Publié

SécuritéLe mot de passe est mis à mort

Les traditionnels sésames sont peu à peu remplacés par d'autres systèmes. Notamment biométriques. Une solution qui ne présente pas que des avantages.

par
Fabien Feissli
1 / 2
Wauters
Pour Patrick Stadelmann du laboratoire de traitement des signaux de l'EPFL, nos sésames actuels posent de nombreux problèmes. «Ils peuvent être piratés, surtout s'ils sont trop simples et quelqu'un peut vous observer en train de le taper»

Pour Patrick Stadelmann du laboratoire de traitement des signaux de l'EPFL, nos sésames actuels posent de nombreux problèmes. «Ils peuvent être piratés, surtout s'ils sont trop simples et quelqu'un peut vous observer en train de le taper»

georgejmclittle - Fotolia

«Password», «123456», «12345», «12345678» et «qwerty». En 2014 encore, les internautes ont fait preuve de non-imagination dans le choix de leur mot de passe favori. Une situation qui a de quoi faire grincer des dents les spécialistes de la sécurité informatique. A tel point que les plus grandes entreprises – Google, Microsoft, Samsung et Visa en tête – se sont alliées pour mettre fin au problème. Leur but? «Changer la nature de l'authentification en ligne en réduisant la dépendance des utilisateurs au mot de passe», selon le site Web de l'alliance FIDO (Fast IDentity Online), spécialiste en sécurité informatique.

Données biométriques

Attendu pour l'automne prochain, le nouveau système d'exploitation de Microsoft, Windows 10, intégrera Windows Hello, un outil d'identification biométrique. Les utilisateurs pourront s'identifier en scannant leur visage, leur iris ou le bout de leur doigt. De son côté, Apple a déjà équipé ses iPhone 5s, 6 et 6 plus d'un capteur permettant de le déverrouiller avec ses empreintes digitales. «Il est difficile de donner une date, mais il est tout à fait raisonnable de prédire qu'à terme la biométrie remplacera les mots de passe», estime Patrick Stadelmann du laboratoire de traitement des signaux de l'EPFL. Pour lui, nos sésames actuels posent de nombreux problèmes. «Ils peuvent être piratés, surtout s'ils sont trop simples et quelqu'un peut vous observer en train de le taper», détaille-t-il.

Il assure donc que les systèmes biométriques sont plus efficaces et facilement applicables puisque les appareils concernés possèdent presque tous les capteurs nécessaires, notamment des webcams. «C'est un moyen d'avoir la sécurité sans les inconvénients des mots de passe. Il n'y a pas besoin de s'en souvenir.» Patrick Stadelmann reconnaît tout de même que les données biométriques ne sont pas inviolables. «Mais il faut beaucoup de temps et de ressources pour y arriver. Donc on ne le fait pas sans un intérêt important», précise-t-il.

Double authentification

Le directeur technique de la société de sécurité informatique SCRT, Sergio Alves Domingues, souligne l'avantage principal des données biométriques. «Elles ne peuvent pas être copiées. En revanche, si vous vous les faites voler, vous ne pourrez pas changer de visage.» D'ailleurs, même si la porte de son bureau scanne les veines de sa main avant de s'ouvrir, il ne pense pas que la biométrie soit une réponse à large échelle. «Pour s'identifier en ligne, il faudra dans tous les cas qu'un algorithme soit transmis. Lui aussi pourrait être piraté», explique-t-il. Selon lui, la solution est plutôt à chercher du côté de la double authentification qui se met petit à petit en place. Une fois son mot de passe entré, l'utilisateur reçoit un second code, via une application ou un SMS.

Une technique qui a également les faveurs de Cédric Jeanneret, fondateur d'Ethack.org. «Les entreprises réfléchissent au problème actuel «le mot de passe est trop faible», mais pas plus loin. Si la base de données avec mes empreintes se fait pirater, on fait quoi? Je ne peux pas les changer», regrette-il. Pour lui, miser sur la biométrie comme le fait Windows Hello est un mauvais choix. «Je n'ai pas envie que mon iris, mon visage ou ma voix se retrouvent sur des serveurs privés, encore moins américains.»

Une réticence nuancée par Patrick Stadelmann. «A partir du capteur, ils ont une image temporaire des empreintes digitales. S'ils n'ont pas d'intention cachée, ils n'ont pas besoin de les stocker», assure-t-il. Il reconnaît tout de même qu'il s'agit surtout d'une question de confiance envers l'entreprise. «Mais à partir du moment où la technologie est pratique et fiable, cela prendra le dessus sur les réticences», prédit-il.

Des Suisses dans la veine biométrique

Votre opinion