Parce qu'on utilise toujours les mêmes, qu'on les partage et qu'on les oublie, les mots de passe sont de piètres mécanismes d'identification. Le fait que les spécialistes en sécurité informatique souhaitent leur mort n'a rien de nouveau. Malgré tout, les mots de passe sont encore omniprésents. La popularité croissante des montres intelligentes et autres ordinateurs vestimentaires pourrait toutefois changer la donne au cours des prochaines années.
«Pour être honnête, les mots de passe sont ne sont pas sécuritaires, ils ne servent à rien et il est temps qu'on s'en débarrasse», a lancé Jonathan LeBlanc, chef mondial de l'évangélisme chez PayPal, au début de sa présentation. De passage à Montréal dans le cadre de la conférence techno ConFoo, il présentait alors sa vision de l'avenir de l'identification qui, selon lui, passe par la biométrie.
Même si ses mots sont forts, l'opinion de Jonathan LeBlanc n'a rien d'hérétique. Bien au contraire, elle est conforme à celle adoptée par la FIDO Alliance, lancée en 2013, qui compte parmi ses membres PayPal, MasterCard, Visa, Google, Microsoft et Samsung, pour ne nommer que ceux-là. Depuis lors, le consortium s'efforce de tuer le mot de passe en créant des normes sécuritaires pour ses solutions de rechange, qui peuvent aussi bien prendre la forme d'une carte à puce que celle d'un capteur d'empreintes digitales.
Ordinateurs vestimentaires et biométrie
Les moyens d'identifications biométriques vont bien au-delà des capteurs d'empreinte digitale de l'iPhone. Parmi ceux qui ont le vent dans les voiles, l'identification par la voix et la reconnaissance faciale, qui présentent l'avantage de fonctionner avec des capteurs déjà installés dans la plupart de nos appareils électroniques.
L'analyse des veines, mises en avant par la Suédoise Quixter, et celle du battement cardiaque, promue par la Torontoise Nymi, semblent elles aussi prometteuses.
À plus long terme, des technologies issues de la recherche médicale pourraient brouiller la limite entre les capteurs biométriques et notre propre corps. MC10, une start-up de Cambridge, vise ainsi à placer des capteurs biométriques dans un ordinateur de la taille d'un timbre-poste, qu'on applique sur la peau comme un tatouage temporaire.
Dangerous Things, une autre start-up, vend pour sa part un kit (au prix de 57 $) qui permet aux enthousiastes de s'injecter sous la peau une capsule stérile contenant une puce RFID similaire à celle qu'on retrouve dans les cartes de paiement sans contact.
Et c'est sans parler des facteurs d'identification temporaires sous forme de pilules à avaler et des implants dans le cerveau, qui ne sont pas encore proposés au grand public.
«Ce qui retarde l'adoption de toutes ces technologies, ce sont les normes culturelles, explique Jonathan LeBlanc. C'est la raison pour laquelle les ordinateurs vestimentaires qui ont du succès reprennent des formes familières, comme la montre ou le bracelet.»
Julien Blin, pdg de Gizworld, une firme californienne de consultation spécialisée en ordinateurs vestimentaires, attache pour sa part une seconde condition à la popularité de la biométrie : «On s'en va vers la biométrie, mais il faut que ce soit très simple. Les technologies qui s'imposeront sont celles qui ne demandent aucun effort, comme la technologie de reconnaissance de battements cardiaques des bracelets de Nymi ou la technologie d'identification vocale de Sensory, qu'on retrouve dans la montre intelligente de Motorola.»
Fondée en 2011, l'entreprise torontoise Nymi, qui fait partie de la FIDO Alliance, semble ainsi réunir les conditions gagnantes. Sans surprise, elle a obtenu 15,4 millions de dollars de financement à ce jour et compte MasterCard parmi ses investisseurs.
Son bracelet doté d'un électrocardiographe permet d'identifier la signature unique du battement cardiaque de chaque individu. Le bracelet mesurant le battement constamment, la technologie permet de s'assurer que l'utilisateur est bien celui qu'il prétend être en temps réel, ce que ni les lecteurs d'empreintes digitales ni les mots de passe ne peuvent faire.
La technologie de Nymi est déjà fonctionnelle, mais elle n'a pas encore été commercialisée à grande échelle. On peut toutefois commander son bracelet sur son site Web sous la forme d'un kit destiné aux développeurs au prix de 149 $.
À terme, Karl Martin, pdg de Nymi, croit que son bracelet pourra remplacer le mot de passe pour effectuer des paiements en magasin ou pour accéder à divers services en ligne. À court terme, il mise sur le marché des entreprises, où le mot de passe peut être supplanté plus rapidement que dans la société dans son ensemble. Malgré tout, Karl Martin considère que la mort du mot de passe va de soi : «Je déteste faire des prédictions, mais je pense que ce serait très prudent de dire que d'ici 10 ans, le mot de passe ne sera plus la norme.»
Jean-Loup Le Roux, consultant en cybersécurité chez I&I Strategy, ne croit pas que le mot de passe disparaîtra de sitôt. «Il n'y a pas d'approche miracle, mais c'est clair qu'on va assister à une multiplication des facteurs d'identification, qu'on combinera en fonction des différents cas d'utilisation», reconnaît-il néanmoins. L'authentification à deux facteurs, qui est déjà la norme pour de nombreux services, devrait ainsi évoluer au-delà de la combinaison mot de passe-téléphone cellulaire. Par exemple, la reconnaissance faciale pourrait être combinée à un mot de passe, mais aussi à une carte à puce, par exemple.
Un combat partagé
Même si elle se déroule dans l'ombre, la course au remplacement du mot de passe ne laisse personne indifférent. En effet, même les géants qui ne font pas partie de la Fido Alliance, comme Intel et Apple, ont réalisé d'importantes acquisitions dans le créneau de la biométrie et travaillent sur leur solution de rechange.
Intel, qui a acheté la montréalaise PasswordBox en décembre dernier, a dévoilé son jeu en janvier en lançant True Key. Le produit, qui n'est offert qu'à un nombre limité d'utilisateurs, permet aux consommateurs d'accéder à leurs services en ligne préférés grâce à la reconnaissance faciale. Loggr, une autre start-up montréalaise, propose pour sa part un service similaire, mais destiné aux entreprises. Même si la société ne fait pas partie de la FIDO Alliance, son pdg Julien Denaes nous a expliqué que son service se conformait à ses normes.
Si autant d'entreprises semblent être intéressées par ce changement de paradigme, c'est qu'il s'agit d'une affaire de très gros sous. À lui seul, le vol d'identité occasionnerait des pertes de 221 G $ US, selon la firme de recherche Aberdeen Group. Par ailleurs, pour les géants du Web, dont plusieurs vivent de la publicité, le fait de pouvoir identifier ses utilisateurs pourrait aussi valoir son pesant d'or : «Ces géants ont bâti leurs modèles d'entreprise et de sécurité sur une quantité monstre de données, mais ils ne savent pas vraiment qui se trouve de l'autre côté de l'écran», dit Karl Martin, pdg de Nymi.