Indexel

Authentification : quatre idées pour en finir avec les mots de passe

Par Thierry Lévy-Abégnoli le 17/04/2013 - indexel.net
 

Le couple identifiant / mot de passe est plus que jamais décrié pour son ergonomie contestable et sa sécurité toute relative. Voici quelques pistes pour le remplacer tout en renforçant la sécurité du système d’information.

 

Parmi les grandes tendances de 2013 (lire notre article : Les grandes tendances 2013 selon Deloitte), le cabinet Deloitte cite la fin des mots de passe, comme unique système d'authentification pour l'accès aux PC et aux applications. Place notamment à l'authentification multi-facteurs combinant le mot de passe et un autre procédé. Ni la carte à puce, ni l'authentification forte par token, ni la biométrie par empreinte digitale ou lecture de l'iris n'ont su s'imposer à grande échelle. Voici quatre technologies, nouvelles ou remises au goût du jour, pour en finir avec les mots de passe classiques et renforcer la sécurité de votre système d'information.

1. Le téléphone mobile personnel couplé à l'authentification forte

L'authentification forte impose habituellement l'usage d'un dispositif capable de générer un mot de passe dynamique à usage unique. Appelé token (ou jeton matériel), ce dispositif prend la forme d'une mini-calculatrice ou d'un porte-clés. L'idée, mise en pratique par SecurEnvoy, consiste à utiliser le téléphone mobile de l'utilisateur pour fournir ce mot de passe via un SMS. Le mobile peut être n'importe quel appareil personnel ou professionnel, toute l'intelligence de la solution étant concentrée côté infrastructure.

2. La technologie NFC complète l'authentification par mobile

La solution de SecurEnvoy souffre toutefois d'un défaut : l'utilisateur doit ressaisir le mot de passe dynamique. Gemalto propose d'éviter cette opération en utilisant la technologie NFC (sans contact, lire notre article : Six applications mariant NFC et smartphone promises au succès). Il suffit alors d'approcher le mobile du système à sécuriser, pour en ouvrir l'accès. Le constructeur fournit une solution complète incluant une carte SIM spéciale baptisée SIM UpTeq NFC, permettant de sécuriser l'accès à un PC, au réseau de l'entreprise ou à un bâtiment.

3. La clé USB poussée par Google

La carte à puce devait jouer le rôle de sésame permettant à l'utilisateur de s'authentifier. Le procédé, couplé à un pin code, est certes utilisé dans certaines entreprises mais celles-ci sont contraintes d'équiper leurs PC de lecteurs, qui ne font pas partie de l'équipement standard. Une alternative consiste à utiliser les ports USB qui sont, eux, présents sur tous les PC. Quelques solutions ont ainsi été développées, pour faire de l'authentification avec une simple clé USB. Mais elles sont restées confidentielles. Cela devrait changer grâce à Google, qui vient de dévoiler un projet de système d'authentification forte basé sur une clé USB baptisée YubiKey (lire notre article : Google déclare la guerre aux mots de passe), qui permettra d'accéder à l'ensemble des services Google. Son usage pourrait être étendu à d'autres ressources.

4. La reconnaissance vocale proposée par Nuance Communications

Leader mondial des logiciels de reconnaissance vocale, Nuance Communications commercialisait déjà une solution de "biométrie vocale" destinée aux entreprises, essentiellement des opérateurs, banques et administrations. Cette technologie a récemment été packagée afin que les constructeurs de PC, tablettes et smartphones puissent l'intégrer dans leurs produits, ce qui promet une banalisation du procédé à terme.