Services bancaires, messagerie électronique et instantanée, cybermarchands, réseau d'entreprise... Sur Internet, le besoin d'authentification des utilisateurs revêt une importance cruciale. Le binôme nom d'utilisateur (login) et mot de passe (password) représente de fait le mode d'identification le plus courant. Cette stratégie basée sur le facteur humain montre aujourd'hui ses limites et demeure la principale faille de sécurité sur Internet. Car en matière de mots de passe, le maillon faible, c'est... l'internaute lui-même.

La plupart des codes choisis par les utilisateurs sont en effet considérés comme insuffisamment sûrs par les experts en sécurité. En d'autres termes, ils ne résisteront pas plus d'une minute aux attaques d'un hacker. Pourquoi ? Tout simplement parce que le mot de passe doit répondre à deux contraintes, qui ne sont pas toujours respectées.

D'une part, il ne doit pas être pas trop simpliste, afin qu'on ne puisse pas le deviner aisément (à éviter, donc, votre nom de jeune fille ou votre date de naissance). Mais gare à la surenchère, car à l'opposé, plus il est complexe, plus vite il risquera d'être oublié...

En pratique, une combinaison « classique » de lettres et de chiffres est définitivement à proscrire, puisque les pirates essaieront en premier les noms, prénoms, surnoms familiers (même celui du chien !) ou dates anniversaires... Si le code d'accès est trop simple, il sera rapidement identifié par des outils logiciels conjuguant un dictionnaire de mots de passe de référence et des algorithmes puissants. Préférez ainsi des combinaisons complexes, qui ne veulent absolument rien dire, mélangeant lettres, chiffres et caractères spéciaux (?, !, #...).

Plus un mot de passe est long, plus il est « fiable ». Mais attention, n'allez pas en choisir un outrageusement élaboré pour aller ensuite le noter sous votre clavier, sur un post-it collé à l'écran ou dans un document texte baptisé « Mes mots de passe » ! Autre conseil plein de bon sens, ne fournissez jamais votre mot de passe par courrier électronique ou messagerie instantanée.

Enfin, si l'ordinateur que vous utilisez n'est pas le vôtre (au bureau ou dans un cybercafé, par exemple), prudence. Le système peut en effet être configuré pour conserver les mots de passe en mémoire lors de leur saisie. Si jamais vous êtes néanmoins obligé d'y utiliser vos identifiants, éteignez l'ordinateur en partant et activez l'option de Windows permettant de ne pas conserver les mots de passe en mémoire.

Naturellement en première ligne, les services de banque à distance oeuvrent depuis longtemps à l'élaboration de parades à l'usurpation d'identité. Certaines d'entre elles mettent d'ores et déjà en place des systèmes dits « d'authentification forte », souvent contraignants mais toujours efficaces.

Une authentification forte combine des mots de passe longs et compliqués, et un second système d'identification : badges, cartes à puce, biométrie... Ces stratégies tendent à limiter les conséquences financières souvent ravageuses du phishing.

Au Crédit commercial de France, les entreprises - et très bientôt les particuliers - accèdent à leurs comptes au moyen d'une procédure originale : le client répond d'abord à une question et, si la réponse est juste, un clavier virtuel lui permet ensuite de cliquer sur une série de chiffres. Ainsi, les spywares de type keyloggers, ces espions qui scrutent tout ce que vous saisissez, ne peuvent rien enregistrer, puisque l'emploi du clavier est remplacé par cette succession de clics...

De nombreuses autres solutions, parmi lesquelles les listes de mots de passe, les jetons (tokens) ou encore la biométrie, sont en cours d'expérimentation. Dans la stratégie de sécurisation par listes de mots de passe, l'utilisateur reçoit une feuille de papier imprimée avec une série de sésames.

À la première connexion, le premier mot est saisi, puis s'autodétruit afin qu'il ne puisse être réutilisé. Lors de la seconde connexion, le mot de passe suivant est requis, et ainsi de suite. Cette procédure, où le mot de passe est dit unique, élimine les risques d'attaque par tentatives de connexions successives. Inconvénient : l'utilisateur perd toute autonomie et doit respecter l'ordre de la liste.

La société CryptMe (dont les produits sont distribués par Athena Global Services) commercialise pour sa part PaTHword, une solution de gestion de mots de passe par carte personnalisée . Chaque carte, unique et personnelle, est composée de signes disposés aléatoirement et destinés à la création de sésames (il est possible d'en gérer jusqu'à onze simultanément avec une seule carte). En pratique, l'utilisateur mémorise seulement deux lettres, et l'outil recrée le reste du cryptage.

Le token est utilisé par certaines banques pour leur clientèle professionnelle. Il se présente généralement sous la forme d'un porte clé équipé d'un petit écran. A la pression d'une touche, il affiche un code à usage unique que l'utilisateur doit saisir, parfois en combinaison avec un login et un mot de passe, pour accéder à son service en ligne.

Tout comme le token, la technologie d'authentification biométrique implique quant à elle la présence physique du « détenteur » des informations d'authentification - en l'occurrence, tout ou partie d'un organe. Pour éviter que les yakuzas ne coupent trop de doigts dans un futur proche, plusieurs pistes sont explorées : analyse d'une empreinte digitale ou vocale, reconnaissance faciale, identification par scan de la rétine ou de l'iris, détection de la géométrie de la main, etc.

Microsoft réfléchit parallèlement aux améliorations qu'il conviendrait d'apporter aux matériels pour que, associé avec des services et des fonctions intégrés au système d'exploitation Microsoft Windows, l'environnement informatique soit enfin plus sûr et « digne de confiance ».

Cette initiative, baptisée NGSCB (pour Next-Generation Secure Computing Base ), pourrait faire son apparition dans les prochains systèmes d'exploitation de l'éditeur.