Authentifiez-vous !

Un nom, un mot de passe, et vous voilà connecté à un service en ligne. C’est simple et rapide, et la technique a encore de beaux jours devant elle. Mais elle est pourtant loin d’être la seule ! Petit tour d’horizon des différentes méthodes qui vous permettent de prouver votre identité en ligne.

Il existe trois façons de prouver son identité : grâce à ce que l’on connaît (un mot de passe), grâce à ce que l’on a (un passeport, par exemple) et grâce à ce que l’on est (une empreinte digitale, l’image de sa rétine, etc...). Quelle que soit la technologie d’authentification choisie, elle s’appuiera toujours sur un ou - de préférence - plusieurs de ces principes.

:: Ce que l’on connaît : le mot de passe

Au delà du simple mot de passe traditionnel, qui ne change que peu souvent, les mots de passe peuvent être “dynamiques”. Ils changent alors en permanence, ou après chaque utilisation. Dans sa forme la plus simple, le mot de passe dynamique n’est qu’une liste de mots de passe traditionnels. La différence : chacun n’est utilisable qu’une fois, et cela change tout ! L’astuce rend en effet inutile l’exploitation d’un sésame perdu ou volé (attention cependant à ne pas perdre la liste de ceux à venir !). Une fois à court de mots de passe disponibles, c’est comme avec les chéquiers : de nouveaux arrivent ! Il est cependant également possible de recevoir son mot de passe unique pour la session du moment directement sur le téléphone mobile, par SMS. Inutile alors de stocker des listes de mots de passe à usage unique.

L’autre méthode pour avoir de tels sésames est de disposer d’un objet (un “token” en anglais) capable de les créer pour nous. C’est le rôle des ces petites calculettes à écran que l’on voit souvent accrochées au porte-clés des cadres d’entreprise ou des responsables informatique. Certaines génèrent un nouveau mot de passe chaque minute (qu’il soit utilisé ou non), tandis que d’autres les créent sur demande à partir du précédent mot de passe ou d’un code affiché par le service en ligne au moment de la connexion. Dans tous les cas, on associe à ce que l’on connaît (le mot de passe), un second facteur : ce que l’on a (la calculette) afin de renforcer la robustesse de la méthode.

:: Ce que l’on a : l’objet

De nombreux objets courants peuvent servir de support à une authentification. Mais la plupart du temps ils ne seront pas utilisés seuls : ils seront associés à un code secret ou à un mot de passe, afin de les rendre inutilisables s’ils sont perdus. C’est par exemple le cas de la carte à puce, qui exige de saisir un code PIN avant qu’elle n’accepte de livrer le véritable mot de passe qui servira à vous identifier en ligne (ou au distributeur de votre banque !). De même, les calculettes évoquées ci-dessus exigent qu’un code PIN soit ajouté au mot de passe qu’elles génèrent, là aussi afin d’être inutiles en cas de perte. La présence d’un objet au moment de l’authentification garantit que le mot de passe transmis n’a pas été copié, entendu ou bien volé, mais qu’il provient effectivement du détenteur légitime de l’objet. C’est un échange gagnant-gagnant : le mot de passe protège l’objet, et ce dernier renforce le mot de passe.

:: Ce que l’on est : la biométrie

Sur le papier, la biométrie est une solution idéale. Elle permet de prouver son identité de manière quasi-certaine à l’aide de “preuves” difficiles à égarer : les doigts, la main, l’oeil, le visage, la voix, etc... Sur le terrain toutefois, la technologie est délicate à mettre en oeuvre, contraignante et relativement chère, au point qu’elle est très peu utilisée en dehors du contrôle d’accès physique à des zones particulièrement sensibles. Face à l’ordinateur, notamment, elle n’est donc pas d’un grand secours. Certes, des claviers, des souris et même des clés USB intègrent désormais un lecteur d’empreintes digitales, mais pour les avoir testés ces derniers relèvent plus souvent du gadget que du véritable outil de sécurité. Et lorsque ce n’est pas le cas, leur prix les rend difficilement utilisables à grande échelle.

Les mots de passe (traditionnels ou à usage unique) et les cartes ou les calculatrices seront donc encore pendant longtemps les garants de notre identité en ligne. Prenez-en soin : un mot de passe notamment ne se donne jamais (ni ne se prête !).