Régulièrement annoncée, la mort du mot de passe ne s'est toujours pas produite, ses alternatives possibles n'ayant pas encore réussi à s'imposer malgré ses défaillances en termes de sécurité.
"C'est un sujet primordial en termes d'innovation puisque la disparition ou l'amélioration des mots de passe est un facteur clé dans la gestion de l'avenir de l'informatique au quotidien", résume David Grout, directeur Europe du Sud d'Intel Security.
Les exemples d'attaques d'ampleur se sont multipliés récemment: en août 2014, 1,2 milliard de mots de passe correspondant à 420.000 sites internet ont par exemple été dérobés.
Ce phénomène a représenté en 2014 une perte moyenne de trois millions d’euros par entreprise à l’échelle mondiale, selon le spécialiste de la gestion sécurisée de l'identité, Ping Identity.
Avec la tendance du "Bring your own device" (BYOD) qui voit de plus en plus de travailleurs amener leur appareil mobile dans leur environnement professionnel, trouver de nouvelles solutions de connexion sécurisée, sans affecter la productivité, devient un enjeu encore plus crucial pour les entreprises.
Une étude Sailpoint dévoilée en janvier pointait ainsi du doigt l'indifférence généralisée des salariés vis-à-vis des données sensibles de leur employeur. Elle montrait aussi que, parmi eux, un sur sept se disait prêt, s'il en avait l'opportunité, à vendre ses mots de passe professionnels contre seulement un peu plus de 130 euros en moyenne.
Les risques s'intensifient aussi pour les individus ayant du mal à les retenir ou à les changer régulièrement.
Leur smartphone regroupe chaque jour davantage d'applications accessibles par un mot de passe, de la consultation du compte en banque jusqu'à la domotique connectée bientôt installée massivement dans les foyers.
L'inventeur de ce dispositif, l'informaticien américain Fernando Corbato, a lui-même reconnu que c'était devenu "une sorte de cauchemar" dès l'arrivée d'internet.
Pour pallier ces faiblesses, plusieurs remplaçants sont sur les rangs, en premier lieu l'empreinte digitale, utilisée par Apple et Samsung.
Mais ce mode d'identification apparaît déjà compromis: un chercheur en sécurité spécialisé en biométrie a indiqué fin décembre avoir pu reconstituer l'empreinte digitale de la ministre de la Défense allemande à partir de simples photos de son pouce et il a depuis été imité par de nombreux hackers.
Empreinte des oreilles
Une autre possibilité biométrique qui n'a à priori pas encore été piratée consiste à scanner l'iris de l'oeil de l'utilisateur.
Le groupe japonais Fujitsu a annoncé lundi lors du Congrès mondial de la téléphonie mobile de Barcelone avoir déployé un tel système dans un prototype de smartphone.
"L'authentification de l'iris pourrait être utilisée pour se connecter à des services Web sans avoir à entrer un ID ou mot de passe, ce qui permet un accès simple et sécurisé", souligne l'entreprise.
Intel Security a lui développé une solution de reconnaissance faciale appelée "True Key".
"Nos algorithmes mathématiques mesurent l'écartement entre les yeux, la profondeur du nez, la largeur du front pour éviter qu'une photo basique ne fasse le travail", explique David Grout.
Une fois la reconnaissance faciale effectuée, l'utilisateur est connecté en une fois à toutes ses applications pré-enregistrés.
Le groupe américain Nuance Communications basé à Montréal travaille lui depuis plusieurs années sur la reconnaissance vocale.
"La forme de nos dents et de nos sinus laissent une trace sur la voix qu'on est en mesure d'identifier", affirme Bretislav Beranek, en charge du marketing.
"Même un extrait enregistré ou un imitateur ne parviennent pas à tromper notre logiciel", assure-t-il.
Fin 2015, 12 millions de clients de Barclays bénéficieront de la solution de Nuance, qui pourrait être racheté d'ici là par Samsung.
Plus farfelu en apparence, l'application ERGO propose pour sa part de déverrouiller son smartphone par le biais d'empreintes des oreilles.
Quelle que soit la solution retenue, des obstacles technologiques se poseront, en particulier dans les pays émergents.
Les experts en sécurité estiment donc que la transition devrait dans un premier temps s'organiser au cas par cas sur la base d'un mélange de technologies dont le mot de passe, qui conserverait jusqu'au bout une certaine utilité.
Vos commentaires