Comment s’authentifiera-t-on en 2030 ?
123456, qwerty, password, iloveyou, princess, dragon… Le palmarès 2019 des pires mots de passe rappelle que les internautes sont encore nombreux à manquer dangereusement d’imagination et à sous-estimer les enjeux de cybersécurité. Heureusement pour eux, leur utilisation pourrait bien se raréfier. Plongée dans l’avenir de l’authentification, entre gadgets futuristes et enjeux de confidentialité.
Réseaux sociaux, sites d’e-commerce, applis bancaires… Sur le Web, le nombre de mots de passe requis est devenu vertigineux. Au point que la gestion des combinaisons de caractères, les plus compliquées possible de préférence, est devenue un véritable casse-tête. « La plus grande faiblesse du mot de passe est liée à la multiplication des identités numériques. Chaque utilisateur a en moyenne une centaine de comptes qui en exigent », fait remarquer Xavier Plattard, responsable du service de Web Access Management chez Atos. « La solution de facilité est d’utiliser le même partout, or il suffit qu’il fuite dans un service pour que de nombreux comptes soient compromis », abonde Franck Veysset, intervenant au CLUSIF (Club de la sécurité de l’information français), en citant le cas récent de Disney+, dont des milliers de comptes ont été piratés à partir d’identifiants identiques déjà présents sur le dark web.
Vers une raréfaction du mot de passe
Apparue sur certains smartphones il y a quelques années, l’authentification biométrique – par empreinte digitale, reconnaissance faciale ou de l’iris – nous facilite déjà un peu la tâche. Avec Apple Face ID et Touch ID, Windows Hello ou encore Samsung Iris Scan, déverrouiller son téléphone sans code est devenu la nouvelle norme. De quoi fantasmer un avenir 100 % « passwordless », où nos yeux, doigts, visages et même voix nous permettront de nous authentifier partout, sans effort ? Pas si vite. « Chez Atos, on ne voit pas la fin complète du mot de passe à court ou à moyen terme. En revanche, on peut déjà fortement diminuer son utilisation, ce qui a des avantages aussi bien en termes de sécurité et d’expérience utilisateur », expose Xavier Plattard en détaillant Evidian, la solution d’authentification unique (ou SSO, pour « single sign-on ») développée par l’entreprise.
Le principe : une authentification unique et forte, éventuellement couplée à de la biométrie ou une clé de sécurité, qui permet d’accéder à ses applications sans avoir à entrer à chaque fois le nom d’utilisateur et le mot de passe. « Ce dernier continue donc à exister, mais c’est le gestionnaire de mots de passe qui s’en occupe, en générant des mots de passe forts et en les renouvelant régulièrement, en toute transparence. La fédération d’identité permet quant à elle d’avoir un point central d’identification pour toutes les applis auxquelles l’utilisateur veut accéder. Moins de comptes différents équivaut à moins de surfaces d’attaque », explique-t-il.
L’authentification du futur sera multiple et contextualisée
Pour limiter les risques de piratage, mieux vaut multiplier les couches de sécurité. « Une authentification forte est une combinaison de facteurs, souligne Xavier Plattard. Le mot de passe reste un facteur valable, à condition ne pas être utilisé seul. » Idem pour la biométrie, qui a aussi ses failles : en 2014, le hacker Jan Krissler du Chaos Computer Club l’avait bien prouvé en recréant l’empreinte digitale de la présidente de la Commission européenne, Ursula Von der Leyen, à l’aide de photos HD de son pouce prises lors d’une conférence de presse. « L’empreinte digitale est très facile à copier à partir d’une trace laissée quelque part, en particulier pour les capteurs bas de gamme. Mais il existe des technologies plus sophistiquées qui prennent aussi en compte la température et l’oxygénation du doigt », nuance Franck Veysset.
Une authentification dite « multi-facteurs » combine au moins deux des éléments suivants : un facteur de connaissance (mot de passe), un facteur de possession (notification « push » sur le smartphone pour autoriser une authentification, clé de sécurité de type Yubikey…), et un facteur d’inhérence (biométrie). C’est le cas par exemple du bracelet Nymi, qui utilise la biométrie et la détection du rythme cardiaque, combiné avec la solution Evidian Enterprise Access Management. « Il s’agit d’une authentification biométrique continue, qui offre une solution fluide et particulièrement utile dans certains contextes, notamment dans les cas où les employés portent des gants ou des masques. Il y a aussi un facteur de proximité puisque le bracelet est détecté par bluetooth par l’appareil avec lequel on veut se connecter », expose Xavier Plattard en assurant que la méthode est « très fiable » bien que coûteuse. « Ce type de dispositif pourrait se généraliser, car nous n’en sommes pas si loin : il suffit de le combiner à un bracelet traqueur d’activité. »
Autre paramètre qui devrait prendre une importance grandissante : le comportement des utilisateurs. « De plus en plus, l’authentification prend en compte les habitudes de navigation des internautes grâce à des algorithmes de deep learning : l’heure et le lieu où ils se connectent, les sites qu’ils consultent le plus régulièrement, leur fréquence de publication sur les réseaux sociaux… Tous ces éléments constituent également une preuve d’identité, explique Xavier Plattard. On n’y est pas encore, mais des études cherchent aussi à identifier l’utilisateur à partir de sa vitesse de frappe et des fautes de frappe ». À noter que pour accéder à une ressource sensible ou inhabituelle, comme faire un virement à un nouveau bénéficiaire, l’authentification peut être renforcée (un procédé appelé « step-up authentification »).
Au doigt et à l’œil
La banalisation de l’utilisation des données biométriques, particulièrement sensibles, appelle malgré tout à la vigilance. « Elles sont (relativement) uniques et permanentes : on peut changer de mot de passe, mais pas de visage… », fait valoir Félicien Vallet, ingénieur au service de l’expertise technologique de la CNIL. Avec la biométrie, nos caractéristiques physiologiques et anatomiques sont devenues un mode d’authentification à part entière, qui ne nécessite plus aucun intermédiaire. Comme le note la spécialiste des technologies de sécurité Ayse Ceyhan dans un article, le corps se retrouve « objectivé, réduit à des paramètres informatiques et naturels », « transformé en un code numérique ». « Personnellement, je ne trouve pas cela choquant : on a toujours reconnu les gens par leur voix, leur démarche ou leur visage, estime Bernadette Forizzi, directrice de la recherche à Télécom SudParis. Ce qui me gêne davantage, c’est la confiance absolue dans les algorithmes, qui peuvent pourtant faire des erreurs. Il est essentiel d’avoir des contrepouvoirs et des instances de régulation sur ces questions. »
Comme le précise Félicien Vallet, « contrairement à la reconnaissance faciale déployée dans l’espace public, qui nécessite la mise en place de base de données biométriques, l’authentification biométrique – remplaçant ou complétant les mots de passe – suppose de stocker les données localement sur un smartphone, permettant à l’utilisateur de garder le contrôle sur celles-ci. » Du moins en théorie. Car la réalité est souvent plus trouble : en 2015, un brevet d’Apple évoquait la possibilité d’une « synchronisation des données biométriques digitales via le cloud ». Et si l’enjeu de l’authentification de demain n’était plus tant sa sécurité que sa transparence ?
Partager
