Tag: empreintes digitales

Sécurité sur Internet: est-ce bientôt la fin des mots de passe ?

Les mots de passe jouent un rôle décisif dans notre vie privée, et pourtant, tous ne sont pas aussi sécurisés qu’ils le devraient. Existe-t-il des alternatives ? Oui, mais elles ont du mal à se faire connaitre.

Dans notre société, basée sur la propriété, la vie privée et le secret, il est essentiel de pouvoir s’identifier en toute sécurité. Il vous faut prouver votre identité pour accéder aux données que vous souhaitez. Les clefs qui vous servent à ouvrir votre maison, votre voiture et autres sont aussi des mécanismes d’identification, comme le code PIN de votre carte de crédit, etc. Notre vie entière repose sur des clefs et des objets qui garantissent notre identité et notre vie privée. Ce n’est ni un mal, ni un bien, c’est ainsi que fonctionne notre société.

Les mots de passe : un héritage du passé

En informatique, le problème de l’identification et de l’appartenance à un groupe virtuel a vu le jour pour la première lors de l’apparition des premiers systèmes multi-utilisateurs. Des dizaines de personnes pouvaient se connecter simultanément à ces grandes machines depuis un terminal et utiliser ses ressources informatiques. Sans mot de passe, un utilisateur pouvait facilement se faire passer pour un autre, et accéder à des données qui ne le concernaient pas. Une telle dérive est impensable dans le milieu académique et professionnel (nous ne parlons même pas du monde militaire).

C'est à Fernando Corbató que l'on attribue l'invention des mots de passe informatiques

C’est à Fernando Corbató que l’on attribue l’invention des mots de passe informatiques (source)

Si nos mots de passe contiennent du texte, c’est parce que pendant longtemps, les systèmes informatiques n’acceptaient pratiquement que du texte introduit avec un clavier : une clef consistait en une série de caractères plus ou moins longue (pas trop longue, parce que les ressources disponibles étaient limitées). La montée des grands systèmes UNIX a ancré cette tendance : les technologies universitaires sur lesquelles se base Internet ont adopté le mot de passe sans se poser de questions.

Economiques, mais non sans problèmes

Les mots de passe constituent un système d’identification très pratique et facile à appliquer à n’importe quel système informatique. En effet, la saisie depuis un clavier est pratiquement omniprésente : d’une part, rares sont les ordinateurs qui ne disposent pas d’un clavier ou qui ne sont pas capables d’en supporter un, d’autre part, les systèmes d’exploitation manipulent et stockent aisément les chaines de textes utilisées pour créer un mot de passe. La technologie qui se cache derrière ces quelques caractères est donc très simple et très répandue.

John the Ripper peut essayer des milliers de clefs par seconde

John the Ripper peut essayer des milliers de clefs par seconde (source)

Toutefois, un mot de passe en texte est aussi une méthode qui contient des risques. Il présente une faiblesse majeure, non pas à cause des ordinateurs, mais à cause des humains qui le créent : nos cerveaux ont du mal à se souvenir de longues suites de chiffres et de lettres. Par conséquent, nous avons tendance à créer des mots de passe faibles et faciles à retenir, ou à les associer à quelque chose que nous savons. On se retrouve donc avec des mots de passe comme “bonjour”, “123456” ou “médor”. Le problème ? Ils sont très faciles à deviner pour des programmes spécialisés. En outre, s’ils donnent accès à des services comme Facebook ou Twitter, on court à la catastrophe.

De nombreuses tentatives pour sensibiliser le public

Des années de sensibilisation du public sur la qualité des mots de passe n’ont pas donné de résultat probant. Nous continuons à choisir des mots de passe simples, même quand on nous dit qu’ils sont fragiles. Quand une page web ou une application nous impose une longueur et une variété obligatoires (majuscule, chiffre, caractères spéciaux), nous répétons le même mot de passe “sûr” partout. Un hacker n’aura donc aucun mal à accéder à plusieurs sources de données à la fois. Tout ça parce que nous faisons passer notre confort avant notre sécurité.

