HIGH-TECH

Comment se passer du mot de passe

Sciences et AvenirArnaud Devillard
La technique du score de confiance, promise par Google pour 2017, consiste à associer différents critères en plus du mot de passe pour davantage de sécurité. Ainsi des données biométriques -- voix, reconnaissance faciale, iris, empreintes digitales -- sont « mixées » avec des données techniques -- géolocalisation, réseau utilisé, manière de frapper les touches.
ALE + ALE POUR SCIENCES ET AVENIR
Trop nombreux et difficiles à mémoriser, les mots de passe ne garantissent plus la sécurité des données. Des alternatives automatisées sont à l'étude.
Boîte e-mail, commerce électronique, services de banque, d'assurance et de mutuelle à distance, administration en ligne, réseaux sociaux... Ce sont 10, 20, bientôt près de 200 mots de passe que chacun d'entre nous doit créer et mémoriser pour accéder à ses espaces personnels sur Internet ! Avec comme recommandation de suivre toute une liste de bonnes pratiques pour les imaginer (lire l'encadré ci-contre) sous peine de risquer le piratage de ses données par des « hackers » utilisant des programmes spécialisés. Or ces efforts seraient en fait contreproductifs à en croire une étude publiée en septembre 2016 par des chercheurs américains du National Institute of Standards and Technology. Car respecter les conseils de sécurité, souvent fastidieux, engendrerait à la longue une « security fatigue » (lassitude des procédures de sécurité) chez les utilisateurs. Avec pour conséquence de les pousser à revenir à des formulations élémentaires et très risquées, par exemple le mot de passe « 123456 », devenu le plus utilisé dans le monde.
184 mots de passe à retenir en moyenne d'ici à 2020 pour un internaute français (source : gestionnaire de mots de passe Dashlane).
D'où l'urgence pour les professionnels et chercheurs à trouver des alternatives, en promettant, comme le fait Google pour 2017, des solutions automatisées censées être infalsifiables (voir l'illustration ci-dessus).
La dangerosité des techniques de biométrie
En premier lieu avec la biométrie. Quoi de plus personnel, a priori, et de plus difficile à copier qu'une caractéristique physique ? Le coréen Samsung a ainsi intégré dans sa tablette Galaxy Note 7 une technologie d'identification par l'iris mise au point par le Stanford Research Institute (ÉtatsUnis) qui consiste à scanner l'oeil de l'utilisateur et à comparer cette image avec celle préalablement enregistrée. Le japonais Fujitsu a présenté une option similaire pour ses smartphones en 2015. Quant au géant américain Apple, il permet depuis 2013 le déverrouillage de ses iPhone et le paiement sur mobile par les empreintes digitales : il suffit d'appliquer son doigt sur un capteur tactile pour enregistrer l'empreinte et s'en servir ensuite comme « clé ». Une option de reconnaissance faciale fonctionne même pour les ordinateurs sous Windows 10. Elle nécessite une Webcam RealSense 3D qui filme le visage en trois dimensions. Mais ces techniques montrent désormais leurs limites (lire l'encadré p. 77). « Elles sont plus dangereuses qu'autre chose, quelle que soit la biométrie utilisée, assure ainsi Cyril Nalpas, consultant en cybersécurité au cabinet de conseil CEIS. En effet, si des hackers parviennent à s'en emparer [ces informations étant stockées sur des serveurs], on ne peut pas changer ses données biométriques comme on modifie un mot de passe. » Sur ce sujet, la Cnil (Commis sion nationale de l'informatique et des libertés) a longtemps fait une différence entre les données biométriques « à trace » comme les empreintes digitales -- qui peuvent facilement être collectées et réutilisées par des tiers -- et les données « sans trace », comme le réseau veineux de la main, censées être sûres. Or, en septembre 2016, une communication officielle a mis fin à cette doctrine : « Le perfectionnement des outils de captation accessibles à bas coût, permettant de collecter les images du visage, de la voix et même du réseau veineux, a conduit la Cnil à constater que désormais, toutes les biométries doivent être considérées comme laissant des traces sur le passage des personnes. » Dont acte.
Les règles de base pour éviter les piratages les plus courants
Choisir un mot de passe unique pour chaque service. Le renouveler régulièrement (tous les 3 mois pour les comptes les plus sensibles). Combiner lettres, chiffres, capitales, minuscules, ponctuation et caractères spéciaux pour éviter que les robots ne les trouvent trop facilement.
Pour une meilleure mémorisation, utiliser la phonétique comme ght8CD%E7am pour « J'ai acheté huit CD pour 100 euros cet après-midi », ou se servir des premières lettres d'une formule comme 1tvmQ2tl'A pour « Un tien vaut mieux que deux tu l'auras ». Ne pas utiliser d'informations personnelles que les logiciels pirates testeront automatiquement (nom, date de naissance...). Ne pas sous-traiter leur création par un tiers ou un générateur automatique. Ne pas stocker ses mots de passe sur ordinateur ou dans un e-mail.
