Vous l'ignorez sans doute, mais sur dix de vos proches, une personne au moins utilise probablement l’un des 25 mots de passe les plus facilement piratables au monde : « 123456 », « motdepasse », « azerty » ou même « starwars »... Sécurité et contrainte vont souvent de pair : en privilégiant la simplicité, bien des gens laissent leurs informations personnelles virtuellement ouvertes aux quatre vents. Quant aux plus prudents, ils se retrouvent avec une quantité vertigineuse de mots de passe à retenir, des codes interminables et finalement des pense-bêtes... parfois ouverts aux quatre vents eux aussi. Il n'y aurait pas plus simple, par hasard ?
Une histoire de confiance
Peut-être, mais "plus simple" ne suffit pas : il faut aussi "plus fiable", "moins intrusif". La solution qui consiste à laisser des algorithmes apprendre nos habitudes, par exemple, peut sembler séduisante : le mot de passe ne devient nécessaire qu'à partir du moment où notre comportement classique – localisation, horaires d'activité, sites visités, rythme de saisie des caractères... – n'est plus identifié. Soit, mais laisser le Cloud de Microsoft prélever des informations sur nos contenus afin d'établir des statistiques implique un niveau de transparence que l'on peut trouver incompatible avec la protection des données.
Faire confiance au système, comme l’immense majorité des moins de 20 ans aujourd'hui, n'est pas encore donné à tout le monde. Et si les générations précédentes ne sont pas aussi détendues dans leur rapport à la protection des données, c’est qu’elles ont encore en tête une époque où la sécurité, plus contraignante, rappelait aux utilisateurs d’Internet que les piratages ne sont pas réservés aux célébrités, et les attaques en force brute, qu’aux films d’espionnage. Facile aussi d’être détendu quand la seule menace qui plane est celle des pickpockets : au niveau de l’entreprise, les risques sont d’une autre ampleur.
Moins de mots de passe, mais des meilleurs
Quel que soit le niveau où l’on se place, protection de l’appareil (tablette, ordinateur ou téléphone) et protection des données impliquent de toute façon deux mots de passe différents. Rien que pour le premier, on essaie d'ores et déjà de varier les plaisirs : outre les schémas, simples, mais facilement repérables, et les capteurs d'empreinte digitale – à condition d’accepter le stockage informatique du bout de nos doigts, on ne fait pour l’instant pas mieux – il est question de remplacer les 10 chiffres et les 26 lettres par un choix de 12 emojis parmi les 2 500 disponibles, et d'en choisir une série de quatre ou six. Fiable et fun. Mais encore une fois, un seul de ces mots de passe ne saurait suffire ! Dans la série des alternatives ludiques, NovaSpatial développe actuellement un système d'authentification fondé sur la reconnaissance d'une petite parcelle sur une mappemonde numérique, dont les coordonnées font office de code qu’il n’est, du coup, pas la peine de retenir – il suffit de savoir où se trouve tel arbre, telle piscine, telle intersection, etc.
En attendant de pouvoir nous en remettre à notre mémoire visuelle grâce aux emojis et aux cartes, les gestionnaires en ligne se multiplient. Dans ces coffres-forts virtuels comme 1PassWord, LastPass ou KeePass, un code suffit pour protéger tous les autres, stockés et encryptés derrière celui-ci. Un seul sésame suffit, le plus compliqué possible – mais une phrase fera l'affaire. "Sésame, ouvre-toi !", par exemple (ponctuation incluse !).
Le revers de la biométrie
Aux grands maux, les grands remèdes : l'avenir est-il à l'authentification forte, par les objets physiques ? Le pouce, l'œil, la voix ou le visage sont en effet de ces moyens de plus en plus volontiers utilisés pour débloquer les appareils, et pourraient finir par servir aussi à accéder aux profils sur les réseaux sociaux : les hackers qui prétendaient avoir piégé la reconnaissance faciale d’iPhone X avec un masque en latex ultra-réaliste ne devraient pas se donner tant de mal pour les particuliers. L’usage de la biométrie est ainsi appelé à se généraliser, voire à se sophistiquer dans les décennies à venir : il est en effet question de mettre au point des capteurs à même d’identifier l’ADN…
Avec ces derniers, finis les problèmes de barbe ou de cheveux coupés qui piègent encore parfois les systèmes de reconnaissance faciale – ne restera que le problème du jumeau maléfique ! En 2015, Jonathan Leblanc, responsable mondial de la promotion de développement chez PayPal, prétendait que les mots de passe du futur ne seraient plus notés ou mémorisés, mais implantés, avalés, injectés. Tatouages informatiques, capteurs à électrocardiogramme pour transmettre les données du cœur, reconnaissance des veines, de la pression sanguine... Infaillible, mais peu ragoûtant. Trois ans plus tard, le tatouage numérique semble prendre l’avantage : la chimiste Zhenan Bao, qui vient de mettre au point l’e-skin, met certes en avant les potentialités médicales et sociales de ce matériau électronique connecté épousant parfaitement la peau humaine... Mais celui-ci aura nécessairement affaire à la question de la confidentialité à un moment où l’autre : ce ne sont plus nos empreintes digitales qui serviront dès lors de mot de passe universel, mais l’infime film électronique déposé sur la pulpe de notre doigt et relié à notre smartphone. Ça vous dit ?
Le secret de l'identification à double facteur
Plutôt que de rendre la biométrie infaillible au prix de dieu sait quelle transgression de l'espace intime, peut-être vaut-il mieux compter sur une simplification de la double authentification. Un tel système est déjà largement utilisé aujourd'hui pour les paiements en ligne, qui réclament un second code envoyé par SMS et valable quelques minutes. Ce code de confirmation, le plus souvent envoyé sur smartphone, peut l'être sur une Google Watch, une smartcard, une appli (comme c'est le cas de la solution Stormshield Data Security), un token cryptograhique ou une clé USB (comme les clés FIDO).
Le problème sera évidemment de ne jamais sortir sans l'objet physique générant le second code. On est moins susceptible d'oublier son pouce ou son œil à la maison que son smartphone... À moins de considérer ce dernier comme un nouvel organe de l'homo numericus ? Sinon, il reste toujours l'option de tous devenir des génies capables de retenir des dizaines de séquences chiffrées. Au choix...
Merci à Fabien Thomas et Jocelyn Krystlik, respectivement Directeur Innovation et Product Manager Data Security chez Stormshield, pour leur aide précieuse dans l'écriture de cet article, en collaboration avec Usbek & Rica.