Sésame ! Ouvre-toi !!!
Un mot de passe, ce n’est simplement qu’une clé dans le monde de l’informatique. Au début de l’informatique moderne, le clavier était l’interface d’entrée. Le mot de passe était donc la chose la plus directe pour sécuriser un service. Dans le monde réelle, les services que l’on veut sécuriser sont derrière des portes, et il faut des clés pour les ouvrir.
Dans le monde réel, pour ouvrir une porte :
- On insère une clé dans un barillet.
- Si la clé correspond et aligne les goupilles, on peut tourner la clé.
- Le barillet tourne et entraîne les points de la serrure.
- La porte n’est plus assujettie à son cadre par les points de la serrure.
- On doit alors tourner la poignée qui sort le pène de la gâche.
- Plus rien ne retient la porte à son cadre et il suffit de la pousser pour accéder à la pièce.
Dans le monde informatique, la porte est remplacée par un écran (ou une boîte de dialogue) de connexion. Cet écran comporte deux champs (le ‘login’ et le ‘mot de passe’) et un bouton ‘Connexion’. Pour accéder au service :
- On renseigne ces deux champs avec le clavier. (la clé dans le barillet).
- On clique sur le bouton ‘Connexion’. (on tourne la clé).
- Une requête est alors envoyée sur un service de contrôle avec les champs saisis.
- Si le couple ‘identifiant’/’mot de passe’ est connu du service de contrôle, celui-ci indique au service interrogé que l’utilisateur est connu.
- L’écran de connexion disparaît et le service est accessible à l’utilisateur.
La différence avec le monde réel est qu’une fois la porte ouverte, elle ne laisse entrer que celui qui l’a ouvert. Si quelqu’un d’autre veut se connecter depuis un autre périphérique, il doit aussi passer par l’étape de connexion. Ce sont des mécanismes de session que j’expliquerai dans d’autres articles.
Bien sûr, qui dit informatique dit évolution. Le couple ‘identifiant’/’mot de passe’ saisi sur un clavier a été remplacé par d’autres mécanismes. Ainsi aujourd’hui, le mot de passe est remplacé :
- par nos empreintes digitales. Popularisé par Apple, la Nsa vous remercie.
- Par reconnaissance faciale. La version 2D n’est pas efficace, mais la version 3D, initiée par Microsoft, est bien plus sécurisée. D’ailleurs, Apple l’a adoptée pour ses iPhones.
D’autres méthodes d’identification ont été testée :
- Samsung a essayé de lancer la reconnaissance de la rétine sur ses Galaxy S.
- Au début des années 2000, certains téléphones se débloquaient par empreinte vocale.
Il existe aussi des clés ‘physiques’ pour déverrouiller ordinateurs et services. Il s’agit souvent de clés usb ou nfc qui contiennent des certificats (des documents uniques et identifiables par d’autres acteurs). Cette utilisation est plus réservée à un usage professionnel.
Le monde informatique a aussi contaminé le monde réel. Même les serrures de vos portes d’entrée peuvent être connectées. Les serrures connectées existent depuis les années 70 et les premiers immeubles ‘connectés’. Le prix de ce type d’équipement fait que c’était réservé à un usage professionnel.
Désormais, les serrures connectées arrivent. Amazon, en tête, les proposent pour que leurs livreurs puissent déposer les colis directement chez vous. Couplé à une webcam devant la porte d’entrée, les possibilités sont très nombreuses et pas besoin de faire des doubles des clés.
Le fait de connecter la serrure apporte de nouveaux services. Ainsi, même si vous êtes à votre travail vous pouvez ouvrir à votre femme de ménage, à vos enfants s’ils ont oublié leur clé. Si vous êtes en vacances, vous pouvez ouvrir à votre voisin pour qu’il vienne arroser les plantes ou nourrir le chat, … . Si quelqu’un essaie de forcer votre porte, vous serez immédiatement notifié et vous aurez la photo de l’intrus.
Fini l’angoisse de savoir si vous avez bien fermé la porte d’entrée en sortant. Avec votre smartphone, même à l’autre bout de la France, vous pourrez le faire. Le smartphone peut même verrouiller automatiquement la porte lorsqu’il n’est plus dans votre maison. Par contre, si vous perdez votre clé physique et que votre smartphone n’a plus de batteries, à moins de connaître un bon hacker ou un bon serrurier à 2 heures du matin, vous dormirez dehors.