Un monde sans mot de passe est-il possible?

Notre corps va-t-il se transformer en gigantesque mot de passe ? Microsoft a annoncé ce mardi que son futur système d’exploitation, Windows 10, permettra aux utilisateurs de s’identifier grâce à ses données biométriques. Nom de code : Hello. Les constructeurs de smartphones haut de gamme (iPhone, Samsung, HTC…) avaient déjà franchi le pas (lire ci-dessous).

L’objectif affiché est de réduire l’utilisation des mots de passe, qui peuvent être trop facilement piratés, avec les conséquences potentiellement dramatiques que cela implique pour le portefeuille ou la vie privée de la victime.

« Aujourd’hui, les pirates disposent de calculateurs capables de faire 139 milliards de tests de combinaisons par seconde !, explique Olivier Bogaert, le commissaire de la Computer Crime Unit, l’unité de lutte contre la criminalité informatique de la police fédérale. Évidemment, quand on a des mots de passe complexes, qui mélangent majuscules, minuscules, caractères spéciaux, ponctuation, qui font au minimum 14 caractères, cela va prendre du temps à percer… Mais si on veut une sécurité optimale, qui fait que pour les systèmes qu’on utilise, on est obligé d’avoir un mot de passe différent à chaque fois, on se rend bien compte que les gens ont automatiquement des problèmes de mémoire. Retenir tous ses codes complexes, ce n’est pas possible. Et c’est là qu’a tout son sens la solution consistant à utiliser ou bien l’anthropométrie, ou bien le système de double authentification, en s’appuyant notamment sur l’aspect propre d’un support mobile : smartphone ou puce. »

Les « craquages » de mots de passe et le piratage de comptes prennent des proportions énormes. En août 2014, 1,2 milliard de mots de passe correspondant à 420.000 sites internet avaient été dérobés. En septembre 2014, deux géants de la messagerie en ligne, Yahoo et GMail, reconnaissaient le vol de centaines de milliers d’identifiants de leurs utilisateurs. Avec des conséquences potentiellement graves pour les victimes…

« Scanner le visage, l’iris, c’est excessif »

Jean-Marc Van Gyseghem est avocat et chercheur au centre de recherches « Information, droit et société » de l’université de Namur.

L’authentification biométrique va-t-elle supplanter le bon vieux mot de passe ?

C’est une alternative, légèrement plus forte en termes de sécurité que le mot de passe. Il n’est pas certain qu’elle va le supplanter. Des techniques comme l’utilisation du digipass, qui se basent sur des mots de passe, mais tapés hors réseau, sont très efficaces. Certes, la biométrie a des avantages, car elle se base sur les caractéristiques biologiques des personnes qui, par définition, sont uniques. Mais cette technologie a également des limites.

Lesquelles ?

Pour qu’une application reconnaisse votre iris ou vos doigts, il faut bien stocker cette donnée biométrique quelque part, avec le risque de piratage que cela comporte. Autre écueil : les paramètres biométriques d’un enfant de 12 ans vont évoluer avec sa croissance. Il faudra gérer cela. Par ailleurs, il y a un risque de violence physique pour vous forcer à donner votre empreinte.

Malgré ces limites, les applications se multiplient…

Il y a un effet boule de neige. Dès lors qu’une entreprise annonce une nouveauté, un concurrent va annoncer autre chose. On est dans la surenchère. Mais le grand public aime ces nouveautés parce que c’est très futuriste et qu’il croit que cela va le protéger. Or le hacking est possible. Et la biométrie est très intrusive.

Le gain en termes de sécurité est trop mince ?

Scanner le visage, l’iris, c’est excessif dans un usage quotidien. Il faut se poser la question : les données à protéger sont-elles à la hauteur des moyens employés ? De plus, cela reporte sur l’individu la responsabilité de la sécurité de ses données. Il en a évidemment une, mais la principale repose sur les fournisseurs de services, qui doivent mettre en œuvre tous les moyens pour protéger les données de leurs utilisateurs

Le tatouage, la pilule…

Un tatouage électronique (plus exactement une sorte de patch, l’objet n’étant pas définitivement dans la peau) pourrait bientôt servir à nous identifier ; c’est un projet développé par MC10, une entreprise partenaire de Motorola. Une autre entreprise américaine, nommée Proteus Digital Health, travaille pour sa part sur une pilule à avaler, qui réagit à l’acide de l’estomac en produisant assez d’électricité pour produire un signal qui, via le corps, deviendrait un mot de passe. C’est encore un peu de la science-fiction, sauf que cette pilule a été autorisée par la Federal Drug Administration américaine !

Le scan

Tous ceux qui se sont rendus récemment aux Etats-Unis ont subi un scanner oculaire à l’immigration. De la sorte, plus moyen d’usurper son identité. La technique a également des applications domestiques, dans l’univers numérique. Solution alternative au scan oculaire : le scanner d’empreintes digitales biométriques. L’iPhone a montré la voie ; plusieurs constructeurs, HTC et Samsung en tête, ont suivi le mouvement.

L’authentification multifacteurs

Selon plusieurs spécialistes, il s’agit du meilleur moyen de s’assurer que les pirates ne mettent pas la main sur nos informations personnelles. Le principe est simple : on entre son mot de passe, et un deuxième mot de passe est envoyé par SMS : sur GSM ou sur un modèle bas de gamme, utilisé à cette seule fin, avec une carte prépayée, afin de ne pas divulguer son numéro principal. Plusieurs comptes et services (Google, certaines banques…) procèdent déjà de la sorte. En théorie, un pirate aurait besoin de votre mot de passe et de votre smartphone pour accéder à vos comptes…

Sur le même sujet
PolitiqueÉtats-Unis