LE DIRECT
Ombres de joueurs de volley ball

Le mot de passe est mort, vive le mot de passe !

4 min
À retrouver dans l'émission

Des systèmes tentent de pallier les failles sécuritaires du mot de passe. Mais ils posent d'autres problèmes.

Ombres de joueurs de volley ball
Ombres de joueurs de volley ball Crédits : Thomas COEX / AFP - AFP

Le petit monde de la technologie bruisse depuis quelques jours d’une nouvelle moins anecdotique qu’elle en a l’air : une entreprise aurait trouvé le moyen d'enterrer le mot de passe.

Ca n’a l’air de rien, mais c’est un enjeu majeur de la cybersécurité mondiale puisque nous passons notre temps à entrer des mots de passe, depuis l’ouverture de notre téléphone, jusqu’à l’identification sur chaque plateforme. Or, le mot de passe n’est pas un outil de sécurité maximal. Pour une raison simple : s’il arrive que se loge dans un mot de passe une jolie histoire personnelle (une jeune fille avait raconté à Rue89 avoir choisi comme mot de passe de son Wifi la date de sa première fellation), il s’agit le plus souvent d’une suite facile à identifier (par exemple “123456” est le mot de passe le plus utilisé sur Internet) et beaucoup de gens usent même mot de passe pour tous leurs comptes, voir, ce qui est pire, gardent le mot de passe d’origine (le fameux 0000 du téléphone portable). Bref, tout le temps, partout dans le monde, des mots de passe sont cassés, ce qui parfois n’a pas d’importance, mais peut devenir très grave si cela ouvre une entrée à un piratage plus vaste (dans une entreprise par exemple)..

Bien sûr, il existe des moyens de remédier à cela. Le choix de mots de passe qui sont simples à retenir, mais compliqués à casser (par exemple, une simple phrase, mais avec de la ponctuation). Il existe aussi des générateurs de mots de passe aléatoires ou des gestionnaires de mots de passe, qui vous permettent de les retrouver facilement (donc d’en avoir de variés et compliqués).

Mais ce n’est toujours pas très pratique. Et puis, il est toujours possible de se le faire voler, comme c’est le cas dans le grand piratage dont Yahoo ! a reconnu hier avoir été la victime en 2014. 500 millions de comptes piratés, de données personnelles subtilisées, dont des mots de passe, qui sont vendus à l’encan sur le Darknet. D’où la demande de Yahoo ! à ses usagers : changez vos de mots de passe. Super !

D’où la quête d’une martingale : l’outil qui nous permettra de nous passer des mots de passe. Et pour ça, il faut partir dans une autre quête : ce qui fait de nous des êtres uniques. L’évidence, ce sont des critères physiques : nos iris, nos empreintes digitales, nos données biométriques en général. Mais c’est un peu lourd comme procédé (par exemple, le IdTouch qui existe depuis 2013 sur les appareils Apple - et qui permet d’authentifier l’usager par son empreinte digitale - fait l’objet de tutoriels partout sur le web pour apprendre à bien l’utiliser).

S'authentifier par son empreinte digitale devient de plus en plus courant
S'authentifier par son empreinte digitale devient de plus en plus courant Crédits : Andrew Brookes / Cultura Creative - AFP

Et donc depuis des années, des entreprises travaillent à d’autres systèmes, plus sûrs, plus légers : et une start-up du nom de UnifyID a annoncé il y a quelques jours avoir mis au point un algorithme qui permet d’identifier de manière certaine une personne en regroupant un certain nombre de paramètres grâce aux capteurs dont nous outils numériques sont truffés : comment elle tape sur son clavier, comment elle marche, où elle va habituellement, son rythme cardiaque etc.. Bref, il s’agit de dresser une sorte de profil à partir d’un assemblage de données, qui, de surcroît, serait établi à partir d’un usage des différents appareils. Le fondateur de l’entreprise appelle ça “l’authentification implicite” : vous ne donnez pas un secret (le mot de passe), mais vous êtes le secret.

Le côté pratique, on le voit. Je passe sur le subtilités techniques mais en gros, à peine vous prenez votre téléphone en main, ou vous êtes assis face à votre ordinateur, ils savent que c’est vous, et le disent à toutes les plateformes qui nécessitent une identification.

Le problème, c’est que tout ça est à la fois très pratique, et ultra-flippant. Parce que l’établissement d’un profil à partir de captation de données peut être utilisé dans un autre sens. Par exemple, Apple a déposé en août un brevet pour un système qui permet, si un iPhone ou iPad est volé, de récupérer un maximum de données sur le voleur, et de les envoyer sur le compte Apple du propriétaire. Le système pourrait se déclencher à la suite de plusieurs essais infructueux du le mot de passe et récupérer l’empreinte digitale du voleur, mais aussi des données géographiques, des photos, du son etc. Ca n’est qu’un brevet, et rien ne dit que cela soit implémenté un jour dans un téléphone Apple. Mais cela illustre une évidence : la limite ténue qu’il existe entre la nécessité légitime de la sécurité et l’atteinte aux libertés individuelles. Car si le mot de passe est faillible du point de vue sécuritaire, il a pour lui d’être peu intrusif (de dire peu sur nous, ou alors ce qu’on a envie de dire), alors que les systèmes qu’on voit se profiler agissent dans une toute autre logique, la logique du comportement, du malgré soi, du profil, c’est un nous-mêmes numérique qui serait établi, un double informatique généré par des machines pour des machines, un double mystérieux et fantomatique, hébergé dans les bases de données de serveurs localisés on ne sait où. Pas sûr que ce soit plus rassurant que le mot de passe.

Chroniques

8H45
5 min

Le Journal de la culture

Le Journal de la culture : Vendredi 23 septembre 2016
L'équipe

France Culture

est dans l'appli Radio France
Direct, podcasts, fictions

INSTALLER OBTENIR

Newsletter

Découvrez le meilleur de France Culture

S'abonner
À venir dans ... secondes ...par......