Sécurité – Le casse-tête du mot de passe

Le casse-tête du mot de passeLes risques résultant de mots de passe mal sécurisés peuvent être importants, allant du vol d’identité à la fraude sur les transactions. Ils concernent aussi bien le grand public que les entreprises. Tour d’horizon des solutions retenues par les principaux acteurs.

 

À 90 %, les mots de passe utilisés sur Internet seraient vulnérables, selon Deloitte*. À tel point que Sandrine Doucet, députée PS, a récemment questionné le gouvernement, pour qu’il sensibilise les consommateurs à ce sujet. Intel, quant à lui, inaugurait le 6 mai sa « journée du mot de passe » pour inciter les internautes à aller tester leur force sur un site dédié. C’est dire si le sujet est brûlant. Les transactions effectuées sur Internet (via ordinateur, tablette ou mobile), de plus en plus nombreuses, se fondent toutes sur le couple authentifiant-mot de passe. Malheureusement, la plupart des utilisateurs choisissent des identifiants trop courts, ou trop simples, voire utilisent le même mot de passe sur les réseaux sociaux et les sites marchands ou bancaires. « Les risques encourus peuvent ainsi être très importants, allant du vol d’identité à la véritable fraude à la transaction. […] Tant les particuliers que les entreprises sont confrontés à ces nuisances, lorsque le manque d’efficacité de leur mot de passe n’est découvert que trop tard », constate l’élue.

De plus, comme l’a subi récemment Evernote – l’un des outils de prise de note en ligne les plus populaires avec quelque cinquante millions d’utilisateurs –, n’importe quel site Internet peut être victime d’une attaque informatique et d’un vol de mots de passe. « Le mot de passe est encore la faille de sécurité la plus répandue et la plus utilisée, quel que soit le type d’attaque, affirme Bernard Montel, directeur technique de RSA France, la division Sécurité d’EMC, qui fournit des produits et solutions pour la sécurité de l’information, la gestion de la gouvernance, du risque et de la conformité. « Dès que l’on dispose de la clé, on peut entrer dans le SI. Même si elle est modifiée régulièrement, le laps de temps de son activation permet à un hacker de la dérober et de la réutiliser. »

Le casse-tête du mot de passe

Pour autant, il existe de nombreuses solutions per permettant de sécuriser les accès au système d’information, de contrer les cyberattaques, et cela sans multiplier les mots de passe. La solution la plus performante passe par l’authentification forte. Ce système nécessite la concaténation d’au moins deux facteurs d’authentification. On parle alors d’authentification « à double facteur », celle qui est désormais promue par Apple, Google, Twitter, Dropbox, Blizzard ou ArenaNet et, depuis avril dernier, fortement recommandée par Microsoft à ses usagers.

Les facteurs d’authentification, qui doivent être personnels et « numérisables », sont multiples. Ils peuvent être d’ordre mémoriel, « ce que je sais » (mot de passe, code NIP, une combinaison de chiffres personnelle, etc.) ; matériel, « ce que je possède » (clé USB, carte à puce, smartphone, certificat numérique, etc.) ; corporel, « ce que je suis » (empreinte digitale, voix, caractéristiques de la pupille ou tout autre élément biométrique) ou réactionnel « ce que je fais » (geste, signature, etc.).

 

Coffres-forts… en tout genre
Ces mécanismes d’authentification reposent ensuite sur trois familles technologiques : le mot de passe à usage unique (ou One Time Password/OTP), le certificat numérique et la biométrie. Avec l’essor des téléphones portables, l’usage le plus répandu car le moins coûteux aujourd’hui est l’authentification à l’aide d’un code spécifique (le fameux OTP), très appréciée par les clients du secteur bancaire. La personne renseigne d’abord son numéro de téléphone portable sur le site web concerné (d’e-commerce par exemple) avant de saisir l’OTP, valable pendant seulement quelques secondes, qu’elle aura reçu par SMS sur son smartphone.

La seconde famille technologique d’authentification s’appuie sur le certificat électronique, aussi appelé certificat numérique. Cette « carte d’identité numérique » est délivrée par un tiers de confiance qui atteste de l’identité de l’auteur (personne physique ou morale) en liant par exemple son mot de passe à des renseignements personnels (date de naissance, numéro de sécurité sociale, etc.). Il envoie ensuite ces informations à un serveur central qui vérifie que ce fichier est bien représenté dans sa base de données avant de lui autoriser l’accès aux services Web.

