CES 2014 : un assaut technologique sur le mot de passe

Saisir des mots de passe et s'inquiéter des violations de données sur les services en ligne pourraient bientôt occuper moins de votre temps. Cette semaine à l'International Consumer Electronics Show, plusieurs entreprises ont lancé des technologies qui contournent les mots de passe avec des technologies d'authentification qui reposent sur les empreintes digitales, les yeux ou d'autres astuces. Certaines de ces technologies seront disponibles cette année sur les gadgets existants, tandis que d'autres devraient être intégrées dans les futurs PC, tablettes et téléphones. L'un a le soutien de Google, qui a dit espérer que les mots de passe ne seront finalement utilisés que rarement (voir Google Experiments with Ring as Password ).





Les experts en sécurité disent depuis longtemps que les mots de passe sont un mauvais moyen de garder les appareils et les comptes en ligne privés. Mais avec peu d'alternatives, ils ont fini par dominer la vie numérique. Les principaux inconvénients liés aux mots de passe sont que les gens ont du mal à s'en souvenir et les réutilisent souvent, et les entreprises doivent les stocker dans des bases de données centrales ciblées par les criminels. Quelque 150 millions de noms d'utilisateur et de mots de passe ont été récupérés sur les serveurs d'Adobe en octobre 2013. Evernote, LinkedIn et d'autres sociétés ont subi des violations similaires.

Les noms d'utilisateur et les mots de passe ne sont pas une bonne sécurité, et ils sont également peu pratiques et deviennent de plus en plus difficiles à gérer à mesure que nous devenons de plus en plus complexes, déclare Stina Ehrensvärd, PDG de Yubico , qui a présenté au CES la YubiKey Neo, un dispositif d'authentification similaire à une clé USB.

Il fonctionne avec un protocole appelé U2F en cours de développement par Google, dont les employés utilisent l'appareil pour accéder aux systèmes internes de l'entreprise. Les utilisateurs insèrent leur Neo personnel dans le port USB d'un PC ou le tapent contre un appareil mobile lorsqu'ils doivent se connecter à une application ou à un service Web. Une application de téléphone d'assistance ou le navigateur Chrome utilise ensuite la puce sécurisée à l'intérieur du Neo pour échanger des clés cryptographiques avec le service. L'utilisateur doit également saisir un code PIN court.



Bien que l'utilisation du système nécessite un nouveau matériel et des systèmes de connexion, Yubico, Google et certains partenaires tentent de convaincre d'autres entreprises et fabricants de navigateurs de l'adopter. Ehrensvärd affirme que les grandes entreprises, telles que les banques, voudront le faire car cela offre le bon équilibre entre une plus grande sécurité et une facilité d'utilisation pour leurs clients. L'expérience utilisateur peut être très fluide, dit-elle, et une clé n'est verrouillée pour aucune entreprise ou service. Le YubiKey Neo sera mis en vente plus tard cette année pour 50 $ après que le protocole U2F aura été affiné, a déclaré Ehrensvärd. Elle s'attend à ce que beaucoup soient vendus en gros à prix réduit aux entreprises, dont certaines peuvent le distribuer gratuitement à leurs clients.

Plusieurs autres entreprises au CES ont démontré des façons d'utiliser des parties du corps pour garantir votre identité. Synaptics, qui construit une technologie de pavé tactile et d'écran utilisée dans de nombreux ordinateurs et appareils mobiles, a fait la promotion de sa nouvelle division de capteurs d'empreintes digitales.

La biométrie des empreintes digitales n'est pas nouvelle, mais Sébastien Taveau, ancien directeur de la technologie de Validity, une société de capteurs d'empreintes digitales que Synaptics a acquise en octobre, affirme que la technologie de numérisation est maintenant suffisamment mature pour devenir courante. Il souligne l'inclusion par Apple d'un lecteur d'empreintes digitales sur son iPhone 5S, lancé l'année dernière, comme un tournant. Cela en a vraiment fait une technologie grand public, dit-il.



Synaptics fabrique déjà des lecteurs d'empreintes digitales qui se trouvent dans certains ordinateurs portables professionnels et le smartphone HTC One Max, mais au CES, il a montré des capteurs plus compacts qui pourraient être plus faciles à utiliser. Ceux-ci capturent une empreinte digitale d'un simple toucher et peuvent être intégrés dans un bouton, comme celui de l'iPhone 5S d'Apple, ou même placés sous la vitre d'un smartphone dans la zone à côté de son écran. À terme, il pourrait devenir possible d'intégrer des capteurs d'empreintes digitales dans l'écran d'un appareil tactile, explique Taveau.

Les dispositifs d'authentification peuvent également permettre de nouvelles formes de personnalisation, explique Andrew D'Souza, président de Bionym, qui fabrique un bracelet appelé Nymi qui vérifie l'identité des utilisateurs de téléphones par les signaux uniques de leur rythme cardiaque. Nous aimerions que vous entriez dans un restaurant et qu'ils vous donnent un verre que vous aimez et se souviennent de votre nom, dit-il. D'Souza dit que cette année, sa société annoncera des partenariats avec des sociétés de paiement, de vente au détail et en ligne, qui permettront aux gens de se connecter en utilisant le Nymi au lieu d'un mot de passe.

Un appareil qui scanne vos yeux pour vous permettre d'accéder à votre PC et à vos comptes en ligne également lancé au CES. Le Myris est un appareil circulaire de la taille d'une souris d'ordinateur et se connecte à un ordinateur par un câble USB.



Pour l'utiliser, vous regardez dans le petit miroir sur sa face inférieure pendant 15 secondes, pendant lesquelles une caméra vidéo infrarouge recherche 240 points dans chaque iris. Sur la base de la signature individuelle qu'il détecte, le logiciel d'assistance peut saisir des mots de passe dans des sites Web ou déverrouiller un ordinateur qui utilise les systèmes d'exploitation Windows, Mac ou Chrome.

Le Myris sera mis en vente au premier semestre de cette année, mais aucun prix n'a été annoncé par EyeLock, la société à l'origine de celui-ci. Le directeur marketing Anthony Antonino a déclaré Examen de la technologie du MIT que d'ici la fin de l'année, la technologie sera intégrée à certains PC et tablettes. C'est possible car des caméras infrarouges vont bientôt apparaître dans ces appareils (voir Têtes de caméra 3D pour ordinateurs portables et tablettes ).

Synaptics, Yubico, EyeLock et d'autres sociétés anti-mots de passe développent leur technologie sous l'égide de l'Alliance FIDO, un groupe industriel qui vise à garantir que ces technologies peuvent fonctionner les unes avec les autres (voir PayPal, Lenovo Launch Campaign to Kill the Password ). FIDO, qui bénéficie du soutien de grandes entreprises telles que Google, Microsoft, PayPal, Lenovo et MasterCard, a approuvé le protocole U2F de Google.



Quels que soient les protocoles finaux adoptés par FIDO, ils auront une chose en commun : l'empreinte digitale d'une personne, ou l'identifiant unique d'un périphérique USB, ne sera pas envoyé sur Internet. Au contraire, ils seront vérifiés localement ; tout ce qui est transféré sur Internet sera des clés cryptographiques qui ne peuvent pas être rétro-conçues pour voler l'identité d'une personne. Taveau de Synaptics dit que cela offre une protection suffisante pour tous sauf ceux qui ont des ennemis très motivés. Si quelqu'un vous coupe le doigt, dit-il, vous avez de plus gros problèmes.

cacher