La fin des mots de passe, ce n’est pas pour demain

Les idées ne manquent pas pour le second facteur : carte de bataille navale, jeton SMS, token, empreinte digitale, empreinte palmaire, iris de l’œil, voir même mouvement de la main pendant l’écriture d’un mot, selfie vidéo du mouvement des lèvres en train de prononcer un mot et j’en passe – la décence m’interdit de poursuivre sur la partie du corps à utiliser pour le second facteur.

Récemment, Dropbox a amélioré la sécurité d’accès à son service, suite je pense au méga hacking ont-ils ont été victimes et qui a conduit à la divulgation de milliers de mots de passe utilisateur. L’accès au compte était conditionné par une authentification simple, et une fois qu’un PC ou MAC avait été apparié au compte, nul besoin de se réauthentifier. Les utilisateurs ont été récemment invités à renseigner un numéro de téléphone portable, sur lequel est envoyé un SMS lors d’une connexion à partir d’un PC non-appareillé. Ok les gars, jusque-là je me sens rassuré.

Problème : si l’on perd son téléphone, si on ne l’a pas sur soi ou simplement si on a changé de numéro, comment fait-on pour se reconnecter ? Les petits malins répondent en chœur : en accédant au compte depuis un PC / MAC déjà appareillé. Ok ok, mais quid si on s’est fait chippé dans le train à la fois son MAC et son iPhone ? Les ingénieurs d’Amazon (propriétaire de Dropbox) ne sont évidemment pas bêtes : au moment de la procédure de renseignement du téléphone portable, l’utilisateur peut générer une carte comportant 10 codes à usage unique (et évidemment spécifiques à chaque utilisateur), qui sert à contourner l’authentification SMS si on a perdu son téléphone : dans ce cas, le seul mot de passe du compte et un des mots de passe à usage unique de ladite carte suffisent.

Ok et si on a perdu son mot de passe ? Pas de problème, on est dans une procédure classique de renvoi de mot de passe sur la messagerie de l’utilisateur. Si on a en plus perdu le mot de passe de sa messagerie, Dropbox part du principe que l’on activera la procédure de recouvrement auprès de son FAI, qui va nous demander une réponse à une question secrète, ou un envoi d’un code temporaire sur son téléphone portable (on ne rit pas svp). N’empêche avec tout ça, le téléphone portable devient super sensible, non pas tellement parce que l’on peut se faire voler les données qu’il contient, mais tout simplement car on n’y a plus accès.

Des petits malins dans mon genre ont carrément déposé leur nom de domaine chez un registrar, et peuvent réinitialiser eux-mêmes le mot de passe de leur messagerie. Il ne faut juste pas que je perde le mot de passe d’accès à mon interface d’administration de mon nom de domaine. Je n’ai pas encore eu le temps de tester des combinaisons drôles, genre à la fois perte des mots de passe, du téléphone et de la carte des codes à usage unique. Ou perte du mot de passe de messagerie et de celui de mon interface chez mon registrar. Le résultat c’est que maintenant pour sécuriser l’accès à mon DropBox, je suis obligé de sécuriser non plus un mot de passe, mais cinq (et ne venez pas m’expliquer qu’il faut utiliser un coffre-fort Keepass, vous le stockez où le mot de passe de Keepass ?).

Einstein disait qu’il y avait deux choses infinies en ce monde, l’Univers et la bêtise humaine mais que pour l’Univers il avait un doute. Moi je pense qu’il va falloir rajouter à cette courte liste la chienlit des mots de passe.

(1) http://www.lemonde.fr/espace-de-travail-les-nouvelles-attentes-de-vos-collaborateurs/article/2017/07/06/securite-de-belles-idees-pour-remplacer-le-mot-de-passe_5156619_5114880.html