Passer au contenu

Google veut anéantir les passwords

Les mots de passe ont toujours été le moyen le plus simple de protéger les données. Sur internet, tous les comptes sont protégés par des mots…

Les mots de passe ont toujours été le moyen le plus simple de protéger les données. Sur internet, tous les comptes sont protégés par des mots de passe. Mais cette méthode de protection n’est pas exempte de défauts. Il arrive qu’un utilisateur perde son mot de passe, ou qu’un individu mal intentionné (ou non) arrive à passer outre. C’est à cause de ce manque de protection que Google envisage une nouvelle façon de protéger les données.

USB_token11

C’est le site Wired qui s’intéresse aux recherches menées par des employés de Google. Ces derniers veulent remplacer les mots de passe par un nouveau système semblable à une clé USB. Il s’agit en réalité d’une clé cryptographique qui se connecte en USB à votre PC et qui vous connecte automatiquement à votre compte Google. Il suffit de rentrer la clé et vous aurez toutes vos données stockées par Google accessibles.

Pour l’instant, ceci n’est qu’une expérience menée par Google qui veut aller plus loin. La firme de Mountain View pense déjà au sans fil, avec un objet qui déverrouillera automatiquement votre compte, sans que vous ayez besoin de taper un mot de passe.

Une étude intéressante, qui pourrait changer la façon dont nous accédons à nos données. Mais avant que tout ceci se démocratise, les mots de passe ont encore de beaux jours devant eux.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

43 commentaires
  1. ça revient au même non ? Le mot de passe n’est plus dans la tête de l’utilisateur mais dans le périphérique quoi.

  2. Pour information, la clé présentée sur la photo, et utilisée par Google dans cette expérience, est une Yubikey, de la société Yubico. Plus particulièrement une Yubikey Nano.

    La particularité de la Yubikey est la génération de mots de passe à utilisation unique (“OTP”), dont l’utilisation la plus connue est l’authentification multi-facteurs avec Lastpass. Dans ce cas, une fois l’utilisateur authentifié auprès du service avec un login et un mot de passe, il suffit d’insérer la clé dans un port usb et de toucher le contacteur pour que cette dernière génère un mot de passe à utilisation unique, ce qui rend inutile l’utilisation d’un keylogger (matériel ou logiciel), ou même l’ingénierie sociale.

    J’en utilise une personellement depuis deux ans, et il faut avouer que c’est une belle réussite. La clé est très solide, extrêmement simple à mettre en place et utiliser, et une très bonne solution pour sécuriser un accès informatique de manière efficace.

  3. ibeyonder : A première vue on peut se dire ça, mais là il s’agit de cryptographie et non pas d’une simple chaîne de caractère écrit dans un fichier texte :D.

    Si Google lance ça, je pense qu’un bon paquet d’ingénieur sera derrière pour s’assurer que ce système soit plus fiable qu’un vulgaire password…

  4. @fab : carrément d’accord avec toi. Tu perd ta clé ou on te la vole et le résultat est identique au mot de passe. C’est juste l’ingénierie social qui n’est plus possible.

    Que se passe-t-il si on casse sa clé (machine à lavé, feu, coulé dans la bétonnière, perdu dans un puits, oublié dans le micro-onde, …)???

  5. J’imagine avec le sans-fil: Si je suis dans la même pièce que quelqu’un qui est sur un ordinateur, bam, il la accès à mon compte quand je suis dans le périmètre de détection. Super sécurité !

    Nan, là je parle sans savoir mais à part pour les gens qui ont l’habitude d’oublier son mot de passe ou de le noter sur un post-it comme madame Michu, je vois pas l’intérêt. D’autant que le système existe déjà, avec des clé d’identification qui se branche en USB.
    Il y a selon moi peu de chances de trouver un meilleur ratio praticité/efficacité.
    Bref, je suis sceptique.

