Vols d’identité numérique, piratages de comptes : Mayank Upadhyay, directeur des ingénieurs sécurité de Google, explique à FRANCE 24 comment le géant de l’Internet veut inventer l’ère post-mot de passe. Que ce soit avec une clef USB ou un tatouage.
Ce sont les petites e-tragédies du quotidien. Les vols d’identité numérique et le piratage de comptes mails et autres identifiants Twitter font, certes, moins de bruit médiatique que les grosses opérations de cyber-espionnage contre les États-Unis ou les virus surpuissants comme Stuxnet capables de ralentir le programme nucléaire iranien. Mais, pour le commun des mortels sur l’Internet, les conséquences peuvent être désastreuses.
Mat Honan, journaliste du site américain Wired, avait ainsi raconté, en juin 2012, comment des hackers avaient pu “détruire toute [sa] vie numérique” en récupérant simplement ses identifiants Apple. Grâce à eux, ces cybercriminels avaient pu accéder à ses comptes Amazon, Twitter et à sa messagerie gmail. Ils y avaient tout effacé, le laissant nu comme un cyber-ver.
Des histoires comme celle-ci ont poussé un nombre croissant de grosses entreprises du Net, comme Twitter la semaine dernière, à adopter le système de double authentification. Pour se connecter à un compte, l’identifiant et le mot de passe ne suffisent plus. L’utilisateur doit également entrer un numéro unique envoyé sur son téléphone portable par Twitter, Microsoft & Co.
Une double sécurité qui a la cote en ce moment. Mais, pour certains, ce n’est déjà plus suffisant. C’est notamment le cas de Mayank Upadhyay. Le directeur monde de l’ingéniérie securité chez Google est l’un des deux co-auteurs d’un document de travail, publié en mars dernier, sur l’ère post-mot de passe. Il y évoque notamment la piste d’une bague qui contiendrait les identifiants Google de son utilisateur. Il suffirait de la brancher comme une clef USB afin de se connecter à tous les services Google et à ceux qui lui sont associés. Dans une interview accordée à FRANCE 24, Il explique que le temps où l’on n’aura plus à se souvenir de 35 mots de passe différents peut arriver plus vite que prévu et précise à quoi ressemblera ce nouveau monde.
FRANCE 24 : Où en êtes-vous de la création d’une bague pour remplacer tous les mots de passe ?
Mayank Upadhyay : L’idée de la bague relève plus d’une hypothèse sur laquelle nous travaillons. Ce qui est davantage d’actualité, c’est une clef USB, appelée « jeton d’identification ». Il suffit de la brancher à un ordinateur et d’entrer un code PIN dans un navigateur internet compatible afin que son propriétaire soit identifié comme l’utilisateur légitime des services auxquels il veut se connecter.
Nous avons constaté que les internautes sentent qu’ils contrôlent davantage la situation sur Internet lorsqu’ils utilisent des solutions matériels comme des clefs USB plutôt qu’en entrant des mots de passe. Nous voulons également que ces produits puissent être achetés dans n’importe quel magasin d’informatique, et pas seulement en passant par Google. En outre, ils pourraient servir non seulement à se connecter à nos services mais aussi à ceux d’autres sites qui accepteraient de participer à cette initiative.
Voulez-vous dire que cette clef USB va bientôt être disponible pour le grand public ?
M.U. : Actuellement, seuls les employés de Google peuvent s’en servir. Nous devrions la proposer en test à des personnes extérieures à l’entreprise d’ici à la fin de l’année. J’espère, ensuite, que nous pourrons la distribuer plus largement à partir de 2014. Mais d’ici là, il faut que nous réfléchissions à certaines questions comme savoir ce qui se passe si un utilisateur perd le connecteur USB.
Le corps en gigantesque mot de passe ? Pourquoi pas !
Certains vont même encore plus loin que vous, comme Motorola [propriété de Google, NDLR]. Ils travaillent par exemple sur des tatouages et même des pilules* pour remplacer les mots de passe….
M.U. : Ce sont des exemples intéressants de pistes de réflexion qui sortent des sentiers battus pour trouver comment simplifier et rendre l’authentification plus sûre.
Mais de là à imaginer que notre corps se transforme en gigantesque mot de passe…
M.U. : Pourquoi pas !
Pourquoi vouloir à tout prix remplacer les mots de passe ?
M.U. : Je pense que l’ère des mots de passe tels que nous les connaissons touche à sa fin. Ils vont se transformer en quelque chose de plus simple et de plus efficace. Reste à savoir quoi.
Actuellement, un internaute dispose, en moyenne, de 20 à 25 comptes différents sur Internet. Il doit donc se souvenir d’un nombre croissant de mots de passe, ce qui le pousse parfois à utiliser le même plusieurs fois. C’est une opportunité pour les pirates informatiques.
Chez Google, les équipes en charge de la sécurité réussissent à déceler 99 % des tentatives d’authentification frauduleuses. Mais vu le nombre d’utilisateurs de nos services [en 2012, 425 millions d’internautes avaient un compte gmail, NDLR], les 1 % restant ne sont pas anodins. C’est pourquoi nous cherchons à aller au-delà des mots de passe.
Une solution en plus
Chercher des alternatives aux mots de passe, n’est-ce pas finalement admettre l’échec du système de double authentification présenté par Google comme le moyen de renforcer la sécurité des comptes internet ?
M.U. : Des millions d’utilisateurs des services Google s’en servent et je pense que le système de double authentification tel qu’il existe fonctionne très bien. Le fait que différentes sociétés comme Microsoft, Dropbox ou encore Twitter le mettent aussi en place prouve qu’elles partagent l’idée que c’est un mécanisme permettant de rendre Internet plus sûr pour tous.
Mais notre travail consiste aussi à réfléchir au futur et aux moyens de toujours innover dans ce domaine. On peut ainsi imaginer que si le connecteur USB rencontre un vrai succès, il devienne une option supplémentaire en plus de la double authentification.
Donc, Google ne va pas imposer à ces utilisateurs d’utiliser cette clef USB plutôt que les mots de passe ?
M.U.: Non, elle est censée être complémentaire du mot de passe et de la double authentification. Chacun va se sentir plus ou moins à l’aise avec cette clef USB.
Que répondez vous à Kim Dotcom – le créateur du site Megaupload – qui a affirmé la semaine dernière détenir le brevet de la double authentification ?
M.U. : Je ne peux pas vous donner de position juridique de la part de Google sur le sujet, mais je peux vous dire que ceux qui travaillent dans le secteur depuis longtemps savent que les entreprises utilisaient des systèmes de double authentification bien avant le brevet que Kim Dotcom dit détenir.
*: Le tatouage, appliqué grâce à un tampon sur la peau, permet de s’identifier en l’approchant d’un smartphone Android. La pilule émet, une fois avalée, un signal qui est capté par le smartphone
france24.