Il est de ces sujets peu abordés qui figurent pourtant dans les fondamentaux. C’est le cas des mots de passe, boucliers de base dans la protection des accès personnels aux systèmes d’information. Alors, comment bien choisir ces mots de passe ? Et pourquoi est-ce si important ?
"1.1 La biométrie
La biométrie est parfois présentée – à tort – comme une alternative au mot de passe, mais c’est en fait un très bon complément. La biométrie pose des problèmes de fiabilité : la reconnaissance des empreintes digitales est sensible à des problèmes de propreté, des pathologies de dépigmentation ou de circulation sanguine… Les informations biométriques peuvent être reproduites. Des empreintes digitales ont d’ailleurs été imitées dès 2015, sur la simple base de photos prises par un smartphone. Une autre imitation surprenante d’information biométrique consiste à enregistrer votre voix disant « oui » au téléphone, en réponse à des questions banales qu’un appelant malveillant vous pose. Pour rejouer votre voix sur divers services vocaux.
1.2 One Time Password
L’authentification par One Time Password, parfois qualifié de « forte » notamment quand elle est basée sur un équipement matériel, n’est pas exempte de vulnérabilité. Un « jeton d’authentification » générant des One Time Password, qui serait stocké dans le smartphone est également vulnérable, autant que l’est le smartphone lui-même. D’ailleurs, Google envisage d’abandonner la validation par SMS, en raison des risques de compromission des messages sur le réseau téléphonique. Même les « certificats », ces données cryptographiques qui incarnent la confiance numérique, sont eux-mêmes vulnérables comme le sont les systèmes informatiques qui les contiennent. Après tout, il ne s’agit que d’un fichier à importer dans le magasin de certificats de son système d’exploitation.
1.3 L’authentification à deux facteurs
Aujourd’hui, il faut considérer que l’amélioration n’est pas dans le remplacement du mot de passe, mais dans ce qu’on appelle l’authentification « à deux facteurs ». Le second facteur basé sur une de ces technologies vient renforcer l’authentification traditionnelle par mot de passe. Dans certains cas, on a même une authentification à trois facteurs. Par exemple, le contrôle d’accès d’un Datacenter peut se faire par combinaison d’un badge, protégé contre le vol et la perte par un code PIN, et une reconnaissance d’empreinte digitale garantit son caractère strictement personnel.
1.4 La centralisation des identités
Une autre technologie qui va certainement se généraliser est la centralisation des identités. Aujourd’hui, de grands acteurs comme Facebook ou Google, mettent à disposition d’autres applications leur gestion des identités. De cette façon, l’utilisateur n’a plus qu’une seule gestion d’identité. Là où 10 applications partagent la même identité, ce sont 9 mots de passe qui sont facilement gérés. Mais quels sont les risques à « mettre tous ses œufs dans le même panier » ? Estil prudent à long terme de confier la gestion de son identité digitale à Google et à Facebook ? Ces questions méritent d’être posées. Pour le moment, La Poste, le Trésor Public et la Sécurité Sociale préfèrent faire confiance à l’initiative gouvernementale France Connect."