  6. #4 : il y a toujours des solutions de fallback. Par exemple, lorsqu’on utilise le Google Authenticator (qui fournit un mot de passe à utilisation unique sur son smartphone), il y a toujours la possibilité de choisir un téléphone (dont le numéro a été préalablement indiqué), pour qu’un serveur vocal appelle et dicte un code, ce qui permet d’accéder à son compte et révoquer l’utilisation de la clé perdue en attendant d’en avoir une nouvelle.

  7. Mouai, en gros ils font des recherches pour nous faire acheter encore un truc dont on a pas besoin.

    Et puis bon, si on perd on se fait volet cette clef ça veut dire que n’importe qui peut avoir accès à tout nos compte avec encore moins de difficulté que le mot de passe. Intelligent.

  8. c’est déjà plus ou moins ce qui se fait dans certaines entreprises/banques : connections avec une carte à puce doublé d’un mot de passe.

    Pour les particuliers, ça serait bien … mais à quel prix ???

  9. En passant par un systeme cryptographique dedié comme un élement usb (µcontrolleur embarquant le mot de passe + une lib crypto), on rend la sécurisation des comptes plus robuste pour 2 raisons:
    – le mot de passe peut être d’une plus grande complexité, donc plus difficilement hackable.
    – entre l’element usb et le serveur, aucune information transite en clair (le pc compris): il est alors très difficile d’exploiter les données transitant entre l’élement usb et le serveur(keylogger par ex).
    Il faut comprendre que l’élement usb N’EST PAS une simple clef usb(mass storage) mais une sorte de petit ordinateur sécurisé.

  10. Google réinvente la roue, les périphériques avec certificats unique et génération de clé privé/publique c’est assez utilisé dans les entreprises qui on besoin de sécu.
    En gros l’info c’est que google travaillerai à le mettre en place à grande echelle pour ses services, super, ou plus sincèrement ils pourraient nous avouer qu’ils travaillent sur un projet secret pour nous vendre un objet de plus pour parano de la sécu. ( Si le mot de passe est bien complexe et changé régulièrement il n’y a plus rien à faire, personne n’ira se faire chier autant pour vos mails ou vos photos perso. )
    Et le meilleur moyen de ne pas oublier son MdP est de le marquer, si si c’est la base, si le post-it est bien caché il y a moins de risque que les hackeurs.

  11. @shamu13 le problème reste le même à savoir perte de clef = pertes des accès à son ou ses comptes = piratage.
    Je suis pas sur que ca soit une réelle avancée, en matérialisant nos accès on pratique une forme d’assistanat où l’on n’aura plus besoin de se souvenir de tous ses accès donc une pratique mémorielle bien moins importante, en ce qui me concerne mes mots de passes les plus complexes sont soit enregistrés soit en tête et se compte sur les doigt d’une main pour les accès les plus sensibles.

  12. pourtant ça semble très simple à hacker:
    enregistrement de la clé sur un iso
    puis montage virtuel de la clé suffisent.

  13. Cette méthode d’authentification existe déjà depuis longtemps pour certains sites en ligne, y compris pour les citoyens (et pas uniquement dédié aux entreprises).
    Allez faire un tour sur le site de LuxTrust par exemple.
    Ce que Google souhaiterait si je comprends bien, c’est plutôt démocratiser ce mode de connexion. Moi j’ai une question : ce sera gratuit ? Parce que c’est bien beau tout ça, mais une clé de ce type, actuellement, ça coûte de l’argent !

  14. @Jon c’est vrai d’ailleurs normalement ce genre de dispositif est en renforcement du MdP, je vois pas ce qui empêche quelqu’un de piquer la clé, pas très secure…

    @orfeo34 🙂 merci, non franchement tu devrait te faire embaucher par le FBI^^ Sinon sans blaguer, ce n’est pas un stockage, et puis réfléchit, si tu y a pensé, les pro de la sécu y on pensé des années avant toi.

  15. “pourtant ça semble très simple à hacker:
    enregistrement de la clé sur un iso
    puis montage virtuel de la clé suffisent.”

