Authentification : les alternatives biométriques aux mots de passe





Les enquêtes se suivent et se... ressemblent toujours. Depuis des années, elles révèlent que la majorité des mots de passe (et des identifiants, appelés aussi « login ») sont rudimentaires, voire « simplistes ». Beaucoup de ces sésames sont une suite de chiffres (exemple : 123456, qui est le plus utilisé en 2013 selon une étude de Splashdata, fournisseur d'applications de gestion de mots de passe) ou de lettres (exemple : abcdef) ou de mots de la vie courante (exemple : chat, maison, bureau...). Sans parler bien sûr des incontournables dates de naissance et prénoms !

Ce constat n'est finalement pas très surprenant. Chaque internaute ayant en moyenne une vingtaine de mots de passe, la création de différents « passwords » capables de résister plus ou moins longtemps aux différentes techniques de piratage devient un casse-tête ! Il n'est donc pas étonnant que les internautes - grand public et professionnels - succombent à la facilité en imaginant des mots de passe simples à mémoriser, voire à n'en utiliser que quelques-uns pour tous leurs comptes !

Les attaques à répétition des sites (Twitter, LinkedIn, eBay, Orange...), sans parler de la faille « Heartbleed », n'arrangent pas la situation . A chaque fois, c'est la même rengaine : « changez vos mots de passe ». A ce rythme-là, les internautes auront bientôt fait le tour de toutes les dates de naissance qu'ils connaissent !

Payer pour être en sécurité ?

Son fonctionnement est directement inspiré de celui des anciens coffres-forts que l'on ouvre en tournant une molette, dans un sens ou dans l'autre, en respectant un certain nombre de crans, correspondant à une combinaison (la seule chose à retenir) constituée de 4 à 8 chiffres, en fonction du niveau de sécurité désiré.

C'est un fait, un mot de passe n'est plus une parade efficace. Surtout s'il s'agit d'un mot de passe « faible ». « Pas besoin de disposer d'un supercalculateur ; avec un puissant PC portable, un programme spécialisé dans les attaques par dictionnaire (schématiquement, le logiciel scanne pour trouver des mots existants dans un dictionnaire, Ndlr) peut tester 500 millions de mots de passe à la seconde », prévient Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles à l'ESIEA.

Face à ce constat, différentes alternatives sont avancées et proposées. Leurs partisans tiennent tous le même discours : « notre solution est simple, mais efficace ».

Les principales solutions reposent sur l'authentification biométrique. En effet, selon une étude récente (février 2014) du cabinet d'analyse américain Gartner, 30 % des entreprises devraient recourir à des méthodes d'authentification biométrique pour leurs terminaux mobiles d'ici 2016. L'authentification par biométrie consiste à utiliser un système de reconnaissance basé sur les caractéristiques physiques ou comportementales d'un individu pour vérifier son identité.

Certes, il existe différentes solutions permettant de mettre à l'abri ses précieux mots de passe : le logiciel Keepass, les applications gratuites et payantes (30 euros par an) de l'entreprise française Dashlane ou encore la KrisCard (9,90 euros). Mise au point par Christophe Picot, cette carte a été doublement primée au Concours Lépine 2014 (Prix du Ministère de la Justice et Médaille d'or du concours).