Publicité en cours de chargement...

Publicité en cours de chargement...

Microsoft et la fin des mots de passe ?

07 mai 2018 - 17:22,
Tribune - Cédric Cartau
Le webzine ZDNet a récemment publié pas moins de trois articles sur la fin des mots de passe selon Microsoft (ici[1], ici[2]et ici[3]). Grosso-modo, deux techniques sont mises en avant : la biométrie et l’authentification à partir d’un terminal de confiance (par exemple un SMS envoyé sur un mobile précédemment appareillé). Super génial, sauf que certains – dont votre serviteur – sont légèrement dubitatifs.

Non que ces technologies ne fonctionnent pas et ne soient pas éprouvées : la double authentification pour générer des numéros de CB à usage unique au-delà d’un certain montant fonctionne avec pas mal de banques et ce depuis plusieurs années. La biométrie est elle aussi éprouvée, les possesseurs des derniers modèles de smartphone l’utilisent tous les jours. Ce qui pose question, c’est que dans un monde où tout est risque, j’aimerai bien consulter la matrice SWOT, ou l’étude comparée coût bénéfice, ou quel que soit le nom qu’on lui donne, du passage d’une technologie millénaire (les mots de passe) à une plus récente. En clair : on gagne quoi, on perd quoi ?

Utilisant depuis plusieurs mois un iPhone avec déverrouillage par empreinte digitale, je peux affirmer que c’est génial, sauf quand cela ne marche pas et que l’utilisateur se retrouve à devoir taper son bon vieux code PIN, comme par exemple lorsque l’on sort de s’être prélassé dans son bain pendant trois plombes et que le capteur refuse obstinément de lire les bouts des doigts tout fripés (faites le test si vous ne me croyez pas). Et des sites spécialisés regorgent de démo où on blouse allègrement une reconnaissance faciale avec une bête photo de visage, où un appareil est infichu de faire la différence entre deux jumeaux, etc.

Autre aspect plus ennuyeux, lorsque le second facteur d’authentification est momentanément indisponible. Je vois bien le cas où un usager va casser son beau smartphone une veille de long week-end avec pont, et devra attendre trois jours avant d’aller en urgence aller s’acheter un autre appareil...juste pour se connecter. Et je ne parle pas des situations telles la perte ou vol de smartphone. Pour avoir sécurisé jusqu’au bout mon compte Dropbox (compte + mot de passe, plus double authentification en cas d’accès depuis un nouvel appareil) je me suis posé la question de savoir comment je ferai si je perdais à la fois mon mot de passe, et mon téléphone (par exemple lors d’un cambriolage). Résultat : pour parer à toutes les situations, je dois stocker des mots de passe et des grilles de recouvrement à usage unique, le tout chiffrés avec un nouveau mot de passe. Bref, l’horreur.

J’ai un début d’explication à ces tentatives nombreuses de nous débarrasser de nos mots de passe : nous transférer – à nous, les utilisateurs – les emm…. Je m’explique : depuis 5 ans, quasiment tous les grands sites mondiaux ont connu une fuite totale ou partielle de leurs base de compte : Dropbox, Linkedin, etc. Or, dans la plupart des cas, il s’agit de fautes internes, soit qu’un administrateur a été négligent dans la protection de la base chiffrée des mots de passe (cf l’affaire Deloitte) soit, encore mieux, que la base en question n’était même pas chiffrée. Dernier exemple en date, celui de Twitter qui brille par son incompétence si l’on en croit cet article(4), et qui (heureusement) demande en prévention à tous ses utilisateurs de changer les mot de passe. Dans le cas où l’authentification va se faire par des moyens tels ceux mis en œuvre par Microsoft, on nous transfère la responsabilité de préservation du second facteur voire de ne pas poster des photos de nous de face sur Facebook, ce qui permettrait de détourner la reconnaissance faciale (véridique).

Evidemment, je ne réfute nullement le fait que les mots de passe, « it sucks », mais tout à fait entre nous, le jour où notre téléphone sera utilisé comme second facteur sur tous les sites sur lesquels nous sommes enregistrés (dans mon cas, 139), un bon conseil : réfléchissez-y à deux fois avant de changer de numéro de téléphone portable.


(1) http://www.zdnet.fr/actualites/windows-10-microsoft-imagine-un-monde-sans-mots-de-passe-39867808.htm 

(2) http://www.zdnet.fr/actualites/windows-10-bientot-la-fin-des-mots-de-passe-avec-authenticator-39863920.htm 

(3) http://www.zdnet.fr/actualites/la-fin-des-mots-de-passe-sur-windows-10-microsoft-se-tourne-vers-la-biometrie-de-fujitsu-39863994.htm 

(4) https://www.francetvinfo.fr/internet/reseaux-sociaux/facebook/la-faille-informatique-chez-twitter-n-est-pas-un-bug-mais-une-erreur-presque-une-faute-juge-un-expert-en-cyber-securite_2736407.html 

Avez-vous apprécié ce contenu ?

A lire également.

contourner-les-regles-faille-cyber-eternelle-et-consubstantielle-a-lespece-humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

panorama-forcement-non-exhaustif-du-fleau-des-arnaques-en-ligne-en-ce-debut-2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

segur-numerique-mise-a-jour-du-calendrier-reglementaire-pour-les-dispositifs-de-la-vague-2-a-lhopital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

loi-sur-le-narcotrafic-et-fin-du-chiffrement-analyse-dun-membre-eminent-et-actif-du-cvc

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

10 mars 2025 - 19:33,

Tribune

-
Cédric Cartau

Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.