Réussir le « test du chien de garde » : c'est ainsi que Richard Guidorizzi décrit l'objectif ultime d'« Authentification active », le programme qu'il dirige au sein de la Darpa (le département de recherche avancée du Pentagone) et visant à sécuriser l'accès aux appareils mobiles des militaires américains : « Si un inconnu pénètre chez vous avec votre clef, votre chien va aboyer, car il ne se laisse pas impressionner par la clef, mais utilise d'autres techniques pour vous reconnaître : votre aspect, votre démarche, votre odeur… »

Nos comportements - moment et lieu de la connexion, façon de taper nos mots de passe, types d'informations que nous recherchons… - seront-ils un jour scrutés en permanence pour vérifier que nous sommes bien le propriétaire du profil, de la messagerie, du compte bancaire ou de l'espace de travail auxquels nous nous sommes connectés, après avoir entré le « login » et le « password » demandés ? Sans doute, tant notre vie personnelle (paiements, formalités…) ou professionnelle (logiciels ou données stockés dans le « nuage ») bascule petit à petit en ligne, et a donc besoin d'être protégée contre des failles de sécurité qui se multiplient. « Les attaques sont de plus en plus "à rebond", détaille Sherley Brothier, directeur R&D de Keynectis-OpenTrust, une entreprise française spécialisée dans l'authentification. Les hackers se servent des informations récupérées dans les serveurs d'un réseau social, par exemple, pour tenter de pirater ensuite les comptes de messagerie ouverts chez Google, Yahoo! et les autres : or dans les e-mails sont souvent stockés d'autres mots de passe ! » Lorsque Twitter a été piraté fin janvier, quelque 250.000 utilisateurs ont dû changer en urgence leurs « passwords » non seulement sur Twitter, mais aussi sur Facebook ou sur leurs webmails.

A l'avenir, nous devrions pouvoir choisir parmi toute une panoplie de techniques d'authentification, adaptées à nos envies, à nos besoins, mais aussi aux possibilités du moment. Tout d'abord, nous pourrons toujours utiliser des identifiants et des mots de passe. « Si nous les choisissons bien et si nous les protégeons bien, ils suffisent amplement pour s'authentifier sur des applications sans grand enjeu, comme des forums de discussion », estime Mathieu Cunche, chercheur à l'Inria (Institut national de recherche en sciences du numérique).

Solution déjà répandue dans le monde du travail, mais qui pourrait s'étendre au grand public : les cartes à puce, couplées à un code personnel, que certaines entreprises et administrations imposent, depuis une dizaine d'années, à leurs salariés et fonctionnaires pour accéder à leurs ordinateurs. « Depuis que le département de la Défense des Etats-Unis a imposé l'usage des cartes à puce à ses fonctionnaires, les intrusions dans ses réseaux ont chuté de 46 % », affirme Jeremy Grant, de la NIST (National Institute of Standards and Technology), une agence du département du Commerce des Etats-Unis. La version grand public de cette méthode est la carte d'identité électronique. En Belgique, cette carte qui associe code confidentiel et puce permet d'authentifier certaines transactions en ligne.

Pour les applications nécessitant une sécurité relativement élevée, le nouvel axe de recherche est l'« authentification multi-facteur », c'est-à-dire un identifiant, plus un mot de passe, plus « autre chose » : soit un code envoyé sur le téléphone portable (comme le font déjà certaines banques lorsque nous payons par carte sur Internet), soit une donnée biométrique (voix, iris, visage), soit un code généré par un petit appareil (« token »)…

Quelques jours après avoir été piraté, Twitter a publié sur son site une offre d'emploi pour des spécialistes de l'« authentification multifacteur ». Voilà plusieurs mois que ses concurrents proposent à leurs utilisateurs une « authentification à deux facteurs » : les abonnés qui utilisent pour la première fois un terminal (ordinateur, smartphone, tablette…) pour se connecter à Facebook ou à Google doivent non seulement entrer login et mot de passe, mais aussi un code qui leur est adressé par SMS. Pour les deux entreprises, c'est un bon moyen de rassurer leurs clients, mais aussi d'obtenir… leur numéro de mobile, sur lequel elles pourront peut-être un jour leur envoyer de la publicité. « Un des problèmes que pose le renforcement de la sécurité est le respect de la vie privée », avertit Rene Mayrhofer, enseignant à l'université des sciences appliquées de Haute-Autriche et spécialiste de l'authentification contextuelle, c'est-à-dire l'utilisation de capteurs (GPS, gyroscope…) pour localiser les appareils mobiles et renforcer l'authentification.

D'autres acteurs étudient la piste des données biométriques. « Attention, vos données biométriques sont des données publiques, s'inquiète un spécialiste de la sécurité qui travaille pour le gouvernement français. On peut recueillir vos empreintes sur un verre, enregistrer votre voix ou vous photographier et, ensuite, déjouer assez facilement les capteurs biométriques. » Et une fois que nos données biométriques sont piratées, nous ne pouvons plus en changer !

« L'utilisation d'un "token" comme deuxième facteur semble la plus prometteuse, prédit Véronique Cortier, directrice de recherche au CNRS et à l'Inria. Un "token" est un appareil ou un logiciel capable de stocker des données, de faire de la cryptographie et de générer un code supplémentaire. Il peut prendre la forme d'une carte à puce, d'une clef USB ou d'une application pour smartphone ou tablette… » Google s'est par exemple rapproché de la société californienne Yubico, qui propose des « tokens » sous forme de clefs USB. « Google voudrait faire de notre produit un standard ouvert, affirme Stina Ehrensvärd, la fondatrice de Yubico. L'internaute paierait entre 10 et 50 dollars par an. »

Le stade ultime de l'« authentification multifacteur » sera peut-être une combinaison de toutes ces techniques : mot de passe, plus biométrie, plus « token », plus analyse du contexte (quel ordinateur est utilisé, à partir de quelle adresse IP, à quel moment, pour faire quoi…). « Pour les grands groupes, nous avons développé un système qui peut prendre en compte jusqu'à une centaine de critères, et ce pour tout type d'entreprise », affirme Bernard Montel, directeur technique pour la France de RSA, un des pionniers de la sécurité informatique (et lui-même victime d'un piratage en mars 2011).

Enfin, certains acteurs préfèrent une solution plus respectueuse - a priori - de la vie privée : faire appel à un tiers de confiance (entreprise ou administration) qui va délivrer les informations au compte-gouttes, au fur et à mesure des besoins. Nous pourrons autoriser - grâce à un mot de passe - un site Internet à consulter ce tiers de confiance. Celui-ci pourra alors lui confirmer soit notre âge (pour accéder à des forums réservés aux adultes), soit notre adresse (pour une livraison), soit nos droits administratifs (pour déclarer nos impôts), etc. Mais pas ces trois informations en même temps. Le gouvernement britannique vient par exemple de choisir PayPal pour autoriser, d'ici à quelques mois, l'accès des personnes qui veulent utiliser certains de ses services.