Ne jamais cocher les cases « Se souvenir de moi » ou « Restez connecté » qui s'affichent lors d'une connexion à un espace privé.
ONDES
L'identification par le crâne
Une connexion sur des lunettes type Google Glass peut être sécurisée par conduction osseuse. Un son est émis par le haut-parleur au contact avec le crâne. En transitant dans les os crâniens, le signal subit une altération qui produit une nouvelle fréquence audio, propre à l'individu. Celle-ci passe dans le micro et sert de signature pour ouvrir une application. C'est le projet SkullConduct des universités de Stuttgart, de la Sarre et du Max Planck Institut (Allemagne).
Une association de plusieurs critères
Depuis l'été 2016, Google explore une autre piste appelée « score de confiance » promise pour 2017 et fonctionnant pour les appareils mobiles sous Android : combiner des critères biométriques (iris, voix, empreintes...) aux données techniques (géolocalisation, réseau utilisé...) et comportementales de l'utilisateur (vitesse de frappe sur le clavier). Lors de chaque connexion, ce « mix », propre à chacun, serait soumis à une évaluation déterminant si la personne de l'autre côté de l'écran est bien celle autorisée. Sans quoi les services deviendraient inaccessibles (voir l'illustration pp. 74-75). La sécurité, ici, ne réside pas dans le caractère personnel d'une donnée mais dans l'association de plusieurs critères et dans leur pondération effectuée par les outils de calculs de Google. Une approche bien plus difficile à contourner pour des pirates.
Les facteurs comportementaux intéressent également la société hongroise Balabit qui a élaboré un système appliqué à l'accès aux outils professionnels en entreprise. Si les mots de passe classiques sont toujours de mise pour connecter l'ordinateur à un serveur, certains d'entre eux sont communs à un groupe d'utilisateurs privilégiés exploitant, par exemple, des comptes partagés. Pour vérifier que celui qui l'utilise est bien autorisé à le faire, chaque connexion déclenche un enregistrement de toutes ses actions : touches utilisées, vitesse de frappe, nombre de doigts utilisés, déplacements de la souris, localisation et horaires de la connexion... « Une intelligence artificielle crée une "empreinte comportementale" à partir de ces critères et peut la comparer constamment, explique Yves Mimeran, responsable France de Balabit. En outre, cette empreinte est comparée à celles de toutes les autres personnes autorisées sur ce compte partagé. Cela permet d'ajouter des couches de profondeur à l'analyse, en établissant des schémas de comportement propres à une société ou à un groupe. » L'empreinte échappe ainsi à la simple addition de critères : l'intelligence artificielle en calcule l'interprétation et étudie les interactions. En cas de piratage, de connexion à des horaires atypiques ou de fin d'autorisation -- pour cause de départ ou de changement de poste --, l'accès est aussitôt interdit.
LE + NUMÉRIQUE La Poste veut sécuriser les paiements en ligne par la voix : sciav.fr/839poste Une empreinte numérique propre à chaque utilisateur
Une autre « signature » peut également être exploitée. Celle liée aux usages informatiques, la plupart des utilisateurs d'ordinateurs personnalisant leur appareil pour un meilleur confort : choix du navigateur, taille de la police, systèmes d'exploitation, langue de travail... Tous ces éléments peuvent être aussi collectés pour composer automatiquement une « empreinte numérique » (« browser fingerprinting ») propre à chacun. Au point que cette technique peut participer au « traçage » des internautes à des fins marketing comme le font déjà certains sites ainsi que l'ont découvert en 2014 des chercheurs de l'Université catholique de Louvain (Belgique) et de Princeton (États-Unis). « Cela fonctionne aussi très bien pour renforcer un mot de passe parce qu'une telle empreinte est unique et stable dans le temps ; on ne change pas son navigateur toutes les semaines », explique Benoît Baudry, chercheur en analyse logicielle à Inria. Des sites de banques s'en servent déjà mais aussi Facebook ou Twitter. C'est ce qui permet à ces derniers de détecter un changement a priori anormal (dans les horaires de connexion, dans les fuseaux horaires, dans l'environnement informatique...) et d'envoyer aussitôt un e-mail à l'internaute pour lui signaler cette connexion hors norme.
