Des centaines de millions de personnes utilisent des mots de passe chaque jour: ils déverrouillent nos appareils, nos e-mails, nos réseaux sociaux et même nos comptes bancaires. Cependant, les mots de passe sont un de plus en plus faible moyen de nous protéger: il se passe à peine une semaine sans qu'une gaffe majeure en matière de sécurité ne fasse la une des journaux. Cette semaine, c'est Cisco – fabricant d'une grande partie du matériel qui alimente essentiellement Internet.
À l’heure actuelle, presque tout le monde cherche à aller au-delà des mots de passe pour authentification multifacteur: exigeant « quelque chose que vous avez » ou « quelque chose que vous êtes » en plus de quelque chose que vous connaissez. Les technologies biométriques qui mesurent les yeux, les empreintes digitales, les visages et/ou les voix sont devenir plus pratique, mais échouent fréquemment pour certaines personnes et sont difficiles à proposer à des centaines de millions d'utilisateurs.
Vidéos recommandées
Ne négligeons-nous pas l’évidence? La solution à la sécurité multifactorielle n’est-elle pas déjà dans nos poches ?
En rapport
- Les 15 smartphones les plus importants qui ont changé le monde pour toujours
- SMS 2FA n’est pas sécurisé et est mauvais – utilisez plutôt ces 5 excellentes applications d’authentification
- La fatigue des abonnements aux applications ruine rapidement mon smartphone
Services bancaires en ligne
Croyez-le ou non, les Américains utilisent l'authentification multifacteur depuis des années lorsqu'ils effectuent des opérations bancaires en ligne – ou, du moins, des versions édulcorées de celle-ci. En 2001, le Conseil fédéral d’examen des institutions financières (FFIEC) a exigé que les services bancaires en ligne américains déploient une véritable authentification multifactorielle d’ici 2006.
Nous sommes en 2013 et nous nous connectons toujours aux services bancaires en ligne avec des mots de passe. Ce qui s'est passé?
« Fondamentalement, les banques ont fait pression », a déclaré Rich Mogull, PDG et analyste chez Sécurose. « La biométrie et les jetons de sécurité peuvent fonctionner correctement de manière isolée, mais il est très difficile de les adapter même au secteur bancaire. Les consommateurs ne veulent pas être confrontés à plusieurs choses comme celle-là. La plupart des gens ne mettent même pas de codes d’accès sur leurs téléphones.
Les banques ont donc réagi. En 2005, la FFIEC a publié des lignes directrices mises à jour qui permettait aux banques de s’authentifier par mot de passe et « identification de l’appareil » – essentiellement, en profilant les systèmes des utilisateurs. Si un client se connecte à partir d’un appareil connu, il lui suffit d’avoir un mot de passe; sinon, le client doit franchir davantage d'obstacles – généralement des questions difficiles. L'idée est que profiler les appareils revient à vérifier quelque chose que les utilisateurs avoir (un ordinateur, un smartphone ou une tablette) pour accompagner le mot de passe qu'ils savoir.
Les banques sont devenues plus sophistiquées dans l’identification des appareils, et des directives fédérales encore plus récentes exiger que les banques utilisent plus qu'un cookie de navigateur facilement copié. Mais le système est encore faible. Tout se passe sur un seul canal, donc si un acteur malveillant peut accéder à la connexion d’un utilisateur (peut-être par vol, piratage ou malware), tout est fini. De plus, toute personne est traitée comme un client utilisant un nouvel appareil – et comme New York Times journaliste David Pogue peut en témoigner, les questions de sécurité répondues honnêtement offrent parfois peu de protection.
Cependant, la forme limitée de sécurité multifactorielle des services bancaires en ligne a grand avantage pour les consommateurs. Pour la plupart des utilisateurs, le profilage des appareils est la plupart du temps invisible et fonctionne comme un mot de passe, que presque tout le monde comprend.
Authentificateur Google
Les jetons numériques, les cartes de sécurité et d’autres appareils sont utilisés dans l’authentification multifactorielle depuis des décennies. Cependant, comme la biométrie, jusqu’à présent, rien ne s’est avéré réalisable pour des millions de personnes ordinaires. Il n’existe pas non plus de normes répandues, de sorte que les gens peuvent avoir besoin d’une douzaine de porte-clés, jetons, clés USB et cartes différents pour accéder à leurs services préférés. Personne ne fera ça.
Alors qu’en est-il des téléphones dans nos poches? Il y a presque un an, des chercheurs ont découvert près de 90 pour cent des adultes américains possèdent un téléphone portable – près de la moitié possédaient un smartphone. Les chiffres doivent être plus élevés désormais: ils seront sûrement utilisés pour l’authentification multifacteur ?
