Un monde sans mots de passe? Ce n’est pas encore pour demain

La disparition du mot de passe avait été annoncée dès 2004 par Bill Gates. Aujourd’hui toutefois, nous continuons à l’utiliser. Mieux, chacun d’entre nous y a plus que jamais recours. La solution selon Google? Une clé de sécurité qui prendrait la forme d’une clé USB. Emmanuel David s’interroge au sujet de la sécurité d’une telle clé et sur la perspective d’un avenir sans mots de passe.

Les mots de passe sont source d’un problème allant croissant en termes de sécurité. Même des combinaisons complexes de chiffres, de lettres et d’autres symboles nous rendent de plus en plus vulnérables dans la mesure où elles sont tributaires d’un nombre fini de signes. Dès l’instant où des pirates se sont appropriés un mot de passe, ils peuvent se connecter, ni vus ni connus, et dérober notre identité.

Plusieurs solutions technologiques ont entre-temps fait leur apparition, tels que des messages en mode push et des codes SMS, mais Google est la première société à proposer une clé physique destinée au grand public. Une solution qui peut paraître un rien contradictoire par rapport à un contexte où tout devient numérique mais le système d’authentification proposé a pour avantage de faire prendre rapidement conscience à l’utilisateur qu’un hacker en fait un usage abusif. Il n’est en effet pas possible d’utiliser une clé sur un autre appareil, du moins tant que cet autre dispositif n’ait été enregistré. Il devient ainsi possible de résilier immédiatement la clé tout comme on le fait d’une carte bancaire.

Comment fonctionne au juste la “Security Key” de Google? On peut la comparer à un badge que l’on doit par exemple dégainer et présenter à un lecteur afin d’ouvrir une porte. La différence est ici que vous seul(e) pouvez l’utiliser dans la mesure où la clé est associée à un compte. Vous associez la clé USB à votre ordinateur ou à votre téléphone. Lorsque vous vous connectez via votre compte Google, vous recevez alors un message en mode push sur votre smartphone afin de confirmer votre identité. Le fait que Google propose une solution sécurisée d’authentification n’est pas dénué d’importance lorsque l’on considère que votre compte vous permet également de vous connecter et de vous identifier pour des applications qui ne proviennent pas de Google. Et cet aspect des choses ne fera que gagner en importance à l’avenir… Pensez notamment aux thermostats intelligents et aux autres applications IoT au sein de votre domicile.

Pas totalement hermétique

Cela semble très séduisant mais à quel point cette solution est-elle sûre? La première chose qu’il nous faut souligner est qu’aucune solution de sécurité n’est totalement hermétique. Nous devons dès lors formuler quelques observations au sujet de ce système. Le principal souci se situe sans doute au niveau du processus d’enregistrement qui doit être tout aussi sécurisé que la technologie proprement dite. La clé de sécurité de Google ne peut fonctionner que lorsqu’elle est associée à une personne – encore faut-il qu’il s’agisse de la bonne personne.

La question est également de savoir comment Google vérifiera l’identité des individus lorsque la société commencera à mettre la clé USB à disposition. En Belgique, nous connaissons par exemple bien l’appli d’identification Itsme qui permet aux citoyens de s’identifier auprès d’organismes publics, de banques, de compagnies d’assurance et d’autres sociétés privées. Des conventions explicites ont été passées entre les différents acteurs et les pouvoirs publics. Demain, Google devra-t-il, lui aussi, collaborer avec les autorités publiques afin d’utiliser ce genre de clé de sécurité? Comment va-t-il bâtir la confiance nécessaire pour déployer concrètement ce système? S’il n’ose pas pousser le processus suffisamment loin, le risque existe qu’il octroie un système sécurisé à une identité qu’il n’est pas en mesure de valider.

S’ajoute à cela la manière dont la technologie est utilisée par les applis et les sites Internet. Au bout du compte, la clé de sécurité ne procure un degré de sécurité supplémentaire qu’au seul processus de connexion. Les applications pour lesquelles vous utilisez la clé USB doivent donc, elles aussi, être de bon aloi. Dernier problème: le fait que l’on puisse en principe égarer une clé physique ou être victime d’un vol. Heureusement, les cyber-criminels ne peuvent normalement pas en faire grand-chose étant donné que la Security Key est associée à votre téléphone. Les pirates devraient donc commencer par contrefaire la clé afin de pouvoir la détourner.

Les mots de passe conservent leur utilité

La solution de Google constitue bien entendu un pas dans la bonne direction. Cette technologie rendra en tout cas les choses plus difficiles pour les hackers qu’un mot de passe classique mais nous ne pouvons pas pour autant avoir une confiance aveugle dans sa capacité à nous procurer une sécurité totale. Après tout, Google souligne lui-même que la méthode ne saurait être infaillible. Même les organismes du secteur bancaire, un monde qui est pourtant réputé pour ses mesures de sécurité rigoureuses, ne sont que trop conscients qu’il subsistera toujours un risque. Ils ont souvent littéralement incorporé ce risque dans leur calcul de risque financier. A côté de la fraude, l’usurpation d’authentification constitue donc aussi, pour une banque, un risque qui peut lui coûter une partie de son business.

La Security Key de Google signera-t-elle finalement l’arrêt de mort de nos mots de passe? Probablement pas… Il arrivera certes un jour où les mots de passe appartiendront au passé mais ce n’est pas encore pour demain. Certaines personnes ont bel et bien besoin d’un mot de passe parce qu’elles ne disposent pas des outils technologiques nécessaires ou parce qu’elles ne savent pas comment utiliser la technologie. Ici encore, il est possible de tirer un parallèle avec le monde bancaire: une partie importante de la population effectue déjà ses opérations bancaires à partir du domicile mais on continue de trouver des agences bancaires, avec guichets, pour les personnes qui ne disposent pas d’un ordinateur ou qui n’y comprennent rien à la banque en-ligne.

Pour terminer, soulignons que nous devons avoir pleinement conscience que nous prenons toujours un risque lorsque nous confions quelque chose à un service en-ligne. Il demeure donc nécessaire de sensibiliser et de bien former les individus afin qu’ils se laissent moins rapidement prendre par des chausse-trappes du genre hameçonnage. Quelles que soient les qualités d’une solution de sécurité technologique ou quelle que soit la robustesse d’un mot de passe traditionnel, l’être humain demeurera toujours le maillon faible.