Accéder au contenu principal

Le mot de passe est un mauvais système de sécurité. Mais il n'y en a pas de meilleur

Faut-il en finir avec le mot de passe?

Les mots de passe sont agaçants. Certains d’entre eux sont difficiles à retenir. D’autres sont faciles à deviner. Et si vous utilisez le même sur tous les sites, vous finirez certainement par avoir des ennuis.
Le sujet est d’actualité: selon le New York Times, un groupe de hackers russes est parvenu à compiler une base de données comprenant quelque 1,2 milliards d’identifiants accompagnés de leur mot de passe. S’ils ont mis la main sur votre profil LinkedIn, vous n’avez guère de raisons de vous faire du mauvais sang. En revanche, si vous utilisez le même email et le même mot de passe pour accéder à des sites comme PayPal, Amazon ou Gmail, alors là, attention danger.
Le casse-tête de la connexion
Dans le même temps il faut bien reconnaître que le fait d’utiliser un mot de passe différent pour chaque site peut vite se transformer en casse-tête, surtout si la longueur et les caractères imposés varient d’un site à l’autre. Certains services vous obligent à inventer un nouveau mot de passe tout les deux ou trois mois. Sans parler de la vérification en deux temps (que je recommande vivement, du moins pour les sites contenant vos informations les plus confidentielles). En bref, pour l’utilisateur prudent, le simple fait de se connecter ça et là peut s’avérer particulièrement chronophage.
Rien d’étonnant, donc, à ce que plusieurs technophiles férus d’innovation appellent de leurs vœux la mort du mot de passe, et ce  depuis plusieurs années. Bill Gates (Microsoft) ne cesse de prédire leur disparition depuis 2004. En 2012, Matt Honan, journaliste au magazine Wired, poussait ce cri du cœur: «Tuez le mot de passe». «Le mot de passe est enfin moribond», déclarait quant à lui Christopher Mims en juillet dernier dans le Wall Street Journal.
Méfions nous de nos souhaits: ils sont parfois mauvais conseillers.
Le mot de passe est un système de sécurité imparfait, et ses défauts sont évidents. Ce n’est qu’en étudiant de près les alternatives que ses vertus les plus subtiles deviennent apparentes.
Le moins mauvais des systèmes
Prenez les systèmes d’authentification biométriques (empreintes digitales, analyse de l’iris, reconnaissance vocale, ou même dynamique de frappe au clavier). Ils reposent tous sur des caractéristiques physiques uniques et propres à tout individu, ce qui explique en partie leur popularité. Un pirate informatique ne peut deviner les caractéristiques de votre empreinte digitale; de votre côté, vous ne pouvez ni l’égarer ni l’oublier. Ce serait si simple, si fluide  il suffirait de toucher, de regarder ou de parler près d’un capteur pour accéder aux services désirés.
Seul problème: cette glorieuse simplicité se ferait au prix de la flexibilité – et potentiellement au dépend de la vie privée et de l’anonymat.


Premier inconvénient de l’authentification biométrique: elle requiert du matériel et des logiciels spéciaux. Les smartphones et les tablettes sont en train d’intégrer des capteurs d’empreinte digitale à leurs fonctionnalités de base, ce qui faciliterait les choses. Mais le plus grand nombre n’y aura pas accès avant plusieurs années. De la même manière, il faudra peut-être attendre plusieurs années avant que tout le monde se mette d’accord sur les normes d’interopérabilité (qui nous permettraient de se connecter à n’importe quel site avec le même appareil).
Deuxième problème: l’authentification biométrique est intrinsèquement imparfaite. Les mots de passe sont soit justes, soit erronés; ici, pas de demi-mesure. Les capteurs biométriques, eux, doivent comporter une certaine marge de tolérance: on ne touche jamais un capteur, on ne regarde jamais une caméra, on ne parle jamais devant un micro de la même manière. Une tolérance trop limitée génère un grand nombre de faux négatifs. A l’inverse une tolérance trop élevée aboutit à des faux positifs; on se souvient de ces pirates informatiques qui sont parvenus à tromper le capteur Touch ID d’Apple moins de 48 heures après la sortie de l’iPhone 5S. Si vous optez pour une posture intermédiaire, vous rencontrerez ces deux types d’erreur à part égale.
Ce qui nous amène au troisième problème de la biométrie: sa permanence. Si quelqu’un vole votre mot de passe, vous pouvez le modifier en quelques clics. Si quelqu’un parvient à reproduire votre signature biométrique, vous ne pouvez pas vous contenter d’en changer.
Grâce à la biométrie, plus besoin d’utiliser un mot de passe différent pour chaque site. Mais cet avantage a un petit quelque chose d’effrayant: votre empreinte digitale est la même où que vous alliez. Ce qui signifie que chaque connexion passe par la vérification de votre véritable identité. Plus moyen de crier au piratage si vous postez une ânerie sur Twitter.
Codes par téléphone
Les autres alternatives en vogue souffrent de désavantages similaires. Dans le Wall Street Journal, Christopher Mims plaide en faveur de l’authentification par appareil mobile: l’utilisateur reçoit un nouveau mot de passe sur smartphone à chaque fois qu’il désire se connecter. Google vous enverrait ainsi un code à six chiffres généré aléatoirement à chaque fois que vous voudriez vous connecter à Gmail, par exemple.
Le système des codes envoyés sur téléphone sont de plus en plus utilisés en complément du mot de passe dans le cadre des systèmes d’authentification en deux temps. Ils sont assez efficaces dans ce contexte. Mais Mims estime que nous pouvons nous passer du mot de passe. Selon lui, l’authentification via SMS «est tellement plus pratique que le mot de passe qu’elle le rend en un sens obsolète».
Attention, cependant: en remplaçant un système de sécurité unique (mot de passe) par un autre (authentification par appareil mobile), nous ne faisons que modifier nos problèmes de sécurité. Nous sommes certes moins susceptibles de perdre notre téléphone que notre mot de passe, mais lorsque nous l’égarerons, nous aurons l’impression de perdre tous nos mots de passe d’un coup. Mims remarque qu’il est facile de verrouiller son portable, et même d’effacer ses données à distance en cas de vol. Mais comment se connecte-t-on à ce type de services? Avec un mot de passe.
Il est certes agaçant de créer et de se souvenir d’un identifiant et d’un mot de passe différent pour chaque site, mais ils nous donnent accès à une protection de la vie privée et de l’anonymat sans commune mesure avec celle que nous proposent les systèmes moins contraignants. Le fait de pouvoir créer des comptes différents sur chaque site nous permet d’entretenir plusieurs identités indépendantes les unes des autres sur Internet; même Mark Zuckerberg reconnaît que la chose peut avoir du bon.
Aucun système de sécurité ne peut se suffire à lui-même. Les châteaux forts étaient défendus par des murs, des douves et des archers. Les prisons de haute sécurité ont des clôtures, des alarmes, des indics et des gardes. De la même manière, les empreintes digitales et les codes par SMS rejoindront le mot de passe parmi les systèmes de sécurité dans un futur proche, mais ils ne le remplaceront pas – et c’est une bonne chose.
Ceci étant dit, tous les centres de détention ne sont pas des prisons de haute sécurité; il n’est pas nécessaire de passer par un système d’authentification complexe pour l’ensemble des sites que vous visitez et des applications que vous utilisez. Si vous voulez disposer d’un minimum de sécurité sans vous arracher les cheveux pour autant, n’opter pour l’authentification en deux temps  que sur quelques services clés (votre messagerie principale et votre compte en banque en ligne); pour chacun d’entre eux, inventez un mot de passe complexe et unique (à connaître par cœur). Pour tout le reste, utilisez un gestionnaire de mots de passe ou utilisez un système mnémotechnique, tel que celui de mon ancien collègue Farhad Manjoo.
Au fond, le mot de passe demeure le pire des systèmes de sécurité – à l’exception de tous les autres.

source : http://www.slate.fr/story/90937/mots-de-passe-faut-il-en-finir

Commentaires

Posts les plus consultés de ce blog

Un million de comptes Google compromis à cause d’un virus sur mobiles

Le spécialiste en sécurité informatique CheckPoint a découvert un nouveau malware qui infecterait plus de 13.000 smartphones Android par jour par le biais de fausses applications. L’équipe de recherche de Check Point avait déjà rencontré le code de Gooligan dans l’application malveillante SnapPea l’année dernière. En août 2016, le logiciel malveillant est réapparu sous la forme d’une nouvelle variante et aurait depuis infecté plus d’un million de smartphones Android à travers le monde. Selon CheckPoint, 57% des appareils infectés seraient situés en Asie, et seulement 9% en Europe. Le danger ici vient du fait qu’une fois installé, le malware est capable de “rooter” la machine et de dérober les adresses email et les jetons d’authentification qu’elle stocke. Concrètement, plus d’un million de comptes Google auraient ainsi été compromis. Outre dérober les informations, les pirates profitent également du piratage pour générer des revenus frauduleux en installant des applica…

Sécurité informatique : peut-on faire appel au Big Data ?

Jusqu’à présent, le sujet des Big datas n’était qu’un sujet d’actualité, un sujet à la mode. Mais de plus en plus d’entreprises ont saisi cette opportunité, les grandes entreprises, à hauteur de 30% mais aussi, les PME, à hauteur de 12%, selon une étude réalisée par l’éditeur SAS. Car le Big Data n’en fini pas de faire rêver tant les opportunités sont importantes. De l’analyse des données clients, à la simulation des flux d’achats et des habitudes de dépenses, les possibilités d’utilisation et d’interrogations des données sont riches en déclinaisons. Mais qui dit “Big Data” dit également problématiques de sécurité. Car avec les Big Data, le périmètre de l’entreprise s’est élargi du point de vue des entrées et des sorties des données avec des utilisateurs plus mobiles, des données qui transitent par Internet et le Cloud Computing et le Saas qui repositionnent le SI hors de l’entreprise.

De nombreux utilisateurs de TeamViewer victimes de piratages

De nombreux utilisateurs ont été victimes de piratages au travers du logiciel TeamViewer. Selon les responsables du logiciel la brèche ne viendrait pas de leur système. Depuis plusieurs jours, des utilisateurs de TeamViewer, un logiciel permettant de prendre le contrôle à distance d’un autre ordinateur, se plaignent d’être victimes de piratages. Cependant le problème ne viendrait pas du logiciel lui-même mais du vol d’identifiants et de mots de passe sur d’autres services tels que Tumblr, Myspace ou encore Linkedin.
TeamViewer au cœur de plusieurs piratages La semaine dernière, TeamViewer a connu des problèmes de fonctionnement. Le logiciel a en fait été victime d’une attaque DDOS de grande ampleur qui a paralysé son système pendant quelques heures. Suite à cette attaque, certains utilisateurs se sont plaints d’avoir subi une intrusion dans leur ordinateur, des pirates auraient réussi à prendre le contrôle de leur machine et voler des informations confidentielles. Pourtan…