Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Mooltipass, un dispositif physique pour retenir tous vos mots de passe

Financé sur une plateforme de Crowd-Funding, ce boîtier de contrôle d’accès qui fonctionne de pair avec une carte à puce contenant vos identifiants et mots de passe, essaie de démocratiser l’authentification forte chez le grand public et les TPE. Par ailleurs, son modèle de développement amène la sécurité à un niveau encore trop peu souvent atteint.

Certains, comme Microsoft ou encore Apple, promettent de les remplacer par des dispositifs biométriques. Pourtant les mots de passe vont encore faire partie de notre quotidien pendant un certain temps. Et avec eux, leurs problèmes récurrents. Combien en avoir ? Comment s’en souvenir ? Où les stocker ? Outre la très mauvaise pratique consistant à écrire ses identifiants sur un post-it puis à coller ce dernier sur l’écran, l’internaute se contente généralement de jongler entre quelques mots de passe, pas toujours très longs ni compliqués, qu’il utilise partout. Problème : si un pirate met la main sur une ou plusieurs de ces clés secrètes, de nombreux services sont automatiquement compromis. Pour se prémunir contre ce risque, il est conseillé d’utiliser la fonction coffre-fort de son navigateur afin de stocker toutes ses clés sous l’égide d’un seul mot de passe central. Mais si un virus infecte l’ordinateur et qu’il casse la protection du coffre-fort, toutes les clés de sécurité de l’utilisateur se retrouvent exposées… Financé sur la plateforme de Crowd-Funding Indiegogo, Mooltipass fournit une nouvelle solution qui pallie à ces inconvénients. Le dispositif se présente sous la forme d’une carte à puce personnelle, contenant les identifiants, et d’un lecteur adéquat.

Authentification forte. Pour fonctionner, la carte à puce doit être introduite dans le lecteur et ce dernier connecté en USB à l’ordinateur. Ensuite, l’utilisateur se connecte à son service en ligne et se rend sur la page de connexion. En cas de première visite, l’utilisateur se connecte normalement et le boîtier lui demande s’il doit enregistrer les données de connexion. Lorsque le service est déjà connu, le processus d’identification par carte commence. Si l’utilisateur a pris le soin auparavant, de télécharger et d’installer dans son navigateur le Plug-In (une extension logicielle) éditée par Mooltipass, alors chaque page de connexion est automatiquement détectée par le boîtier, qui pré-remplit seul les champs d’authentification. Dans le cas contraire, il faut parcourir un menu et presser un bouton sur le dispositif pour injecter ses identifiants. Dans tous les cas, le boîtier demande un code pin au démarrage, afin de déchiffrer les mots de passe enregistrés. Lesquels sont encodés en AES-256 (un algorithme de cryptographie qui est, à ce jour, considéré comme sûr). Au bout de 3 essais infructueux, la carte à puce se bloque et devient inutilisable. L’authentification par carte à puce n’est pas nouvelle mais elle est, jusqu’à présent, recluse au monde des grosses PME, ETI et grandes entreprises. Les initiatives comme Mooltipass ont cela de positif qu’elles tendent à la démocratiser. Et, par la même occasion, à démocratiser l’authentification forte parmi les internautes des PME et TPE. En effet, une procédure d’identification telle que proposée ici implique une authentification à deux facteurs : il faut, d’une part, détenir physiquement la carte à puce et, d’autre part, connaître le code PIN pour débloquer les données sensibles.

Sécurité open-source. Concrètement, le dispositif peut être connecté à n’importe quel ordinateur, sans pilote spécifique, car il est reconnu comme un clavier standard USB. Ce qui signifie qu’il tape virtuellement vos identifiants dans les champs de la page de connexion, via du code javascript. Par ailleurs, le boîtier dispose d’un emplacement caché, lui offrant la possibilité d’être connecté à une carte électronique de type Arduino. Ainsi, il est possible de fabriquer des objets connectés qui bénéficieront de la même méthode d’authentification. Reste à déterminer si Mooltipass peut être piraté et, le cas échéant, de quelle façon. En la matière, la démarche de Mooltipass n’est pas banale puisque l’éditeur table sur le monde du logiciel ouvert (Open Source Software) pour assurer la sécurité de son dispositif. Autrement dit, tout le monde a accès au code source du boîtier. De nombreux hackers (terme court qui signifie : chercheurs indépendant en informatique) pourront donc réaliser leurs tests à domicile. Et prévenir l’éditeur en cas de vulnérabilité.

Guillaume Pierre

Commentez

Participez à la discussion