Les hackers du Chaos Computer Club ont réussir, fin décembre, à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Sachant qu’ils avaient précédemment montré qu’ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public… Prenons un peu de recul et analysons ce que cela veut dire pour l’avenir de l’authentification en ligne. Par Emmanuel Schalit, CEO de Dashlane.
Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu :
· Ce qu’il sait (mot de passe, code pin, question secrète…)
· Ce qu’il possède (jetons, cartes…)
· Ce qu’il est (signature de l’iris, empreinte digitale…)
Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu’ils utilisent régulièrement.
Quels sont les avantages et les désavantages de la biométrie pour l’authentification en ligne des consommateurs?
Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.
Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage, si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…
La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire. Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :
· Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
· Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
· Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?
Compte tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mot de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.
Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !