Une entreprise britannique vient de lancer un système de mot de passe à 4 émoticônes pour remplacer le traditionnel code PIN, qui serait plus sécurisé. De là à remplacer le mot de passe alphabétique ou chiffré ?
Un caca qui sourit, un singe qui se tient la bouche, une ancre et une danseuse de flamenco. Voilà qui pourrait constituer un exemple de mot de passe dans les mois à venir. Aujourd’hui pour débloquer son téléphone, il faut traditionnellement utiliser un code PIN de quatre chiffres. Lundi 15 juin, l’entreprise britannique Intelligent Environments a lancé le « premier mot de passe du monde entièrement en emojis« .
{"type":"Pave-Haut2-Desktop"}
D’après la société, le mot de passe-emoji serait « plus sécurisé » et « plus facile à mémoriser« . Pour appuyer sa démonstration, elle a accompagné son nouveau projet d’une vidéo de présentation dans le style « Apple », alternant des témoignages de gens qui n’arrêtent pas d’oublier leur mots de passe, d’un « expert en mémoire » qui explique que la mémoire fonctionne mieux avec des images, et d’employés d’Intelligent Environments qui détaillent combien leur invention va révolutionner le monde de la sécurité en ligne.
Comme l’application de l’entreprise contient 44 emojis, le nombre de séquences de 4 signes existantes est bien plus élevée que pour un code PIN à 4 chiffres : plus de 4 millions de combinaisons pour les émoticônes, 9999, seulement pour les chiffres. Mathématiquement parlant, cette nouvelle technique serait en effet plus sûre.
L’application serait également en cohérence avec les nouvelles manières de communiquer des « millennials » (les personnes nées entre les années 1980 et 2000). « Nous avons eu beaucoup de retours de la part des jeunes« , a expliqué David Webber, directeur du management, dans un communiqué.
« Notre étude montre que 64% des millennials communiquent uniquement avec des emojis. Alors nous avons décidé de réinventer le mot de passe pour une nouvelle génération. »
Si les emojis semblent en effet constituer un nouveau langage, est-il pertinent de lancer un système de code PIN qui n’utilise que ces petits dessins?
Le langage de demain est-il le plus sécurisé?
La première contrainte est la même que pour les codes chiffrés: malgré ce qu’affirme « l’expert en mémoire » d’Intelligent Environments, il existe toujours un risque d’oublier son mot de passe, même lorsqu’il est constitué de petits dessins. Si les images s’imprègnent plus facilement dans le cerveau de l’utilisateur, l’ordre dans lequel elles doivent être insérer compte également…
Comme le fait remarquer Wired, un mot de passe à 4 caractères, quel qu’il soit, est également très vulnérable aux attaques par force brute (un ordinateur essaie totes les combinaisons possibles, une à une, très rapidement). La seule différence repose sur le nombre de caractère dans « l’alphabet » emoji. Plus le choix est vaste, plus les combinaisons seront nombreuses et donc pourront être plus sécurisées. Aussi, si l’entreprise faisait passer le nombre d’émoticônes disponibles de 44 à 100 ou 500, le système gagnerait immédiatement en sécurité.
« Mais je suis sûr que des hackers travailleront et réussiront à forcer ces systèmes aussi, donc je serais quand même en faveur de l’authentification en deux étapes », a ajouté le professeur spécialisé en cybersécurité Alan Woodward à la BBC. De plus en plus d’applications et de sites permettent en effet d’activer une identification de l’utilisateur de deux manières : un mot de passe puis un code, envoyé par SMS sur le téléphone de l’internaute, par exemple.
Le mot de passe alphabétique en voie de disparition ?
Ce n’est pas la première fois que des entreprises tentent de changer le système des mots de passe alphabétiques. Avec Windows 8.1, Microsoft a mis en place un « mot de passe par photo ». L’internaute enregistre des mouvements tactiles spécifiques sur une photo à l’écran (obligatoirement tactile), et doit les reproduire lorsqu’il souhaite déverrouiller son ordinateur ou sa tablette.
https://www.youtube.com/watch?v=K0Y2WTgGG4g
Certains smartphones qui tournent sous Androïd (Samsung S2, HTC Google Nexus One, Wiko, etc) permettent également d’éviter de passer par un code PIN, mais proposent à leurs propriétaires de tracer des séquences spécifiques avec le bout des doigts. Sur une grille représentant 9 points, les utilisateurs doivent relier au minimum 4 points afin de débloquer leur téléphone. Mais ce système a pu être piraté par des chercheurs en prenant en photo l’écran des portables afin de faire apparaître les marques de doigts et donc de retrouver le tracé secret.
Du côté d’Apple, la firme a mis en place un système de déverrouillage par empreinte digitale appelé Touch ID, disponible à partir de l’iPhone 5S. L’utilisateur peut enregistrer jusqu’à 5 empreintes digitales (les siennes ou quelqu’un d’autre). Plus difficile à craquer qu’un autre mot de passe, il requiert néanmoins une utilisation avec un doigt propre et sec.
Un « gadget » ?
De là à envisager la disparition du mot de passe alphabétique ? Cette prophétie n’est pas nouvelle. Sur un ordinateur pourtant, il est encore difficile d’imaginer un système plus performant (et plus simple d’utilisation pour tous les internautes) que le mot de passe alphabétique doublé d’une vérification hors ligne. Pour Lorrie Cranor, une autre professeure en cybersécurité interrogée par le site NPR, les mots de passe-emoji ne seraient en fait qu’un « gadget ».
« Je ne suis pas sûre que cela fera une différence en matière de sécurité (…) Pendant des années les gens ont inventé des schéma graphiques différents pour les mots de passe. Ce n’est qu’une variation supplémentaire », a-t-elle insisté.
En attendant, rien n’empêche de réfléchir à une combinaison sécurisée de 4 emojis, au cas où le modèle se populariserait. Voici nos propositions:
🚂🚃🚃💨
🌾🐢🌾🌾
🍔🍝🍴🍺
🕒 🕓 🕔 🕕
💤😴📢😛
🍆✊💦🙈
{"type":"Banniere-Basse"}