Ce billet fait suite à un échange avec Hugues Marguet de SQLI Consulting.
Nous avons lu récemment un article assez effrayant sur le vol d'identité (voir ce lien). Cet article explique comment on peut trouver grâce au Web des informations sur une personne donnée, et s'en servir pour retrouver ses mots de passe, pour usurper son identité.
La technique présentée repose sur le fait que lorsqu'on crée un compte sur un service en ligne, on donne presque toujours une adresse de messagerie et un couple question/réponse pour récupérer son mot de passe par email en cas d'oubli. Ainsi lorsque je créé une boite mail B (ex : Gmail), je donne mon adresse A (ex : Hotmail) et je donne comme question/réponse le nom de jeune fille de ma mère ou le surnom de mon chien.
L’auteur montre qu’en remontant la chaine des boites mails, on arrive souvent à une question/réponse dont la réponse est sur Web, ce qui permet d’usurper une identité. La démonstration est très impressionnante.
Cet article relance la question du niveau de sécurité d’une authentification par simple identifiant/mot de passe. Si aujourd’hui la plupart des sites Web utilisent SSL pour sécuriser l’étape d’authentification, il existe un risque important autour du mot de passe. Beaucoup de gens, et moi-même, utilisent le même mot de passe sur des dizaines de sites, ce qui rend la découverte de ce mot de passe tout à fait catastrophique.
Il existe depuis longtemps des systèmes d’authentification renforcée pour les entreprises, comme le fameux RSA SecurID. Il n’en existait pas pour les particuliers jusqu’à présent. J’ai découvert récemment une offre de Verisign intitulée IDprotect : elle permet de coupler plusieurs authentifications via un portail d’identité intitulé Personal Identity Portal, à un porte-clef qui génère des mots de passe à usage unique.
Je pense acheter rapidement ce dispositif (seul problème : il faut une adresse aux USA). Et vous ?