BFM Tech

Comment les géants du web imaginent la fin du mot de passe

Le système d'exploitation macOS High Sierra.

Le système d'exploitation macOS High Sierra. - Apple

Empreinte digitale, reconnaissance faciale, biométrie, analyse comportementale, certificat électronique. Les entreprises high tech phosphorent à tout va pour enfin nous débarrasser du mot de passe.

Notre vie numérique pourrait être tellement simple et agréable s’il n’y avait pas ce boulet que nous traînons tous les jours avec nous : le mot de passe. Il est le sésame pour accéder à notre vie en ligne, mais terriblement lourd à gérer. Il faudrait qu’il soit totalement aléatoire et unique pour chaque compte que nous créons. Et idéalement, il faudrait le changer tous les trois mois. Face à la multiplication des services que nous utilisons, sa gestion est devenue impossible pour le commun des mortels. Résultat : nous sommes nombreux à utiliser des mots de passe facile à retenir, donc faibles, et souvent le même pour plusieurs sites. Ce qui fait le bonheur des pirates.

Pour les géants du Web, cette situation n’est pas satisfaisante. Ils souhaiteraient que l’accès à leurs services soient simples et sécurisés à la fois. C’est pourquoi ils aimeraient bien supprimer le mot de passe. Plusieurs pistes sont d’ores et déjà explorées, plus ou moins avancées.

Microsoft nous dit "Hello"

Chez les utilisateurs de Windows, le mot de passe est d’autant plus détesté qu’il est généralement précédé d’un "Ctrl-Alt-Suppr". Pour lui tordre le cou, Microsoft a créé Hello, un système d'authentification basé sur la biométrie (visage, empreinte digitale, iris), à condition bien sûr d'avoir l'équipement de lecture nécessaire. Il faut toujours définir un mot de passe – histoire d'avoir toujours une issue de secours – mais il sera utilisé beaucoup moins souvent. Durant l'été, à l'occasion de la prochaine grande mise à jour de Windows 10, le système Hello acceptera aussi les accessoires connectés (montres, bracelets, porte-clés…) comme sésame d'accès. Il devrait également être intégré avec le navigateur Edge pour faciliter, de la même manière, l'accès aux comptes en ligne.

Google veut nous scanner en permanence

Le géant du web, de son côté, a imaginé une méthode plus sophistiquée, mais aussi nettement plus intrusive. D'ici à la fin de l'année, les smartphones Android seront dotés de la technologie Trust API qui s'appuiera sur les différents capteurs de l'appareil pour être certain que l'utilisateur est bien le bon. L'idée est d'établir un score de confiance basé sur différents éléments: l'empreinte digitale, la reconnaissance faciale, la localisation, les habitudes de saisies de texte, etc. La nouveauté, c'est que ce score serait calculé en permanence, en tâche de fond. Même si un pirate arrivait à déverrouiller un smartphone, il ne pourrait pas utiliser les applis car Trust API détecterait qu'il ne s'agit pas de la bonne personne. Pour les applications bancaires, en particulier, il faudrait atteindre un score maximal. Le revers de la médaille, c'est que l'appareil sera en train de nous scanner en permanence, ce qui ne plaira pas forcément à tout le monde.

Intel True Key, le mot de passe biométrique

Au travers de sa filiale Security, le géant Intel propose lui aussi une solution pour supprimer le mot de passe… en apparence. Baptisée True Key, elle est en fait un gestionnaire de mots de passe dopé à la biométrie. Les mots de passe de vos services Web sont stockés de manière chiffrée dans une base de données en ligne.

Lorsqu'on souhaite se loguer sur un site, True Key s'intercale pour gérer le processus l'authentification. Il suffit de montrer son visage ou son empreinte digitale et hop, True Key déchiffre le mot de passe et l'envoie automatiquement au service en question. C'est pratique, mais il faut quand même gérer des mots de passe en arrière-plan.

FIDO, le standard "zero-password" pour le cloud

Pour réellement pouvoir se passer du mot de passe sur le Web, les géants high-tech se sont regroupés ensemble pour créer le standard FIDO (Fast Identication Online). L'idée est de remplacer le mot de passe par un certificat électronique dont la gestion sera totalement transparente pour l'utilisateur. Celui-ci enregistre une donnée biométrique sur un smartphone ou un PC, ce qui va générer une clé publique et une clé privée. La première est envoyée au site Web, la seconde est stockée de manière sécurisée sur le terminal avec les données biométriques.

Les deux seront utilisées par la suite dans un protocole d'authentification qui permettra à l'utilisateur d'accéder au site par la seule magie biométrique. Une solution simple en apparence, mais complexe au niveau de l'implémentation car elle doit être adoptée par l'ensemble de l'écosystème: les fabricants de terminaux, les éditeurs de logiciels et les sites web. A l'heure actuelle, c'est plutôt bien parti: la FIDO Alliance compte tous les grands noms de high tech: Intel, Microsoft, Google, Lenovo, Qualcomm, Samsung, Huawei, eBay, PayPal, VISA, etc.