Le site web How Secure is My Password vous indique le temps qu'il faudrait pour décrypter votre mot de passe.

Le site web How Secure is My Password vous indique le temps qu’il faudrait pour décrypter votre mot de passe.

Les experts en sécurité et les psychologues recommandent d’utiliser des moyens mnémotechniques (à savoir, des techniques pour aider la mémoire), comme les variantes d’un mot de passe sûr, associer chaque caractère à une phrase ou utiliser des paroles de chanson pour créer des mots de passe plus longs. Pour éviter de se compliquer la vie, il existe aussi les gestionnaires de mots de passe comme DashLane, qui peuvent générer des mots de passe puissants en une seconde. Ils les retiennent et les associent au compte de votre choix.

Il existe des alternatives, mais elles sont peu connues

Les problèmes liés aux mots de passe ont très vite été découverts, et des systèmes d’identification alternatifs n’ont pas tardé à voir le jour. Aujourd’hui, de nombreux systèmes sont utilisés comme alternative ou comme complément aux mots de passe. Ils sont divisés en quatre grandes catégories : les choses que vous savez, les choses que vous avez (tokens), qui vous êtes (biométrie) et ce que vous faites.

Clefs que vous connaissez (“choses que vous savez”)

Les mots de passe représentent un certain type de clefs cognitives : ce sont des choses que nous avons retenues par cœur. Mais la mémoire ne se limite pas aux mots. En effet, nous sommes capables de nous rappeler de visages, de motifs géométriques, d’images ou d’événements marquants avec la même aisance (voire avec une plus grande facilité), parce qu’ils sont plus importants pour notre cerveau. Ces clefs sont associées à des souvenirs et des émotions, et nous les retrouvons donc sans effort.

Sur Windows 8, il est possible de créer un mot de passe visuel très facilement

Sur Windows 8, il est possible de créer un mot de passe visuel très facilement

Les motifs de sécurité d’Android et les dessins tracés sur les photos de Windows 8 sont deux exemples de clefs cognitives plus faciles à retenir que les mots de passe traditionnels. Elles sont également plus difficiles à craquer. Par ailleurs, les questions personnelles classiques (“Comment s’appelait votre premier chien ?”) sont rarement fiables, puisque la réponse est souvent trop évidente.

Les clefs à reproduire (“choses que vous avez”)

Les clefs à reproduire ("choses que vous avez")

La clef de votre maison est une sorte de mot de passe physique que vous transportez avec vous, de même que vos cartes de crédit. L’avantage d’un système d’identification de ce type est que vous ne devez pas retenir de clef complexe, puisque l’objet que vous portez est assez complexe en soi pour protéger votre propriété, vos données ou vos objets. Bien sûr, il faut y faire attention.

En informatique, les clefs physiques s’utilisent principalement comme dispositifs anticopies (les dongles USB pour les services coûteux). Toutefois, grâce aux téléphones mobiles, elles sont désormais utilisées comme compléments de sécurité dans ce qu’on appelle une “vérification en deux étapes” : le recours à un mot de passe traditionnel, doublé d’un code envoyé sur le téléphone.

Clefs biométriques (“qui vous êtes”)

Clefs biométriques ("qui vous êtes")

Votre corps est unique. Vos empreintes digitales, vos yeux et votre visage vous appartiennent en propre. Personne ne peut vous les enlever, au contraire d’une clef classique. Ce qui vous rend reconnaissable aux yeux des autres vous rend également reconnaissable aux yeux d’un ordinateur équipé de capteurs biométriques. Android, par exemple, avec sa reconnaissance faciale, ou iOS 7, avec son lecteur d’empreintes digitales.

Sur papier, les systèmes d’identification biométriques semblent posséder tous les avantages pour remplacer les mots de passe : il ne faut rien retenir, ils sont impossibles à voler, ils impliquent des clefs complexes… Dans la pratique, en revanche, le système présente des inconvénients majeurs : meilleure précision, moins de possibilités de simulation, moins fiable au moment de “scanner” votre corps. Et nous savons que les humains sont des êtres pratiques.

