Google veut remplacer les mots de passe par une clé physique

Selon Wired, Google songerait à se débarasser du traditionnel mot de passe. C’est le Vice Président de la sécurité chez Google lui-même, Eric Grosse,  qui évoque cette possibilité, dans un article à paraître ce mois-ci (le 28) sur IEEE Security & Privacy. Et comment s’il vous plaît ? Avec un dispositif physique comme une bague/anneau à puce, un smartphone ou encore une mini-clé USB contenant une puce.

Google mot de passe

image : wired


Actuellement, le mot de passe n’est plus suffisant pour assurer la sécurité d’un compte, même lorsqu’associé à des cookies. Pas une journée ne passe sans que des comptes sensibles (et ceux de monsieur et madame tout le monde) se fassent pirater. La double identification déjà proposée par Google (password + code envoyé sur le smartphone via message texte) fonctionne très bien mais n’est pas parfaite, car attention si vous perdez votre téléphone mobile.

Et c’est là qu’intervient Eric Grosse et son idée de clé physique (contenu dans une bague, un téléphone mobile ou une mini-carte à puce), qui fonctionnerait un peu comme des clés de maison ou de voiture. L’idée est loin d’être folle, mais on pourrait presque rigoler et se dire : « Mais alors qu’arrive t-il si l’on se fait voler cette clé informatique ou si on la perd ? ». Google travaillerait à trouver une solution à ce problème, par de multiples identifications et surtout la possibilité de déclarer rapidement la perte ou le vol de la clé. Si l’on y pense bien, c’est un peu comme si on perd sa carte de crédit et que lorsqu’on appelle le service de sécurité, on doit répondre à plusieurs questions pour s’identifier. Dans le cas de la clé à puce Google, cette identification serait probablement en ligne, à moins que le moteur mette en place un centre d’appel.

L’une des solutions envisagées par la firme de Mountain View consisterait à utiliser la carte cryptographique de Yubico (Yubikey Hardware), qui lorsqu’insérée dans un port USB se connecte automatiquement au compte de l’utilisateur (cela équivaut à entrer un mot de passe). Le futur pourrait encore être plus simple avec une connexion sans contact de cette clé physique (exemple : un petit émetteur attaché au porte-clés).

Un gros avantage d’un support hardware pour remplacer le mot de passe c’est qu’il résisterait également au fléau du Phishing (que la double identification ne peut empêcher).

Alors Google, c’est pour quand ? et surtout est-ce que l’idée, séduisante par écrit, va fonctionner dans la réalité de tous les jours pour des centaines de millions d’utilisateurs ?

Note: il y aurait aussi la voie biométrique qui serait intéressante, comme le lecteur d'empreintes digitales, déjà utilisé par certaines gammes d’ordinateurs chez Dell par exemple.

4 Comments

  1. Pierre Perreault 21 janvier 2013
  2. PH de Kaliseo 21 janvier 2013
  3. Fnux 21 janvier 2013
  4. Webconsulting 21 janvier 2013