Qu’est-ce qui succédera au mot de passe?

On s’en doutait : les mots de passe sont choses du passé. La technologie qui les remplacera n’est tout simplement pas encore généralisée. Ce qui est généralisé pour le moment, c’est la mauvaise utilisation des mots de passe, surtout entre des mains criminelles.

Share this article:

Ainsi, on rapporte que 427 millions de mots de passe provenant du piratage du site MySpace en 2013 viennent d’être mis en vente. De même, 117 millions de combinaisons mot de passe/courriel ont été mises en vente sur le Web invisible en mai, quatre ans après le piratage de LinkedIn.

Ce qui n’arrange rien, c’est que les utilisateurs choisissent souvent des mots de passe très vulnérables qui rendent leurs identifiants faciles à deviner. Et lorsqu’un pirate fait main basse sur le compte d’un abonné de LinkedIn, il a de bonnes chances de déduire le mot de passe qu’utilise cet abonné pour d’autres comptes, parce que bien des gens utilisent toujours le même — notamment Mark Zuckerberg!

Le vol de mot de passe est devenu si fréquent que certains sites Web se consacrent à fournir de l’information à ce sujet. Ainsi HaveIbeenpwned.com, qui recueille et répertorie les adresses de courriel compromises par le piratage de mots de passe, vous permet de faire une recherche sur votre adresse, histoire de voir si vous comptez parmi les victimes. Le site Leakedsource.com offre un service semblable.

Malheureusement, constater après coup qu’on a été victime de piratage ne sert pas à grand-chose. Il serait plutôt temps de changer de système.

Devrait-on alors se tourner vers l’authentification à deux facteurs (A2F)? Mais là aussi, il existe quelques réserves.

L’authentification à deux facteurs — qui revient à associer quelque chose que vous connaissez (un mot de passe ou un NIP) à quelque chose que vous possédez (comme un téléphone intelligent, par exemple) — comporte également des lacunes. Elle est pourtant censée rendre l’authentification plus sûre en empêchant les pirates informatiques d’utiliser des mots de passe volés.

Comment alors DeRay McKesson, l’activiste du mouvement Black Lives Matter, a-t-il pu se faire chiper son compte Twitter alors que son téléphone était doté de l’A2F? Le pirate a tout simplement appelé Verizon en se faisant passer pour lui. Il a ainsi pu changer le numéro de carte SIM associé au compte…

Au vu de ce qui précède, on ne s’étonnera pas que la National Institute of Standards and Technology (NIST) vienne de mettre à jour ses recommandations en matière d’authentification et qu’elle souhaite éliminer les SMS comme mécanisme d’authentification dans ses recommandations futures. La vraie solution est donc à chercher plus loin.

En attendant, l’A2F est encore fort répandue. Nous utilisons toujours des applications qui reposent sur ce principe, comme Google Authenticator. Nous pouvons ainsi nous fier à nos téléphones intelligents sans avoir à utiliser de jetons matériels. D’autres options commencent toutefois à apparaître — certaines étant actuellement testées par les fournisseurs commerciaux, tandis que d’autres sont encore confinées aux laboratoires universitaires.

La biométrie est la solution qui semble s’imposer d’emblée. Apple et Android ont déjà intégré des lecteurs d’empreintes digitales à leurs appareils et Microsoft a fait l’essai de la reconnaissance de l’iris dans ses téléphones Windows, avant de mettre un terme à ses activités de fabrication. Ces technologies fonctionnent bien, mais elles restreignent l’accès à un dispositif donné et laissent en plan les utilisateurs de portables et d’ordinateurs de bureau.

Pour sa part, Google a effectué des tests relativement à un accès sans mot de passe ni SMS, où les utilisateurs doivent saisir leur adresse courriel pour se connecter à leur compte et ensuite répondre à une invite sur leur téléphone. Cela permet au moins d’accéder à un site Web ou à une application logicielle sur une plate-forme autre qu’un téléphone intelligent ou mobile.

Voilà qui semble marquer une étape dans un processus de refonte beaucoup plus large des mécanismes d’authentification de Google. Ainsi, le projet Abacus mise sur une variété de données biométriques et comportementales, comprenant non seulement le lieu de connexion, mais aussi les patrons et la rapidité de frappe, ainsi que la voix et la reconnaissance faciale.

Le système, qui tourne en arrière-plan sur le téléphone, recueille des données en tout temps sur l’utilisateur et s’en sert pour établir un score de confiance. Ce score peut ensuite être évalué par le service auquel on tente d’accéder. Votre compte bancaire en ligne exigera un score de confiance plus élevé que votre compte Pokémon Go, par exemple.

Il s’agit là d’un changement majeur parce ce système adopte une approche probabiliste et non déterministe, reflétant ainsi la vraie nature du risque. Celui-ci ne peut en effet être totalement exclu. Il existe simplement différents degrés de risque et différents niveaux d’acceptabilité.

Au contraire, les mots de passe sont pour leur part fondés sur un modèle binaire « sécurisé/non sécurisé » qui n’a jamais existé dans un environnement d’exploitation réel. Ils ne méritent donc que d’être relégués aux oubliettes, comme les dirigeables gonflés à l’hydrogène et les montres peintes au radium. Les mots de passe sont une technologie du passé.

Mais la question demeure : pourquoi les utilise-t-on encore?

Illustration : Mark Glucki/Wonderlab Media

Share this article:
Comments are closed.