C'est l'idée derrière La vérification en deux étapes de Google, qui envoie un code PIN à usage unique à un téléphone par SMS ou par voix lors de la connexion aux services Google. Les utilisateurs saisissent à la fois leur mot de passe et le code pour se connecter. Bien entendu, les téléphones peuvent être perdus ou volés, et si la batterie s'épuise ou si aucun service mobile n'est disponible, les utilisateurs sont bloqués. Mais le service fonctionne même avec les téléphones multifonctions et est certainement plus sécurisé – bien que moins pratique – qu'un seul mot de passe.
La vérification en deux étapes de Google devient plus intéressante avec Authentificateur Google, disponible pour Android, iOS et BlackBerry. Google Authenticator utilise des mots de passe à usage unique basés sur le temps (TOTP), une norme soutenue par le Initiative pour l'authentification ouverte. Fondamentalement, l'application contient un secret crypté et génère un nouveau code à six chiffres toutes les 30 secondes. Les utilisateurs saisissent ce code avec leur mot de passe pour prouver qu'ils disposent du bon appareil. Tant que l'horloge du téléphone est correcte, Google Authenticator fonctionne sans service téléphonique; de plus, ses codes de 30 secondes fonctionnent avec autre services prenant en charge TOTP: pour le moment, cela inclut Boîte de dépôt, Dernier passage, et Services Web Amazon. De même, d'autres applications prenant en charge TOTP peuvent fonctionner avec Google.
Mais il y a des problèmes. Les utilisateurs soumettent des codes de vérification sur le même canal que les mots de passe, ils sont donc vulnérables aux mêmes scénarios d’interception que les services bancaires en ligne. Étant donné que les applications TOTP contiennent un secret, n'importe qui (n'importe où dans le monde) pourrait générer des codes légitimes si l'application ou le secret était piraté. Et aucun système n'est parfait: le mois dernier, Google a résolu un problème qui pourrait permettre rachats de comptes totaux via des mots de passe spécifiques à l'application. Amusant.
Où allons-nous à partir d'ici?
Le plus gros problème avec les systèmes comme la vérification en deux étapes de Google est simplement qu’ils sont pénibles. Voulez-vous jouer avec votre téléphone et vos codes A chaque fois tu te connectes à un service? Vos parents, grands-parents, amis ou enfants? La plupart des gens ne le font pas. Même les technophiles qui aiment le côté cool (et la sécurité) trouveront probablement le processus délicat en quelques semaines seulement.
Les chiffres suggèrent que la douleur est réelle. En janvier, Google a fourni Filaire Robert MacMillan un graphique d'adoption en deux étapes, y compris une pointe accompagnant « » de Mat HonanPiratage épique» article en août dernier. Remarquez quel axe n’a pas d’étiquette? Les représentants de Google ont refusé de dire combien de personnes utilisent son authentification à deux facteurs, mais le vice-président de la sécurité de Google, Eric Grosse, a déclaré à MacMillan qu'un quart de million d'utilisateurs étaient inscrits après l'article de Honan. Selon cette mesure, mon estimation au dos de l'enveloppe est qu'environ 20 millions de personnes se sont inscrites à ce jour, soit à peine une brèche sur plus de 500 millions de personnes. Google réclamations avoir un compte Google+. Ce chiffre semblait correct à une employée de Google qui ne voulait pas être nommée: elle estimait que moins de dix pour cent des utilisateurs « actifs » de Google+ s’étaient inscrits. « Et tous ne s’y tiennent pas », a-t-elle noté.
«Lorsque vous avez un public débridé, vous ne pouvez adopter aucun type de comportement au-delà des bases - surtout si vous n'avez pas donné à ce public une raison de le faire. vouloir ce comportement », a déclaré Christian Hessler, PDG de la société d'authentification mobile LiveAssurer. « Il n’est pas possible de former un milliard de personnes à faire quelque chose qu’elles ne veulent pas faire. »
LiveEnsure s'appuie sur la vérification hors bande des utilisateurs à l'aide de leur appareil mobile (ou même par e-mail). Entrez simplement un nom d'utilisateur (ou utilisez un service de connexion unique comme Twitter ou Facebook) et LiveEnsure exploite le contexte plus large de l'utilisateur pour s'authentifier: aucun mot de passe n'est requis. À l’heure actuelle, LiveEnsure utilise la « visibilité directe » – les utilisateurs scannent un code QR à l’écran à l’aide de leur téléphone pour confirmer leur connexion – mais d’autres méthodes de vérification seront bientôt disponibles. LiveEnsure évite l’interception en utilisant une connexion distincte pour la vérification, mais ne s’appuie pas non plus sur des secrets partagés dans les navigateurs, les appareils ou même son service. Si le système est fissuré, LiveEnsure affirme que les éléments individuels n'ont aucune valeur pour un attaquant.
