Sécurité numérique : Google voudrait se passer de mots de passe
22 janvier 2013« You have a secret that can ruin your life ». C’est par ces mots que Mat Honan, l’un des contributeurs privilégiés de Wired News, la version numérique du célèbre magazine et périodique Wired, commençait en novembre dernier son analyse implacable de l’avenir qui s’offre aux mots de passe comme mode de sécurisation des accès sur internet. Sa réponse est claire : les mots de passe sont aujourd’hui dépassés.
À Google, on a fait le même constat. Pour eux, les mots de passes et les cookies ne sont plus suffisants pour garantir la sécurité des usagers du net. Chez le géant américain, on est actuellement en train d’étudier, sous la direction du Vice-président en charge de la sécurité, Eric Grosse et de l’ingénieur Mayank Upadhyay, les possibilités techniques et technologiques pour y remédier. Les conclusions de ce travail d’étude devraient être publiées pour la fin du mois dans le magazine de l’Institute of Electrical and Electronics Engineers (IEEE Security & Privacy Magazine) mais d’ores et déjà c’est vers la carte cryptographique développée par l’entreprise Yubico, qui a fait de la protection des identités en ligne son cheval de bataille depuis sa fondation en 2007, que se tournent tous les regards.
L’idée, derrière le développement de cette carte cryptographique baptisée Yubikey et qui pourrait être utilisée par Google, c’est de réunir sur un objet tangible, plus petit encore qu’une clé USB et qui peut être accroché à un porte-clés, l’ensemble des mots de passe d’un utilisateur. Cette petite clé jouerait donc le rôle d’une sorte de carte d’identité numérique assurant l’accès sécurisé à ses comptes où que l’on soit et sans avoir à entrer un mot de passe. Pour cela, Google a dû modifier son navigateur internet pour qu’il soit compatible avec la technologie Yubico sans nécessiter de téléchargement de logiciel supplémentaire : il suffit d’accéder au site, de brancher la clé USB, et de se connecter d’un simple clic.
Cette solution devrait certainement remplacer celle mise en place il y a deux ans par Google, devant les limites auxquelles se heurtaient la sécurité des mots de passe, qui consiste en une option activant la connexion en deux étapes, la seconde étant une confirmation par code envoyé sur le téléphone mobile de l’utilisateur. Malgré tout, si cette solution renforce la sécurité, il n’en demeure pas moins qu’un éventuel hackeur pourra toujours passer cette barrière supplémentaire, en recourant par exemple au hameçonnage (ou phishing).
Cependant, si l’utilisation de cette clé numérique se généralisait, elle ne signifierait pas la fin totale du mot de passe. Tout au plus, le futur « sera au moins débarrassé de tous ces mots de passe complexes et difficiles à mémoriser », selon les mots d’Eric Grosse. Mais il n’en sera pas pour autant libéré de tout risque : qui n’a jamais perdu ses clés ?
Xavier Giroult