au sommaire
Avec l'avènement des services en ligne, les internautes ont appris à jongler avec les mots de passe censés sécuriser l'accès à leurs comptes personnels. Adresses de messagerie électronique, réseaux sociaux, services bancaires ou administratifs, santé, stockage en ligne de données personnelles, etc. Autant de services qui nécessitent la création d'un mot de passe.
Pas évident de mémoriser autant d'informations, surtout si l'on a la prudence d'utiliser un mot de passe différent pour chaque service. Chez GoogleGoogle, des chercheurs en sécurité travaillent sur une alternative qui pourrait simplifier la vie des usagers et qui reprend le principe des dongles. L'idée consiste à remplacer les mots de passe par un accessoire servant de clé pour déverrouiller l'accès à tous les comptes personnels depuis n'importe quel ordinateur. Sans ce sésame, pas de connexion possible.
Les mots de passe sont devenus une denrée de choix pour les pirates informatiques qui multiplient les attaques contre les serveurs des sites et dérobent les données personnelles des membres. Autre acte de délinquance virtuelle observé : de vastes campagnes de phishing. On garde en mémoire l'attaque menée en 2011 contre le PlayStation Network de Sony, où plusieurs millions de comptes d'utilisateurs avaient été exposés. Vendredi 1er février 2013, Twitter reconnaissait aussi avoir été victime d'une attaque malveillante au cours de laquelle 250.000 comptes auraient pu être compromis. À la suite de ce piratage, tous les mots de passe des comptes potentiellement menacés ont été réinitialisés par le site de microblogging.
Le modèle de microcarte USB YubiKey Nano à partir de laquelle les experts en sécurité de Google ont conçu leur système d’authentification qui, espèrent-ils, pourrait remplacer l’usage des mots de passe pour se connecter aux services en ligne. © Yubico
Un compte, un mot de passe
En théorie, une règle de sécurité élémentaire veut que l'on définisse un mot de passe unique, long et fort (mêlant chiffres et lettres, majuscules et minuscules) pour chaque service, afin d'éviter une catastrophe numériquenumérique si un pirate parvenait à s'en emparer. Il faut néanmoins reconnaître que cette contrainte est pesante lorsque l'on se connecte tous les jours à plusieurs services pour lesquels il faut mémoriser des mots de passe longs et complexes. La solution de facilité consiste à utiliser le même mot de passe pour plusieurs comptes. Un réflexe compréhensible mais risqué, au vu de ce qui peut arriver en cas de piratage.
« Les mots de passe et les identifiants tels que les cookiescookies ne sont plus suffisants pour protéger les utilisateurs », écrivent Eric Grosse (vice-président du service de sécurité chez Google) et Mayank Upadhyay (ingénieur) dans leur document de recherche publié par le magazine IEEE Security & Privacy. Ils testent actuellement une solution qui repose sur une microcarte à puce cryptographique au format USBUSB (de la marque Yubico)) qui, une fois introduite dans un ordinateur, connecte automatiquement l'utilisateur à son compte Google. Il n'y a pas d'applicationapplication à installer au préalable sur la machine, seul le navigateurnavigateur InternetInternet (Google Chrome, en l'occurrence) a été modifié pour reconnaître la carte. Cette dernière fonctionne comme la clé de contact d'une voiturevoiture. Lorsqu'elle est insérée dans le PCPC, elle ouvre l'accès à tous les services en ligne qui ont été enregistrés. Et lorsqu'on la retire, les connexions aux divers comptes sont coupées. Finis les mots de passe à mémoriser et les données d'identification type cookies stockés dans l'ordinateur.
Un anneau pour les connecter tous
Les experts de Google veulent aller plus loin en utilisant une connexion sans fil type NFC (near field communication, ou communication en champ prochecommunication en champ proche) afin de rendre le système encore plus transparenttransparent pour l'usager. « Nous aimerions que votre smartphone ou une bague intégrant une carte à pucecarte à puce vous permette de simplement toucher un PC pour déverrouiller l'accès, y compris dans des situations où votre mobile ne capte pas le réseau cellulaire », expliquent les chercheurs qui ne s'avancent pas quant au délai de concrétisation d'une telle idée. Intéressant sur le papier, ce concept soulève tout de même quelques questions.
Que faire en cas de perte ou de vol de l'outil de connexion (carte USB, smartphone, bague, etc.) ? Peut-être faudra-t-il doubler le système avec une technologie d'identification biométrique afin de s'assurer que l'utilisateur soit bien le propriétaire ? Ou plus certainement recourir à un seul mot de passe fortmot de passe fort qu'il faudra renseigner au moment où l'on utilise la clé. Autre obstacle : pour s'imposer, il faut que cette technologie soit adoptée par l'ensemble des éditeurs de navigateurs Internet et une majorité de sites Web. Google dit avoir développé un protocoleprotocole à cet effet qui ne nécessite aucun logiciellogiciel spécifique et permet à un site tiers d'accepter l'authentificationauthentification via une clé matérielle. La confidentialitéconfidentialité des utilisateurs est respectée car le système empêche les sites Web de les localiser.
Selon Yubico, ce protocole dont on ignore le nom repose sur des standards open sourceopen source et a été pensé pour être intégré à différents matériels (carte SIMcarte SIM, bague électronique, clé cryptographique, etc.). Quelle que soit leur forme, ces clés s'achèteraient dans le commerce, comme les cartes prépayées. « La clé ne serait pas délivrée, contrôlée ou hébergée par un gouvernement ou un fournisseur de services », précise le partenaire de Google. L'objectif pour le géant américain est de mener des tests avec le plus grand nombre de sites afin de démontrer la validité du système. Les chercheurs de Google n'en font pas un mystère, seule une adoption à grande échelle imposera cette innovation.