Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Faut-il croire à la mort du mot de passe ?

Faut-il croire à la mort du mot de passe ?
2015-10-012015-10-09bonnes pratiquesfr
Après chaque vacances on entend souvent le même refrain dans les open spaces : « Zut j’ai encore oublié mon mot de passe » ou « que vais-je bien pouvoir choisir cette fois ?… ». On nous annonce régulièrement sa disparition, voici quelques suggestions pour remplacer le bon vieux mot de passe.
Publié le 1 Octobre 2015 par Philippe Macia dans bonnes pratiques
Faut-il croire à la mort du mot de passe ?

Après chaque vacances on entend souvent le même refrain dans les open spaces : « Zut j’ai encore oublié mon mot de passe » ou « que vais-je bien pouvoir choisir cette fois ?… ». On nous annonce régulièrement sa disparition, voici quelques suggestions pour remplacer le bon vieux mot de passe.

L’authentification : deux facteurs se développe oui mais…

Longtemps réservée, en raison de son coût, à des sociétés très concernées par la sécurité de leurs données, l’authentification à deux facteurs (un facteur connu par l’utilisateur, l’autre calculé par un algorithme et fourni à la demande) s’est largement démocratisée ces dernières années. Parmi les utilisateurs, les banques, pour des virements ou le paiement en ligne, mais aussi des sites grand publics comme Gmail. Cette authentification repose sur un code numérique fourni soit par un logiciel ou un accessoire physique (le token), soit via un SMS envoyé à la demande. Ce système d’authentification à deux facteurs, reconnu pour son efficacité, peut présenter quelques inconvénients et n’est pas encore généralisé pour le grand public.

Sans revenir sur le coût d’une telle solution pour le grand public (le volume des SMS peut être important et à un moment ou à un autre quelqu’un doit le payer), l’authentification à deux facteurs peut être perçue comme complexe ou contraignante par l’utilisateur. En entreprise, c’est souvent la lourdeur de gestion des flottes de tokens qui est perçue comme un problème et qui pousse à l’adoption de soft tokens (une application mobile permettant de « simuler » le comportement des token physique).

Le corps comme mot de passe ultime ?

L’idée est simple : pour se connecter vous avez besoin de quelque chose de personnel, comme vos yeux ou vos empreintes digitales. On a cru un moment à cette évolution avec les lecteurs d’empreintes digitales, mais les déboires d’Apple ou plus récemment de Samsung sur le sujet ont laissé des traces. Les différentes techniques développées, comme celles du Chaos Computer Club, montrent dès 2004 qu’il est possible, mais pas forcément aisé, de contourner la sécurité par empreinte digitale sur les équipements grands publics. Que dire alors de la reconnaissance par l’iris ? Même problème que pour l’empreinte digitale dans le cas d’appareils grands publics, il a été il a été démontré qu’une photo de bonne qualité peut tromper assez aisément certains dispositifs.

Ces échecs de la reconnaissance biométrique dans le grand public semblent dus au fait qu’ils ne reposent que sur un seul facteur biométrique. Avec Windows 10, Microsoft vient peut-être de faire un pas en avant dans ce que l’on pourrait appeler « l’authentification biométrique multi facteurs » pour le grand public. Présentée en mars dernier, la fonction de reconnaissance faciale de Windows 10 combine 3 facteurs pour reconnaitre un visage :

  • une analyse d’image,
  • la détection de chaleur,
  • une mesure de profondeur

Cela grâce à une caméra spéciale conçue par Intel. Mais est-ce que cela fonctionne ? Pour tester ce système, le journal The Australian Business Review a convoqué 6 paires de vrais jumeaux (filles et garçons). Dans 2 cas sur 6 l’un des jumeaux a pu se connecter avec le compte de l’autre et dans 1 cas sur 6 aucun des jumeaux n’a pu se connecter. Deux jumelles ont joué avec leur coiffure et leurs lunettes pour tromper le système, mais sans plus. Le résultat est correct mais le système doit donc encore être amélioré.