Clefs d’activités (“ce que vous faites”)

L’endroit où vous vous trouvez, vos activités ou votre réputation sont des informations qui peuvent servir de complément aux systèmes d’identification traditionnels. Nombre de ces mécanismes sont automatiques : par exemple, une page peut empêcher l’accès par mot de passe si elle détecte que la connexion a lieu depuis un endroit inhabituel.

une page peut empêcher l'accès par mot de passe si elle détecte que la connexion a lieu depuis un endroit inhabituel. (exemple Facebook)

Ce genre de système d’identification est toutefois peu répandu, peut-être en raison du faible contrôle qu’a l’utilisateur sur le système. L’inconvénient est d’ordre psychologique : on ne “possède” rien, contrairement à une clef physique, ce qui donne l’impression que la sécurité est moins bonne.

Pour un maximum de sécurité, il faut combiner les clefs

Un système unique n’offre jamais une sécurité optimale. La meilleure manière est d’en utiliser plusieurs (deux, trois ou quatre). De cette manière, vous obtenez une protection bien meilleure : si une attaque réussit, elle ne concernera qu’une partie de la clef.

Sécurité quelles manières de faire?Quatre facteurs d’authentification et quelques exemples (source)

L’authentification multi-facteurs présente encore des problèmes de mise en place à court terme. Seuls les grandes entreprises de logiciels et les sites web les plus connus peuvent se permettre d’adopter des systèmes de ce type, surtout s’ils impliquent l’utilisation de capteurs biométriques ou de clefs physiques. En outre, les utilisateurs trouvent beaucoup plus simple de ne devoir gérer qu’un seul système… jusqu’à présent.

Plusieurs signes très prometteurs s’annoncent en faveur de la suppression des mots de passe comme système d’identification informatique : la popularisation des systèmes de vérification en deux étapes par Google, Facebook et Twitter, ainsi que la récente impulsion donnée à la biométrie par Apple. Nous assisterons peut-être, dans un avenir proche, à une explosion des systèmes multi-facteurs. Et ce serait une excellente nouvelle pour tout le monde.

Pensez-vous que vous continuerez à utiliser des mots de passe ?

À lire aussi:

Article original écrit par Fabrizio Ferri-Benedetti – Softonic.com. Adapté de l’espagnol.

iOS 7: À quoi servira le lecteur d’empreintes digitales de l’iPhone 5S?

  • iPhone 5S, iPhone 6 : À quoi servira le lecteur d’empreintes digitales découvert dans iOS 7?

La version Bêta d’iOS 7 semble confirmer les rumeurs évoquant l’ajout d’un lecteur d’empreintes digitales aux prochains modèles d’iPhone. Voyons ensemble à quoi pourrait bien servir un tel dispositif dans la vie de tous les jours.

Sécurité et vie privée

ios 7 iphone 5s security

Certains lecteurs d’empreintes actuellement sur le marché garantissent un chiffrage quasi-inviolable

La sécurité et la protection des données représentent aujourd’hui les principales applications pratiques des dispositifs biométriques. Sur l’iPhone 5S, un lecteur d’empreintes digitales permettrait d’accroître considérablement la protection des données personnelles et professionnelles de chaque utilisateur.

Une combinaison inviolable ?

Quasi-uniques à chaque individu, les empreintes digitales font preuve d’une complexité largement supérieure à celle des mots de passes aujourd’hui plébiscités sur les téléphones mobiles. Avec un tel dispositif, seul le propriétaire d’un terminal sera en mesure de le débloquer et d’accéder à son contenu.

Certains systèmes de sécurité basés sur des lecteurs d’empreintes digitales actuellement sur le marché garantissent une sécurité quasi-inviolable avec 10 milliards de combinaisons différentes contre 10.000 pour les codes PIN à 4 chiffres.

Sécurité des données

La protection des données confidentielles bénéficierait grandement d’une telle avancée. Des entreprises planchent déjà sur des systèmes de cryptage permettant de contrôler l’accès à certaines données stockées sur un terminal en ne décryptant ces dernières qu’après l’identification biométrique de son propriétaire.

