11 septembre 2013

Par quoi remplacer les mots de passe ?

« A l’occasion d’une conférence organisée par TechCrunch, Google a fait une nouvelle fois état de son aversion, en termes de sécurité, à l’égard du mot de passe. Plus tôt cette année, le géant déclarait vouloir faire disparaître celui-ci. » nous dit ZDNet. Ils disent également que la personne de Google a donné de bonnes raisons d’abandonner les mots de passe mais n’a pas indiqué ce par quoi ils seraient remplacés.

C’est un sujet récurent mais je me demande si ces braves gens de Google ne racontent pas des bêtises pour se faire un peu de publicité.

Il n’y a pas trente six solutions pour remplacer les mots de passe : des dispositifs électroniques chez l’utilisateur, des « SMS » et la biométrie. Faisons le point avant l’aller au bistro.

Dispositifs électroniques

Ils peuvent prendre différentes formes, une carte à puce, un dispositif sans contact, des tokens,… On parle même de tatouage sur la peau (c'est-à-dire de « greffer » une puce sans contact sous la peau).

Vous ne savez pas ce que sont des tokens ? Ce sont des petits boitiers où s’affiche un numéro (propre à chaque utilisateur) qui change périodiquement. Seul le serveur distant connaît l’algorithme qui permet de calculer ce chiffre et donc vérifier que le type qui le saisit sur un clavier a bien le token à côté de lui.

On ne peut pas avoir un dispositif matériel pour chacun des services qu’on utilise. J’ai un token pour les serveurs du bureau, je n’en veux pas plus. On ne peut pas utiliser un service central pour l’authentification : il prendrait trop de poids dans la vie économique.

En outre, les inconvénients en cas de perte seraient catastrophiques.

Des « SMS »

Je mets bien des guillemets autour de SMS, on peut imaginer autre chose… Toujours est-il que ça revient un peu à mon token ci-dessus. Le serveur distant envoie un code par SMS. Si l’utilisateur le saisit, le serveur a donc la confirmation que c’est bien le possesseur du téléphone qui le fait.

La solution me plait bien mais elle est probablement trop lourde pour une utilisation au quotidien. Les pertes de téléphone ou pannes de batteries,… deviendraient pénalisante et il deviendrait presque impossible de changer de numéro de téléphone.

La biométrie

On sait ce que c’est ! Les empreintes digitales, l’iris et tout ça. Il y a même des systèmes très perfectionnés qui peuvent par exemple vérifier la position des doigts sur les claviers…

Il n’empêche qu’il y a nécessairement un dispositif électronique qui lit votre « empreinte » et qui la traduit dans un signal électronique (vous savez, les suites de 0 et de 1). Quel que soit le système, le signal peut être imité, piraté… à moins de mettre des dispositifs matériels hors de prix. Et encore…

Qu’est-ce qu’on fait une fois que votre iris est piraté ? Un code confidentiel piraté, ça se change…

Enfin, on verrait des abrutis qui arracheraient les yeux, les doigts, les couilles pour essayer de pirater un truc.

La double authentification

C’est un peu ce que propose Google. Je n’ai jamais utilisé leur truc mais ils permettent de cumuler le mot de passe et le « SMS », si ma mémoire est bonne.

D'ailleurs, la saisie du mot de passe est nécessaire en plus des autres machins, en cas de vol... 

C’est peut-être la voie du futur !

Il n'empêche que l'idée de remplacer un mot de passe par un machin qui nécessite un mot de passe pour le protéger est assez drôle.

4 commentaires:

  1. C'est super intéressant tout ça, mais c'est quoi en réalité leurs bonnes raisons de vouloir la fin du mot de passe ?

    RépondreSupprimer
    Réponses
    1. Bonne question. J'ai un vague élément de réponse : au bureau, on en a tellement qu'on est obligés de les noter. Comme ses cons exigent des changements fréquents, ça devient impossible de se rappeler. Du coup, j'en arrive à mélanger les mots de passe très sensibles avec les autres.

      Par contre, ils mélangent les problématiques des acteurs, notamment entre les particuliers et les entreprises. Et même au sein de chaque catégorie.

      Par exemple, au bureau, on a les serveurs de production, ultra sensibles, les serveurs bureautiques (sensibles mais beaucoup moins, et les conneries comme le machin pour gérer les congés ou les notes de frais.

      Les petites boîtes (la cible de Google) n'ont pas les moyens de gérer sérieusement des identifications centralisées.

      Supprimer
  2. Et pour les malade d’Alzheimer, ils ont prévu un systême Cloud pour stocker les passwords

    RépondreSupprimer

La modération des commentaires s'active automatiquement deux jours après la publication des billets (pour me permettre de tout suivre). N'hésitez pas à commenter pour autant !