"Le contenu de notre base de données pourrait être envoyé sur CD comme cadeau de Noël, et cela ne servirait à rien", a déclaré Hessler. "Aucun secret ne circule, la seule transaction est un simple oui ou non."
L'approche de LiveEnsure est plus simple que la saisie des codes PIN, mais nécessite toujours que les utilisateurs manipulent les appareils mobiles et les applications pour se connecter. D'autres visent à rendre le processus plus transparent.
Toopher exploite la connaissance de l'emplacement des appareils mobiles via GPS ou Wi-Fi comme moyen d'authentifier les utilisateurs de manière transparente, du moins à partir d'emplacements pré-approuvés.
"Toopher apporte plus de contexte à la décision d'authentification pour la rendre invisible", a déclaré le fondateur et CTO Evan Grimm. "Si un utilisateur est généralement chez lui pour effectuer des opérations bancaires en ligne, il peut l'automatiser pour rendre la décision invisible."
L'automatisation n'est pas requise: les utilisateurs peuvent confirmer sur leur appareil mobile à chaque fois, s'ils le souhaitent. Mais si les utilisateurs disent à Toopher ce qui est normal, il leur suffit d’avoir leur téléphone dans leur poche et l’authentification se fait de manière transparente. Les utilisateurs saisissent simplement un mot de passe et tout le reste est invisible. Si l'appareil se trouve dans un emplacement inconnu, les utilisateurs doivent confirmer sur leur téléphone - et s'il n'y a pas d'emplacement connectivité, Toopher revient à un code PIN temporel utilisant la même technologie que Google Authentificateur.
«Toopher n'essaie pas de changer fondamentalement l'expérience utilisateur, a déclaré Grimm. « Le problème avec d’autres solutions multifactorielles n’était pas qu’elles n’ajoutaient pas de protection, mais qu’elles modifiaient l’expérience utilisateur et présentaient donc des obstacles à leur adoption. »
Il faut être dans le jeu
Les mots de passe ne disparaîtront pas, mais ils seront complétés par des emplacements, des codes PIN à usage unique, des solutions de visibilité directe et de visibilité directe, des données biométriques ou même des informations sur les appareils Bluetooth et Wi-Fi à proximité. Les smartphones et les appareils mobiles semblent être le moyen le plus probable d'ajouter davantage de contexte pour l'authentification.
Bien sûr, il faut être dans le jeu si l’on veut jouer. Tout le monde ne possède pas de smartphone, et les nouvelles technologies d’authentification pourraient exclure les utilisateurs ne disposant pas de technologies récentes, laissant le reste du monde plus vulnérable aux piratages et au vol d’identité. La sécurité numérique pourrait facilement devenir un élément permettant de distinguer les nantis des démunis.
Et jusqu’à présent, on ne sait pas quelles solutions l’emporteront. Toopher et LiveEnsure ne sont que deux acteurs parmi tant d’autres, et ils sont tous confrontés au problème de l’œuf et de la poule: sans adoption par les utilisateurs et les services, ils n’aident personne. Toopher a récemment obtenu 2 millions de dollars de financement de démarrage; LiveEnsure discute avec de grands noms et espère bientôt sortir du mode furtif. Mais il est trop tôt pour dire où finira l’un ou l’autre.
En attendant, si un service sur lequel vous comptez propose une forme d’authentification multifactorielle – que ce soit via SMS, une application pour smartphone ou même un appel téléphonique – réfléchissez-y sérieusement. C’est presque certainement une meilleure protection qu’un mot de passe seul… même si c’est aussi presque certainement pénible.
Image via Shutterstock / Adam Radosavljevic
[Mise à jour le 24 mars 2013 pour clarifier les détails sur FFIEC et LiveEnsure et corriger une erreur de production.]
Recommandations des rédacteurs
- Comment retrouver les fichiers téléchargés sur votre iPhone ou smartphone Android
- Votre forfait Google One vient de recevoir deux mises à jour de sécurité majeures pour assurer votre sécurité en ligne
- Comment votre smartphone pourrait remplacer un appareil photo professionnel en 2023
- Le Pixel 6 de Google est un bon smartphone, mais suffira-t-il à convaincre les acheteurs?
- Le responsable de Google se dit « déçu » par le nouveau programme de sécurité iPhone d’Apple
