un PC ou une tablette tactile. L’application génère un nouveau mot de passe toutes les trente secondes. Cela signifie que vous devez toujours avoir votre smartphone sur vous quand vous voulez accéder à Gmail. Même si cela est contraignant et peut-être considéré comme une perte de temps, vos données sont bien mieux protégées. Cependant, peu de personnes ont envie d’être obligées de s’identifier en deux temps pour se connecter. C’est l’une des raisons pour lesquelles ce système n’est pas encore répandu sur la Toile. Eric Filiol, chercheur spécialisé en sécurité informatique et directeur du centre de recherche de l’ESIEA, a expliqué à 20 Minutes: «Si on met des authentifications plus fortes, les gens vont être perdus.» 

La Bred s’apprête également à proposer le téléphone mobile comme alternative pour consulter ses comptes en ligne. La banque l’a annoncé à ses abonnés via un message privé: «Vous découvrirez d'ici quelques jours un nouvel espace d'accès permettant de s'authentifier, au choix avec : vos identifiant / mot de passe bred.fr, un e-code généré sur votre smartphone (…) Avec le e-code, vous générez pour chaque authentification un code unique (dit «non rejouable») sur votre smartphone».

  • Une clé

La Bred proposera également une troisième alternative dans quelques temps,  «la clé USB Ipab». La banque explique: «Avec la clé USB Ipab, vous insérez le support clé et tapez votre code PIN. Une fois connecté avec Ipab, plus besoin de vous ré-authentifier pour effectuer vos opérations sécurisées bred.fr (virements externes, gestion des RIB bénéficiaires, ...).»  Mais ce système pourrait paraître trop complexe (et cher?) aux internautes.

  • Un code visuel

C’est ce que Google a mis en place avec Android, par exemple. Pour déverrouiller l’écran d’un smartphone qui fonctionne avec ce système d’exploitation, il est possible de dessiner un schéma du bout du doigt sur l’écran. Petit bémol: il suffit que quelqu’un voit le schéma que vous avez choisi et le reproduise à l’écran pour déverrouiller votre smartphone. De son côté, Microsoft a introduit le «picture password» sur Windows 8. Ce «mot de passe image» (expliqué ici par Microsoft) vous demande de reproduire sur l’écran une séquence de mouvements secrets sur une photographie choisie.  Ça peut être des lignes, des cercles, des carrés, etc. Il y a trois fois plus de combinaisons avec quatre mouvements qu’avec un mot de passe complexe de 8 caractères, précise Clubic.

  • Une phrase récitée à haute voix

Certaines banques américaines utilisent déjà des logiciels capables de reconnaître votre voix, en plus du simple PIN classique demandé, indique le New York Times. Cela pourrait se généraliser.

  • La biométrie

La reconnaissance faciale est également envisagée. La dernière version du système d’exploitation de Google, «Ice Cream Sandwich» est capable de déverrouiller un téléphone lorsqu’il reconnaît le visage de son possesseur, grâce à la caméra. Mais ce système n’est pas au point: il suffit de montrer une photo de cette personne au smartphone pour qu’il l’identifie et se déverrouille. Dans le même ordre d’idées, on pourrait voir émerger l’authentification par empreinte digitale ou scan de la rétine.

  • Un geste

Le New York Times rapportait en décembre dernier que des chercheurs en informatique de l’Institut polytechnique de Brooklyn ont modifié leurs iPad afin qu’ils puissent les reconnaître grâce au toucher, lorsqu’ils caressent l’écran tactile de leurs doigts.

  • Votre façon de taper

La Darpa, agence pour les projets de recherche avancée de défense (qui fait partie du département de la Défense aux Etats-Unis), travaille sur un projet qui vous permettrait de vous passer d’un mot de passe. Elle est en train de développer un logiciel qui parvient à déterminer si vous êtes bien l’utilisateur d’un compte simplement en analysant votre manière de taper sur le clavier. Richard Guidorizzi, responsable à la Darpa, a expliqué au New York Times en mars dernier: «Ce que j’aimerais, c’est vivre dans un monde où vous vous asseyez devant votre ordinateur, vous vous identifiez et vous commencez immédiatement à travailler. L’authentification se ferait en arrière plan pendant que vous travaillez.» La Darpa aimerait également se diriger vers un système qui pourrait authentifier un utilisateur à tout moment, pour éviter que quelqu’un s’approprie une session déjà ouverte.

Charles C. Tappert, professeur d’informatique à l’Université Pace dans l’Etat de New York, a également mené des recherches sur ce type d’authentification. Il a pu vérifier, avec 99,5% de réussite, l’identité de ses étudiants alors qu’ils tapaient leurs réponses à des examens en ligne.