“password”, “123456”: voilà les combinaisons de mots de passe les plus répandus selon un article du New Scientist. La myriade de mots de passe nécessaire à un ensemble de services web partagés entre utilisation professionnelle et privée rend effectivement l’exercice si compliqué que l’hypersimplicité se banalise dans les usages… et les hackers en profitent. Utiliser des clés ou jetons physiques pourrait donc être la solution à l’umbroglio des mots de passe. Les grands de la Silicon Valley y voient d’ailleurs un réel intérêt. “Ce genre de système offre l’expérience la plus simple de connexion que je connaisse”, affirme John “Four” Flynn, ingénieur sécurité de Facebook. La pratique est en effet déjà répandue chez les employés du réseau social.
Garder l’appareil indupliquable
Ainsi, Google expérimente déjà YubiKey, une carte cryptographique qui se branche à un port USB et imite un clavier entrant un mot de passe à usage unique. Mais celle-ci pourrait, sur le principe, être dupliquée. Afin de remédier à ce genre de problèmes, la startup Verayo compte pour sa part produire des jetons uniques, chacun possédant une propriété physique distinctive telles d’infimes variations dans l’épaisseur d’une micropuce qui aurait pour effet de modifier le signal électromagnétique traversant l’objet.Le fait de détenir ce jeton servirait de seconde authentication complémentaire au mot de passe pour tous les terminaux mobiles présents à proximité optimisant ainsi la simplicité du dispositif. Une alternative à ce projet est actuellement développée au sein du California Institute of Technology de Pasadena. Le système en expérimentation utilise la lumière diffusée par les cristaux liquides laissant une place au hasard bien plus importante que le fonctionnement d’une puce et rendant ainsi le dispositif encore plus difficile à dupliquer.
Lutter contre la contrefaçon physique
La lutte contre la contrefaçon constituerait un débouché supplémentaire pour des jetons physiques d’authentification. En effet, apposer de tels objets au sein de bouteilles de vin par exemple pourrait garantir leur authenticité d’un bout à l’autre de la chaîne de commercialisation. C’est dans la traçabilité que univers physique et numérique pourrait donc converger. Reste le cas de la perte ou du vol de l’objet. Dans ce cas, la traditionnelle démarche d’opposition reste de mise pour que l’objet soit effacé des serveurs. L’utilité de dispositifs physiques d'authentification perdus ou volés n’est de toute façon pas très inquiétante si… son mot de passe reste fiable.