Enfin, parmi les pistes sérieusement envisagées il existe celle de l’utilisation des battements de cœur comme mot de passe, j’avais déjà évoqué la méthode ici. Je concède que cette méthode d’authentification serait limitée, dans un premier temps, à l’accès à certains équipements médicaux implantés (défibrillateur cardiaque en particulier) mais elle reste intéressante.

Et l’environnement dans tout ça ?

Et si notre environnement servait de facteur d’authentification ? Saugrenu ? Pas pour certains chercheurs qui se sont penchés sur l’utilisation de l’environnement sonore comme facteur d’authentification forte. Comment ça marche ?

La solution, baptisée Sound-Proof, analyse l’ambiance sonore à proximité du PC et celle captée par le téléphone de l’utilisateur. Si les deux ambiances sonores sont identiques, l’utilisateur peut déverrouiller son ordinateur sans aucun mot de passe.

La solution, testée avec des navigateurs implémentant le WebRTC et avec des téléphones Androïd et iOS, fonctionne à l’intérieur comme à l’extérieur mais également si le téléphone est rangé dans une poche ! Le système est séduisant mais rencontre tout de même quelques limitations. Comme il est nécessaire d’avoir son téléphone sur soi pour que la solution fonctionne, il doit donc être secouru par un autre système plus traditionnel si celui-ci est à cours de batterie. Enfin il peut être perturbé par certains systèmes Wi Fi ou peut ne pas fonctionner si l’ambiance sonore est trop calme ! Pour vous authentifier faites du bruit !

Alors le mot de passe est-il mort ?

Non pas vraiment. Même si l’authentification à deux facteurs se développe, il y a encore du chemin à faire pour remplacer les mots de passe par les méthodes alternatives. Mais, si ces méthodes font preuve de robustesse et gagnent en simplicité d’utilisation, elles pourraient remporter un grand succès et se généraliser à l’avenir.

En attendant ce moment je ne peux que vous recommander de protéger correctement vos mots de passe et surtout de ne pas utiliser le même pour tous vos usages.

Philippe

crédit photo : Fotolia @AndreyPopov

3 Commentaires

  • 28 Janvier 2016
    2016-01-28
    par
    Nicolas NOEL
    Bonjour Philippe, Tout d'abord très bon article sur la gestion des mots de passe. En effet, nos usages du mot de passe tels que nous les connaissons vont très certainement évoluer dans les années à venir. Tu n'as pas parlé de la solution MobileConnect/LiveIdentity.
    Il s'agit d'une initiative portée par la GSMA dont Orange et Gemalto sont les principaux contributeurs. Elle est très simple d'utilisation et ne nécessite pas de smartphone. L'utilisateur utilisera son numéro de téléphone pour s'authentifier sur les sites web et recevera une alerte sur son téléphone via une applet préinstallée sur la carte SIM. Il validera l'alerte. Dans les cas nécessitant une authentification plus forte, la validation de l'alerte pourra être complétée par une saisie d'un PIN (pour les applications bancaires par exemple). Ce système est déjà mis en place en Espagne et arrive dans le courant de l'année 2016 en France/Europe.
    Pour plus d'information:
    http://laborange.fr/article/archives-webzine/orange-presente-mobile-connect
    http://www.gsma.com/personaldata/mobile-connect Cordialement,
    Nicolas NOEL
  • 5 Octobre 2015
    2016-01-28
    par

    Bonjour

    Merci de votre commentaire! En effet cette technologie de carte à puce est très intéressante bien qu'encore peu répandue.

    Elle est cependant assez complexe à mettre en oeuvre et en cas d'oubli ou de perte de la carte par l'utilisateur il faut une solution de backup par mot de passe. Mot de passe que souvent l'utilisateur a totalement oublié...

    Cordialement

    Philippe

  • 2 Octobre 2015
    2016-01-28
    par
    QBedeneau
    Bonjour,
    Il faut quand même parlé de l'alternative carte à puce, qui peut cher évite d'avoir un mot de passe à retenir. C'est un comportement de token physique que l'on est seul à détenir qui permet de faire l'authentification et qui est vivement recommandé par l'ANSSI.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage