Faut-il en finir avec le mot de passe?
Les mots de passe sont agaçants. Certains d’entre eux sont difficiles à retenir. D’autres sont faciles à deviner. Et si vous utilisez le même sur tous les sites, vous finirez certainement par avoir des ennuis.
Le sujet est d’actualité: selon le New York Times, un groupe de hackers russes est parvenu à compiler une base de données comprenant quelque 1,2 milliards d’identifiants accompagnés de leur mot de passe. S’ils ont mis la main sur votre profil LinkedIn, vous n’avez guère de raisons de vous faire du mauvais sang. En revanche, si vous utilisez le même email et le même mot de passe pour accéder à des sites comme PayPal, Amazon ou Gmail, alors là, attention danger.
Le casse-tête de la connexion
Dans le même temps il faut bien reconnaître que le fait d’utiliser un mot de passe différent pour chaque site peut vite se transformer en casse-tête, surtout si la longueur et les caractères imposés varient d’un site à l’autre. Certains services vous obligent à inventer un nouveau mot de passe tout les deux ou trois mois. Sans parler de la vérification en deux temps (que je recommande vivement, du moins pour les sites contenant vos informations les plus confidentielles). En bref, pour l’utilisateur prudent, le simple fait de se connecter ça et là peut s’avérer particulièrement chronophage.
Rien d’étonnant, donc, à ce que plusieurs technophiles férus d’innovation appellent de leurs vœux la mort du mot de passe, et ce depuis plusieurs années. Bill Gates (Microsoft) ne cesse de prédire leur disparition depuis 2004. En 2012, Matt Honan, journaliste au magazine Wired, poussait ce cri du cœur: «Tuez le mot de passe». «Le mot de passe est enfin moribond», déclarait quant à lui Christopher Mims en juillet dernier dans le Wall Street Journal.
Méfions nous de nos souhaits: ils sont parfois mauvais conseillers.
Le mot de passe est un système de sécurité imparfait, et ses défauts sont évidents. Ce n’est qu’en étudiant de près les alternatives que ses vertus les plus subtiles deviennent apparentes.
Le moins mauvais des systèmes
Prenez les systèmes d’authentification biométriques (empreintes digitales, analyse de l’iris, reconnaissance vocale, ou même dynamique de frappe au clavier). Ils reposent tous sur des caractéristiques physiques uniques et propres à tout individu, ce qui explique en partie leur popularité. Un pirate informatique ne peut deviner les caractéristiques de votre empreinte digitale; de votre côté, vous ne pouvez ni l’égarer ni l’oublier. Ce serait si simple, si fluide il suffirait de toucher, de regarder ou de parler près d’un capteur pour accéder aux services désirés.
Seul problème: cette glorieuse simplicité se ferait au prix de la flexibilité – et potentiellement au dépend de la vie privée et de l’anonymat.
Premier inconvénient de l’authentification biométrique: elle requiert du matériel et des logiciels spéciaux. Les smartphones et les tablettes sont en train d’intégrer des capteurs d’empreinte digitale à leurs fonctionnalités de base, ce qui faciliterait les choses. Mais le plus grand nombre n’y aura pas accès avant plusieurs années. De la même manière, il faudra peut-être attendre plusieurs années avant que tout le monde se mette d’accord sur les normes d’interopérabilité (qui nous permettraient de se connecter à n’importe quel site avec le même appareil).
Deuxième problème: l’authentification biométrique est intrinsèquement imparfaite. Les mots de passe sont soit justes, soit erronés; ici, pas de demi-mesure. Les capteurs biométriques, eux, doivent comporter une certaine marge de tolérance: on ne touche jamais un capteur, on ne regarde jamais une caméra, on ne parle jamais devant un micro de la même manière. Une tolérance trop limitée génère un grand nombre de faux négatifs. A l’inverse une tolérance trop élevée aboutit à des faux positifs; on se souvient de ces pirates informatiques qui sont parvenus à tromper le capteur Touch ID d’Apple moins de 48 heures après la sortie de l’iPhone 5S. Si vous optez pour une posture intermédiaire, vous rencontrerez ces deux types d’erreur à part égale.