Une expérience sur mesure

Un iPhone équipé d’un lecteur d’empreintes digitales pourrait également mémoriser des profils liés à des empreintes digitales différentes afin de passer d’un compte à l’autre automatiquement (désactivation des achats, activation du contrôle parental, etc).

Gain de temps et tranquillité d’esprit

password ios 7 iphones 5s

Les jours des mots de passe seraient-ils comptés?

On se souvient qu’Apple avait breveté en 2012 un système permettant de débloquer l’iPhone grâce à un lecteur d’empreintes intégré sous l’écran du téléphone. Fini les codes à taper, les schémas à reproduire ou les grimaces pour accéder à son téléphone. Une pression du doigt suffit. Une innovation qui pourrait bien marquer l’avènement d’une nouvelle ère en terme de sécurité.

Vers la fin des mots de passe ?

Il est probable que l’empreinte digitale devienne l’équivalent d’une clé universelle sur l’iPhone 5S. Plus d’identifiants ou de mots de passe à retenir. Grâce à une interface logicielle, l’iPhone pourrait identifier son utilisateur automatiquement au sein des applications et des sites visités. Services de santé, banque, billetterie… Les applications sont potentiellement infinies.

E-commerce

Une autre application pratique des lecteurs d’empreintes digitales intégrés aux smartphones concerne les achats en ligne qui pourraient se voir considérablement accélérés et facilités grâce à un système d’authentification simplifié. Imaginez! Plus de numéro de carte bleue ou de code de sécurité à taper; une pression du doigt, et l’affaire est réglée !

À deux doigts d’une nouvelle révolution?

Pipa touch ID

Le lecteur d’empreinte pour iPhone Pipa Touch compte remplacer vos documents d’identité, vos clés et vos cartes de crédit

Porte-monnaie digital

De là à ce que l’iPhone 5S remplace votre porte-monnaie, il y a cependant un pas. Aux dernières nouvelles, Apple est en effet opposée au NFC, une technologie de paiement sans contact déjà en cours de déploiement. Cependant, la firme à la pomme nous réserve peut-être des surprises et pourrait bien réussir là où tant ont échoué en faisant de l’iPhone 5S un porte-monnaie digital digne de ce nom.

iPhone 5S, la clé universelle?

Projetons-nous dans l’avenir! Et si votre iPhone remplaçait les clés de votre appartement ou celles de votre voiture? Impensable dites-vous ? Pourtant, ces technologies sont déjà disponibles aujourd’hui! Mais il y a mieux! Et si les smartphones de demain remplaçaient définitivement documents d’identité, badges de sécurité et signatures?

Et vous, pensez-vous que les lecteurs d’empreintes remplaceront les mots de passe?

Vous aimerez aussi…

iOS 7: 7 améliorations que j’attends pour mon iPhone

iOS 6 : Apple se moque-t-il de nous ?

iOS 7: 7 nouveautés qu’Apple doit absolument intégrer à iOS 8

iOS 7 bêta 4: le lecteur d’empreintes digitales de l’iPhone 5S révélé

La sortie de la quatrième bêta d’iOS 7 cette nuit donne davantage d’indices sur le nouvel iPhone. 9to5Mac révèle en effet que des traces dans le code de la bêta montrent l’implémentation d’une fonction de lecteur d’empreintes digitales.

Le capteur serait présent sur le bouton d’accueil (Home) de l’iPhone 5S ou l’iPhone 6. La technologie se concentrerait autour du déverrouillage du téléphone, il est donc difficile de savoir si elle est construite pour un système de paiement (comme les rumeurs le laissent entendre) ou pour d’autres fonctionnalités.

On peut en effet imaginer, grâce à cette technologie, de nombreux usages d’applications ou logiciels. A titre d’exemple, mettre son doigt sur ce lecteur pourrait engendrer le lancement de votre liste de chansons préféré.

Lire aussi:

iTunes 11 bêta livré avec iTunes Radio… mais seulement aux États-Unis

iOS 7 bêta 4 enfin disponible au téléchargement! [Images]