Le casse-tête du mot de passeEnfin, la biométrie, qui fait de plus en plus son apparition dans la chaîne (mais reste réglementée par la Cnil), sera de préférence couplée à une carte à puce, un « token » sécurisé (petit élément de stockage présentant une grande résistance aux attaques, même physiques), un mot de passe, voire un OTP – c’est l’option retenue par mylDkey –, une clé USB protégée par un système de sécurité biométrique miniature et intégrant un logiciel de sécurité qui débloque la clé par un simple glissement du doigt. Il ne suffit pas de remplacer un login et mot de passe par une mesure de biométrie, il faut également repenser tout le système et sécuriser l’architecture complète… A l’image du Crédit Mutuel Arkéa, en partenariat avec Natural Security, qui a récemment testé, à Angoulême (Charente), une expérimentation de paiement biométrique totalement inédite en Europe.

Pour les internautes qui se contentent d’une authentification simple, des logiciels gratuits de type coffres-forts numériques, tels que Logaway ou Keepass, permettent de centraliser l’ensemble de ses identifiants et mots de passe dans une base de données accessible par un code unique. L’utilisateur, affranchi de la contrainte de se souvenir de ses différents mots de passe, peut ainsi se permettre d’en choisir de plus robustes et d’utiliser un mot de passe différent pour chaque compte, de sorte que si l’un des mots de passe est intercepté, les autres comptes ne sont pas rendus vulnérables. Cependant, la plupart de ces solutions ne permettent pas de remplir automatiquement des formulaires sur le Web et ne synchronisent pas les données d’un ordinateur à l’autre.

C’est le cas de Dashlane. Créée il y a quatre ans par le cofondateur de Business Objects, Bernard Liautaud, et trois centraliens, cette société propose une solution de stockage dans le cloud de mots de passe et autres données personnelles (numéros de carte bancaire, passeport, carte d’identité…). Une fois le compte ouvert, le système retient tous les mots de passe. « On vous propose alors de les remplacer par un mot de passe fort, généré automatiquement. Impossible de s’en souvenir, celui-ci ne sera même jamais connu de l’utilisateur, mais à chaque fois qu’il en aura besoin, que ce soit sur son ordinateur, sa tablette ou son smartphone, le logiciel va le ressaisir et synchroniser automatiquement les données », explique Alexis Fogel, associé de Dashlane.

 

Des « objets » pour se connecter
Pour autant, les experts jugent désormais que même l’authentification forte ne suffit plus. Aussi, ils planchent sur divers projets consistant à remplacer tous les mots de passe utilisés pour se connecter – depuis n’importe quel ordinateur – à des services en ligne, via une microcarte USB ou une bague électronique, voire une connexion sans fil de type NFC (Near Field Communication, ou communication en champ proche).

Google teste ainsi une microcarte à puce cryptographique qui se présente sous la forme d’une clé USB (marque Yubico). Reconnue comme un clavier une fois introduite dans l’ordinateur, celle-ci génère un OTP (mot de passe à usage unique) et connecte automatiquement l’utilisateur à son compte Google. « Les solutions de type bague sont intéressantes, mais peu appréciées du grand public. Tout le monde n’a pas forcément envie de porter en permanence sur soi un objet avec toutes ses données, que l’on peut perdre ou se faire voler », estime Alexis Fogel. Surtout, comment s’assurer que l’utilisateur de la carte, ou de la clé, est le “bon” propriétaire sans passer par une analyse biométrique ? » Apple, de son côté, met au point pour son iPhone 5S un lecteur d’empreintes digitales, via l’écran tactile du téléphone, avec une puce NFC qui établit une liaison directe. Cela permet de s’identifier au niveau du téléphone et de s’en servir pour effectuer des paiements sans passer par la carte bleue, selon le même principe que l’application Android, Google Wallet. Toutefois, même si tous les acteurs cherchent à se débarrasser du mot de passe, « il va falloir continuer à vivre encore quinze à vingt ans avant qu’une nouvelle solution universelle et économiquement acceptable s’impose », conclut Alexis Fogel.

 

* Etude mondiale des prédictions 2013 pour le secteur des Technologies, Médias et Télécommunications (TMT), par Deloitte.

 

Cet article est extrait du n°4 d’Alliancy le mag – Découvrir l’intégralité du magazine