    Ces clés ne peuvent pas être copiées comme ça. Le chiffrement et l’output est géré matériellement.

    Sinon, pour ceux qui pensent que grâce au sans fil les voisins pourront vous pirater, il y a de grandes chances que Google exploite le NFC, qui ne porte pas aussi loin.

  16. Le NFC, qui a récemment prouvé sa grande sécurisation…

    Pour un système qui se veut révolutionnairement sécuritaire, le sans fil, c’est pas terrible comme idée.

  17. Y’a des apps dans ce genre qui existe pour téléphone.
    Tu rapproches ton tel du PC, ce dernier ce connect.
    Tu l’éloignes, il se verrouille.

    M’enfin

  18. Euh, les mecs…
    Vous êtes sérieux quand vous pensez déjà avoir trouvé des failles de sécurité aussi simples auxquelles des équipes d’ingénieurs n’auraient pas pensé…?

  19. ce genre de système existe déjà dans certaines entreprises
    certes le système n’est pas le même mais au final le résultat c’est qu’on se connecte a son compte avec un clé USB
    enfin il me semble hein
    si j’me trompe dites le moi :p (sans rager)

  20. Avec le Google Authenticator ou ne serait-ce que la validation en deux étapes avec le simple envoi d’un code par SMS me suffit largement, et je trouve cela bien plus sécurisé en plus d’un mot de passe très long et compliqué. Donc le seul intérêt ici est plus de chercher à innover que finalement dire que ça sera plus sécurisé, (enfin j’en suis aussi sceptique que certains).

  21. retour à l’an 40.
    Tu perds tes clés, tu perds ton compte Google
    Tu te fais voler tes clés, …
    .
    Déplacer le problème, pour faire pire : preuve d’intelligence…
    .
    Non franchement s’ils veulent se prendre pour le FBI ou les Renseignements Généraux; qu’ils ouvrent un service spécialsé dans les trucs ultra sécurisés, mais à part.
    Enfin il me semble que c’est comme ça que je ferais si je devais gérer des infos sensibles concernant l’état, tout ça…

  22. “Vous êtes sérieux quand vous pensez déjà avoir trouvé des failles de sécurité aussi simples auxquelles des équipes d’ingénieurs n’auraient pas pensé…?”

    Bawé.
    Tu sais, y’a plein d’ingénieur qui ont travaillé sur le NFC (Near Field Communication).
    Et pas un a pensé qu’un protocole “aérien” sans crypto, avec du fric qui transit, c’est quand même “un peu” risqué.

    Alors ouais, je préfère garder mon esprit critique, réfléchir aux choses et ne pas tenir pour acquis des faits parcque “d’autres l’ont dit”.

  23. C’est super, mais je sais pas si il y aura pas quelques bonnes failles, style des petits malwares qui récupèrent le contenu de la clé cryptographique, et dans le cas du sans fil, des sniffers… Mais ça reste cool comme concept 🙂

  24. @haleth :
    Je suis d’accord, mais bon faut avouer, que pour une techno utilisé même au gouvernement ( sous une forme beaucoup plus puissante ) j’ai des doutes sur le fait de trouver une faille dans des commentaires du JDG. je dit ça…
    Puis pour le nfc, ton bluetooth, ta connexion 3G est tout autant facile à intercepté c’est pas crypté non plus ( on peut écouter tes appels à 10m avec le matos qu’il faut, ça n’a jamais été corrigé ), ce sont des hackeurs qui ont trouvé une faille dans le système des banques, il faut d’autre chose que ce qui passe dans le NFC ( en théorie du coup ), “le nfc n’est pas crypté” c’était la façon simple d’expliquer la chose.
    Du coup pareil, j’aurais été étonné de voir une faille dans le système des banques dans les Coms JDG…

  25. Autant pour moi pour les montants de moins 20 euros il n’y avait pas d’authentification.
    Mais bon c’est quand même des professionnels qui se sont ne serait-ce que posé la question.
    Comme quoi même si je doute de trouver un jour une faille dans les coms JDG, tu a bien raison, autant ne pas faire confiance à tout.

