Dans le domaine de la sécurité informatique, on considère que l’authentification d’une personne peut se faire à l’aide de trois «facteurs» : une chose que cette personne connaît, une chose qu’elle possède ou une caractéristique qui lui est propre. En termes plus pratiques, ces trois éléments peuvent être respectivement un mot de passe, une carte de sécurité ou bien une mesure biométrique (comme une numérisation de la cornée ou des empreintes digitales).
Le concept est loin d’être nouveau, car nous utilisons chaque jour des systèmes qui en sont inspirés. Par exemple, lorsque l’on effectue des transactions bancaires en s’identifiant à l’aide d’une carte (possession) et d’un NIP (connaissance), il s’agit d’une authentification multi-facteurs. Toutefois, une grande majorité des services populaires sur le Web n’a pas encore fait le saut.
Le saut de Google
Afin de renforcer ce que les utilisateurs connaissent (leur mot de passe), Google propose donc depuis peu de tirer parti de ce que les utilisateurs ont : un téléphone. Depuis la semaine dernière, il est possible d’augmenter la sécurité de son compte de courriel gmail, par exemple, en faisant envoyer un code secret à son appareil cellulaire (ou à une ligne fixe) ; code qui devra être entré au moment de l’identification. Par la suite, l’utilisateur peut spécifier s’il veut que l’ordinateur utilisé soit identifié pour une seule session ou pour tout le mois.
Ce genre d’initiatives est déjà en place pour des services comme PayPal, qui propose aux utilisateurs de s’adonner à une authentification par téléphone afin de marquer un compte comme «vérifié». Plusieurs organisations remettent aussi à leurs employés qui doivent travailler de la maison de petits appareils qui génèrent des codes synchronisés avec le système central, ce qui ajoute un facteur à l’identification lors de la connexion au réseau.
Il est toutefois permis de s’interroger quant à la portée de cette proposition pour les services en ligne. Le compromis est bien connu des développeurs : un système plus sécuritaire a tendance à être plus complexe à utiliser, contrairement à la sécurité limitée d’un système plus simple. Souvent, les demandes répétées d’authentifications sont jugées intrusives par les utilisateurs, comme ce fut le cas pour Microsoft Windows Vista, dont le mécanisme de sécurité demandait à l’utilisateur beaucoup d’interventions. Ce genre de procédures plus sécuritaires peut être irritant pour l’utilisateur moyen, ce qui en freine l’adoption. Toutefois, dans le cas des services de Google, comme pour PayPal et les autres services qui proposent une authentification multi-facteurs, il ne s’agit que d’une arme de plus dans l’arsenal de sécurité mis à la disposition des utilisateurs.