Ce qui nous amène au troisième problème de la biométrie: sa permanence. Si quelqu’un vole votre mot de passe, vous pouvez le modifier en quelques clics. Si quelqu’un parvient à reproduire votre signature biométrique, vous ne pouvez pas vous contenter d’en changer.
Grâce à la biométrie, plus besoin d’utiliser un mot de passe différent pour chaque site. Mais cet avantage a un petit quelque chose d’effrayant: votre empreinte digitale est la même où que vous alliez. Ce qui signifie que chaque connexion passe par la vérification de votre véritable identité. Plus moyen de crier au piratage si vous postez une ânerie sur Twitter.
Codes par téléphone
Les autres alternatives en vogue souffrent de désavantages similaires. Dans le Wall Street Journal, Christopher Mims plaide en faveur de l’authentification par appareil mobile: l’utilisateur reçoit un nouveau mot de passe sur smartphone à chaque fois qu’il désire se connecter. Google vous enverrait ainsi un code à six chiffres généré aléatoirement à chaque fois que vous voudriez vous connecter à Gmail, par exemple.
Le système des codes envoyés sur téléphone sont de plus en plus utilisés en complément du mot de passe dans le cadre des systèmes d’authentification en deux temps. Ils sont assez efficaces dans ce contexte. Mais Mims estime que nous pouvons nous passer du mot de passe. Selon lui, l’authentification via SMS «est tellement plus pratique que le mot de passe qu’elle le rend en un sens obsolète».
Attention, cependant: en remplaçant un système de sécurité unique (mot de passe) par un autre (authentification par appareil mobile), nous ne faisons que modifier nos problèmes de sécurité. Nous sommes certes moins susceptibles de perdre notre téléphone que notre mot de passe, mais lorsque nous l’égarerons, nous aurons l’impression de perdre tous nos mots de passe d’un coup. Mims remarque qu’il est facile de verrouiller son portable, et même d’effacer ses données à distance en cas de vol. Mais comment se connecte-t-on à ce type de services? Avec un mot de passe.
Il est certes agaçant de créer et de se souvenir d’un identifiant et d’un mot de passe différent pour chaque site, mais ils nous donnent accès à une protection de la vie privée et de l’anonymat sans commune mesure avec celle que nous proposent les systèmes moins contraignants. Le fait de pouvoir créer des comptes différents sur chaque site nous permet d’entretenir plusieurs identités indépendantes les unes des autres sur Internet; même Mark Zuckerberg reconnaît que la chose peut avoir du bon.
Aucun système de sécurité ne peut se suffire à lui-même. Les châteaux forts étaient défendus par des murs, des douves et des archers. Les prisons de haute sécurité ont des clôtures, des alarmes, des indics et des gardes. De la même manière, les empreintes digitales et les codes par SMS rejoindront le mot de passe parmi les systèmes de sécurité dans un futur proche, mais ils ne le remplaceront pas – et c’est une bonne chose.
Ceci étant dit, tous les centres de détention ne sont pas des prisons de haute sécurité; il n’est pas nécessaire de passer par un système d’authentification complexe pour l’ensemble des sites que vous visitez et des applications que vous utilisez. Si vous voulez disposer d’un minimum de sécurité sans vous arracher les cheveux pour autant, n’opter pour l’authentification en deux temps que sur quelques services clés (votre messagerie principale et votre compte en banque en ligne); pour chacun d’entre eux, inventez un mot de passe complexe et unique (à connaître par cœur). Pour tout le reste, utilisez un gestionnaire de mots de passe ou utilisez un système mnémotechnique, tel que celui de mon ancien collègue Farhad Manjoo.
Au fond, le mot de passe demeure le pire des systèmes de sécurité – à l’exception de tous les autres.
source : http://www.slate.fr/story/90937/mots-de-passe-faut-il-en-finir
source : http://www.slate.fr/story/90937/mots-de-passe-faut-il-en-finir
Commentaires
Enregistrer un commentaire