  26. @Jon: l’Usage d’un Mdp pour ce type d’élément me semble obligatoire à la façon d’une CB ou d’une Sim.
    Dans ce cas, tu sécurises l’utilisation de ton Secure Element dans le cas où tu le perds avec un nombre de tentative limité par ex. Ainsi dans le cas où l’on te dérobe ton élément usb tu sais qu’on ne pourra pas usurper ton ID.
    L’intérêt d’un tel dispositif est bien entendu de sécurisé tout ses accès vers internet (Web, Mail, etc) avec une clef > à 2kb.
    On utilise déjà ce genre de dispositif sans qu’on remet en cause sa robustesse cryptographique (SIM, CB,M2M) avec ou sans certification EAL.

  27. @canardpimpant : c’est beau les illusions sur le gouvernement mais c’est pas pour rien qu’ils avaient sortis une circulaire pour dire de ne pas avoir d’échanges sur des sujets sensibles sur BB (non respectée à priori).
    Sinon ça avait fait scandale à l’époque mais les réseaux mobiles non sécurisés sont plus pratiques pour écouter les terroristes (explications lues à l’époque). Si tu commences à tout chiffrer à mort, nos chers Barbouzes ont pas fini de se faire chier 🙂

  28. Au final on a un bidule en hardware, mais qu’il va bien falloir identifier à un moment avec un mot de passe sinon le simple fait de se le faire voler anéanti tout. Donc utilité immédiate : aucune.

    Après il est certain que s’il génère des mots de passe forts pour diverses services et les stocke afin de s’en servir à la demande, c’est pas mal. Sauf que cela existe déjà, en soft, avec 1password par ex, sans passer par un serveur Google qui va épier/savoir/connaitre/enregistrer ce que vous faites… Moi j’ai déjà choisi !

  29. Les seuls problèmes réels de ce système sont le risque de perte (dont vol) et le choix de l’usb.
    Les ordis portables ont de moins en moins d’usb disponibles. Les smartphones/tablettes peuvent ne pas en avoir du tout.

    Va falloir s’implanter une puce nfc. ^^

  30. Un avantage : si on la perd ou on se la fait voler, on peut plus facilement s’en rendre compte, du moins plus facilement que si on se fait voler son password.

  31. Bonne idée, mais en gros Google vient de réinventer la clef …
    Oui la clef de voiture, la clef de votre maison, sauf que là ça serait une clef pour vos données …
    Perso je verrais d’un bon oeil qu’un jour je puisse me balader avec une clef qui déverrouille tous mes comptes à travers le net, parce que des sites de banques ou autres ou on ne peut pas choisir un mot de passe avec des caractères spéciaux par exemple, ça fait peur.

  32. Juste un petit ajout, pour moi ce genre de clef gagnerait à être remplacé par une simple emprunte digitale ou de la rétine …

  33. on vous vole la clé crypto et le gars a tous vos mot de passe génial … même plus besoin de savoir hacker …

  34. je ne vois pas de changement très probant.

    Ce que l’on gagne d’un coté en n’ayant plus de mot de passe “craquable” on le perd de l’autre avec un objet matériel que l’on peu perdre, se faire voler ou abimer…

    Déshabiller Pierre pour habiller Paul…

    Et à quand le mot de passe pour clé de mots de passe 😉

  35. Inutile et surtout dangereux… Suffit de perdre sa clef et hop ! Tous vos comptes sont accessibles… mais quelle bonne idée… -_- C’est surtout très pourri ouais…

  36. J’adore les gens qui font se genre de’ remarque “Oh mais c’est stupide et blabla”
    Oui, donc toi ta voiture fonctionne par mot de passe, scan rétinien ou empreinte digitale, ta maison aussi, ta carte bancaire tu n’as pas de numéro dessus qui peuvent être utilisés sans ton code, etc. ?

Les commentaires sont fermés.

Mode