D'autres pistes -- plus expérimentales encore -- sont en cours d'exploration. Motorola a ainsi présenté en 2014 -- lorsqu'il était encore propriété de Google avant de passer sous le contrôle du chinois Lenovo -- un projet de... « pilule d'authentification ». L'idée ? Que l'utilisateur avale un émetteur dépourvu de batterie ! L'énergie proviendrait des acides contenus dans l'estomac fonctionnant comme électrolyte. Ainsi alimentée, la pilule enverrait à travers tout le corps un signal à 18 bits faisant office d'identifiant/mot de passe, actif pendant à peu près une journée. Pour l'heure, le projet semble bloqué dans les cartons. Mais Motorola en a lancé un autre, tout aussi original : un tatouage électronique en matériau souple à coller sur la peau, doté de microcapteurs et d'une antenne NFC pour communiquer avec des appareils mobiles. Conçu par la société californienne VivaLnk pour des usages médicaux, ce patch utilise les signes vitaux (pulsation cardiaque, température du corps, rythme respiratoire) pour débloquer un smartphone Moto X. Valable 5 jours, le « tatouage » était vendu par paquet de 10 aux États-Unis.
GOTCHA, le test de Rorschach au service de la sécurité
Ces figures symétriques sont produites aléatoirement par le système GOTCHA après création d'un mot de passe. L'utilisateur leur associe des phrases décrivant ce qu'elles lui évoquent, comme devant les taches d'encre d'un test de Rorschach. Le mot de passe est alors stocké avec ces phrases très personnelles. Au moment de la connexion, les dessins réapparaissent avec la liste des descriptions et l'utilisateur doit procéder aux bonnes associations. Une procédure impossible à automatiser donc très fiable mais assez fastidieuse. Raison pour laquelle elle ne peut s'appliquer qu'à des sites dont l'utilisation n'est pas quotidienne.
Les robots manquent encore d'imagination
Mais la meilleure des personnalisations reste peut-être ce à quoi l'on pense. Étudiant-chercheur en informatique à l'université Carnegie Mellon de Pittsburgh (États-Unis), Jeremiah Blocki a repris l'idée des tests psychologiques dits de Rorschach pour créer le système GOTCHA. La création d'un mot de passe produit sur l'écran une série de dessins composés de taches de couleurs disposées aléatoirement. En laissant aller son imagination, l'utilisateur attribue à chacun d'entre eux une phrase de description. Lors de la connexion suivante, les dessins et la liste des phrases réapparaissent, à charge pour l'utilisateur de les associer correctement. « Le procédé a une limite, reconnaît Jeremiah Blocki. Cette authentification prend plus de deux minutes. En l'état actuel, je la recommanderais donc uniquement pour des applications de haute sécurité. » L'enjeu, ici, étant de rendre un piratage automatisé impossible car aucun logiciel n'est en mesure d'associer images et descriptions, les robots n'ayant pas (du moins pour le moment...) assez d'imagination pour le faire. Car c'est bien là tout l'enjeu de la sécurisation : compliquer le plus possible la tâche des pirates éventuels jusqu'à rendre nul le rapport coût-bénéfice d'une attaque... aucune solution n'étant définitivement inviolable.
PIRATAGE
4 techniques d'authentification simples déjouées
Empreintes digitalesLa technique : capter et stocker l'empreinte du doigt au moyen d'une interface tactile. Le piratage : un spécialiste de biométrie a pu reconstituer en 2014 l'empreinte du pouce de la ministre allemande de la Défense à partir de photos du doigt en haute résolution. Quelques mois plus tard, des experts en sécurité pirataient le capteur d'empreinte digitale des smartphones Samsung Galaxy S5.
Iris de l'oeilLa technique : scanner l'iris avec un capteur dédié. Le piratage : un chercheur espagnol de l'université autonome de Madrid (Espagne) a réussi en 2012 à tromper une base de données stockant des images d'iris sous forme de template (un code binaire résumant les caractéristiques de la donnée) (voir S. et A. n° 789, novembre 2012).
Reconnaissance facialeLa technique : filmer le visage de l'utilisateur avec la caméra d'un smartphone ou une Webcam, autant pour reconnaître la personne que pour distinguer un visage réel d'une photo. Le piratage : Des chercheurs de l'université de Caroline du Nord (États-Unis) ont réussi en 2016 à tromper des systèmes au moyen de visages modélisés en 3D.
Gestionnaire de mot de passeLa technique : créer un mot de passe-maître dans un logiciel donnant accès à tous les autres mots de passe, aussi complexes soient-ils, sans avoir à les saisir ni à les mémoriser. Le piratage : Début 2016, la sécurité du gestionnaire LastPass a été mise en cause ainsi que celle du logiciel de Trend Micro. En octobre 2016, SplashID a été piraté.
LireLactu
Parcourir
Rechercher

Sources
Challenges
Courrier international
EL PAÍS
L'Humanité
La Croix
La Vanguardia
Le Figaro
Le Monde
Le Parisien
Les Echos
Libération
NY Daily News
Sciences et Avenir