La sécurité des données est entrain de virer vers la solution biométrique, réputée plus sure que les mots de passe les plus compliqués.
La multiplication des processus numériques a montré la médiocrité sécuritaire de la méthode d’authentification en ligne via la paire identifiant/mot de passe. Les derniers actes de vol massif d’adresses email, de profils numériques et de mots de passe le prouvent. Des célébrités ont vu toute leurs vies numériques effacées. Leurs identifiants Apple et comptes Google, Twitter et Amazon se sont retrouvés chez des pirates en l’espace d’une heure. Ces derniers tweetaient des remarques malveillantes à partir de leurs comptes Twitter et ont nettoyé leurs iPhones, iPads et MacBooks. Ces incidents sont des exemples de ce qui peut arriver lorsque les noms d’utilisateur et mots de passe arrivent entre de mauvaises mains. Ils se sont multipliés à cause du bug Heartbleed provenant du système de cryptage OpenSSL. La faille permet à des intrus de duper les serveurs OpenSSL et d’accéder aux informations personnelles cryptées.
En clair, le mot de passe, lors de sa transmission vers le serveur d’authentification, peut transiter par un ou plusieurs serveurs, selon la disponibilité des routes entre différents routeurs. Ce qui facilite son interception par des pirates ou même des éléments de la NSA. Certes, il est crypté pendant tout le parcours, mais après la découverte de la grave vulnérabilité Hearbleed, en avril dernier, par des chercheurs, et les révélations de Snowden, son déchiffrage est devenu aujourd’hui un jeu d’enfant pour les hackers.
Dès lors, les experts de la sécurité informatique s’accordent à dire que la solution au bug Heartbleed c’est carrément l’élimination totale du nom d’utilisateur et du mot de passe, devenus quasiment obsolètes. « Désormais, les jours de l’utilisation d’un mot de passe pour accéder à un compte bancaire ou un terminal mobile sont comptés », a déclaré, la semaine dernière, Michael Daniel, le conseiller principal du président Obama en matière de cybersécurité, lors d’un séminaire organisé par le centre de la politique nationale, Northrop Grumman Corp. « Face à l’augmentation du risque d’être piraté par des criminels, il est utile d’adopter rapidement une technologie d’identification basée sur la norme du balayage biométrique ».
L’Alternative
Ainsi, la biométrie est l’alternative principale au mot de passe. L’authentification biométrique est devenue l’un des nouveaux axes de la sécurité de l’information numérique. Le système existe partiellement depuis plusieurs années, mais l’initiative de le démocratiser est venue, non pas des gouvernements, mais des fabricants de terminaux mobiles intelligents. C’est Apple qui l’a popularisé avec le capteur d’empreinte digitale intégré à l’iPhone 5S, suivi par d’autres fabricants de smartphones et tablettes. D’autres recherches sont en cours, notamment chez Samsung, avec l’identification de l’utilisateur par l’iris de ses yeux, unique à chaque individu. Mieux, la société new-yorkaise EyeLock vient de commercialiser l’équipement Myris, la première solution biométrique dédiée à une authentification via l’œil humain. Télévendu à 280 dollars, via le site web de la compagnie, ce nouvel équipement utilise la forme géométrique de l’iris de l’usager pour authentifier son identité numérique. Le principe de fonctionnement de Myris s’appuie alors sur trois axes : stocker et crypter les diagrammes géométriques de l’iris d’un utilisateur dans un espace hardware sécurisé à l’intérieur de l’appareil ; connecter le dispositif à un PC à l’aide d’un câble USB ; et regarder avec les deux yeux le petit miroir intégré à l’intérieur de la caméra de l’appareil. Après quelques secondes, un anneau lumineux de couleur verte s’active pour signaler que l’usager a bel et bien été reconnu par le Myris qui exécute, à son tour, le logiciel qui sert à relier le PC de l’usager à un réseau sans le recours à un mot de passe ou à une clé de chiffrement. Cette procédure peut être utilisée pour établir des connexions sécurisées à des sites web ou pour se connecter à distance à un compte utilisateur dans un réseau d’entreprise. « L’émergence des lecteurs d’empreintes digitales n’est qu’une partie du nouveau processus de sécurisation numérique », a déclaré le premier responsable de la sécurité de l’information numérique à la Maison Blanche, ajoutant que la technologie de demain dotera les téléphones cellulaires de caméras biométriques ultra performantes et de gadgets électroniques d’authentification très pratiques. « Des millions d’américains se débarrasseront du processus ennuyeux de la confirmation de leurs identités numériques via le mot de passe », dit-il.
