Comment montrer patte blanche sans mot de passe ?

Deux responsables de Google ont avancé que les mots de passe sont désormais insuffisants pour assurer la sécurité d’utilisateurs de services informatiques. Le vice-président sécurité de Google Eric Grosse et l’ingénieur Mayank Upadhyay décrivent dans un article à paraître à la fin du mois dans un magazine d’ingénierie, et que le magazine Wired a pu consulter la semaine dernière, les alternatives auxquelles réfléchit le  moteur de recherche pour offrir un confort et une sécurité accrus aux utilisateurs de ses services.
Google avait déjà révélé son souci d’assurer une meilleure protection des données ces derniers temps en introduisant, de manière facultative il est vrai, une authentification en deux étapes, dans laquelle, en plus du mot de passe qui reste requis, un code renouvelable tous les 30 jours permet d’identifier et déclarer comme sûrs des ordinateurs, smartphones et applications. Il ne suffit donc plus pour les hackers cherchant  à pénétrer un compte de se procurer un mot de passe (par phishing ou en utilisant les routines de récupération de mots de passe par exemple), il leur faut en plus disposer de ces codes additionnels, transmis par SMS, pour authentifier le terminal ou l’application qu’ils utilisent.
Mais il ne s’agit manifestement que d’une étape vers la sécurité accrue que devraient apporter, dans l’esprit de Grosse et Upadhyay, des dispositifs physiques que Google pourrait introduire dans un avenir pas si lointain que ça. Renouant en quelque sorte avec les « dongles », clés physiques à brancher sur l’ordinateur et contenant un code non dupliquable avec lesquelles des éditeurs de logiciels cherchent à protéger leurs produits contre le piratage, Google envisage de généraliser des clés USB munies d’un dispositif proposé par la firme Yubico pour s’enregistrer sur ses comptes et services Google, ou encore de proposer un log-in à l’aide d’une bague. Grâce à une transformation apportée au navigateur maison Chrome, l’utilisation d’une carte Yubico peut permettre à un utilisateur de s’enregistrer d’un simple clic et d’accéder à tous ses services Google sans même entrer son identifiant. La connexion USB elle-même est conçue comme une étape transitoire, l’objectif ultime étant un enregistrement sans fil sur son ordinateur depuis un smartphone, qui dans leur esprit devrait fonctionner même si le téléphone n’a pas de réseau.
L’adoption d’un élément physique d’authentification signifie que si celui-ci est volé, il s’agit de ne pas tarder pour déclarer le vol et faire bloquer son compte, comme pour une carte de crédit. Commentant ces innovations, Wired fait valoir qu’elles ne fonctionneront que si elles sont  adoptées également par d’autres sites et services sur le web, de façon à se généraliser au-delà de Google. C’est d’ailleurs ce qu’expliquent les deux représentants de Google dans leur article : ils mettent au point un protocole d’authentification, réputé indépendant de leur entreprise, qu’ils inviteraient les autres intervenants, constructeurs de terminaux comme éditeurs de logiciels, à adopter.
L’idée de transporter un dispositif physique pour accéder à des services en ligne peut paraître anachronique et exposer inutilement à un risque additionnel. Mais Google semble avoir pris la décision d’opter pour cette solution pour éviter de devoir demander à ses utilisateurs d’adopter des mots de passe de plus en plus complexes, entremêlant lettres, signes, chiffres, majuscules et minuscules, associés à des codes obtenus par SMS et aux durées de validité limitées. La piste de la biométrie (empreinte digitale, analyse de l’iris), déjà adoptée par certaines entreprises, est elle aussi étudiée mais supposerait que l’on passe outre certaines objections de bioéthique et de protection de l’identité, d’autant plus que celles-ci sont abordées différemment par chaque législation nationale. En attendant l’introduction de ces nouvelles méthodes d’authentification, veillons à ne pas utiliser notre date de naissance ou le nom de notre chien comme mot de passe...