Et si ne pas connaître son mot de passe était la solution de sécurité ?

Publié le 25 juillet 2012 par Pnordey @latelier

Grâce à une méthode d'apprentissage basée sur des répétitions de séries de points placés dans des colonnes, un individu peut apprendre une clef lui permettant de s'identifier. Et ce de manière inconsciente, de sorte que l'on ne puisse lui soustraire ladite clef.

La difficulté que présentent les mots de passe, c'est qu'ils peuvent toujours être révélés sous pression. C'est la raison pour laquelle des chercheurs de la Northwestern University et de la Standford University ont imaginé un système dans lequel un individu est en mesure de s'authentifier sans connaître consciemment une combinaison qu'il a pourtant apprise. L'idée se base sur le principe de l'apprentissage de séquences (Serial Interception Sequence Learning - SISL). En effet, le SISL est une tâche dans laquelle un individu développe une sensibilité à des informations structurées sans en être conscient. Pour ce faire, celui-ci se voit proposer des cercles en mouvement qui tombent dans des colonnes livrés en une séquence pré-déterminée. Il doit alors intercepter, via le bouton approprié, chaque objet lorsque celui arrive près de la fin de la colonne, comme le ferait un joueur de Guitar Hero. C'est grâce à ce principe que les chercheurs ont développé un jeu grâce auquel un participant, soumis à une session d'entrainement via la plate-forme Amazon Mechanical Turk, peut apprendre une clef secrète aléatoire de 30 points.

Un apprentissage hasardeux

Pendant ce jeu, le participant est soumis à la répétition de cette séquence que forme la clef répétée trois fois suivi de 18 autres points dans une autre séquence aléatoire pour atteindre un total de 108 points. Cette séquence est alors elle même répétée cinq fois, de sorte que le participant se voit présenter un total de 540 points. A la fin de ces séquences est introduite une petite pause. Cet exercice est alors répété six fois, ce qui implique que la personne participant à l'expérience se soit exposé à 3780 points pendant une session d'entrainement durant entre 30 et 45 minutes. Pour valider l'efficacité de cette méthode, les chercheurs ont ensuite formé deux groupes de participants ayant assisté à ces sessions d'entrainement et les ont soumis au même test, le premier groupe l'ayant effectué une semaine plus tard, et le deuxième groupe deux semaines plus tard.

Deux semaines plus tard ...

Et pour s'authentifier et réussir le test, les chercheurs ont présenté à ces individus le même jeu contenant à la fois des éléments de la session de formation et des éléments auxquels ils n'avaient pas été formés lors de la session d'apprentissage. Leur performance, plus fiable sur les éléments déjà vus que sur les éléments pour lesquels ils n'avaient pas été entrainés leur ont permis de s'authentifier et donc de valider leur identité. A l'état de projet, ce jeu n'est pas prêt d'être commercialisé, et serait même plutôt envisagé pour des authentifications de haut risque, par exemple une authentification à des fins militaires par exemple. A noter que, comme toute méthode de cryptographie, celle-ci n'est pas infaillible. Mais les chercheurs estiment qu'en raison du nombre de points et des six positions du jeu, formant un grand nombre de séquences, 100 personnes jouant pendant un an complet au jeu auraient seulement une chance sur 60 000 d'extraire la bonne séquence.