Sergey Nivens - Fotolia

Un projet de jeton physique pour mettre un terme à l’ère du mot de passe

John McAfee vient de relancer, via un nouveau tour de financement participatif, un projet de clé sans fil utilisée comme jeton physique d’authentification.

Le marché est-il enfin là ? John McAfee vient d’associer son image d’expert de la sécurité informatique à un nouveau tour de table participatif pour le projet Everykey.

Dans un communiqué, John McAfee le présente comme une clé numérique sans fil universelle pour smartphone, tablette, ordinateur, mais aussi domicile ou voiture à compter que l’appareil à commander dispose d’une interface Bluetooth – des API sont prévues pour les développeurs tiers.

Mais la clé promue par John McAfee doit aussi permettre de s’authentifier de manière transparente auprès de services en ligne, sans avoir, donc, à taper de mot de passe. De quoi encourager à l’utilisation de mots de passe complexes et, surtout, différents d’un service à l’autre. Pour réussir ce petit tour de magie, la clé utilise son propre système de gestion de mots de passe, mais pas en local, en mode Cloud, sur « un serveur Everykey sécurisé : […] seuls votre Everykey et vos appareils détiennent la clé de chiffrement de ces mots de passe ». Everykey doit aussi pouvoir générer un mot de passe robuste et aléatoire au moment de la création initiale d’un compte en ligne. Elle doit également pouvoir intercepter les mots de passe saisis dans les formulaires Web afin de les enregistrer. De quoi tuer à petit feu les gestionnaires de mots de passe.

Pour assurer son identification auprès d’un appareil la sollicitant, la clé diffuse un message chiffré via son interface Bluetooth, un message différent à chaque fois, « pseudo-aléatoire et non déterministe ». Bien sûr, en cas de perte ou de vol, la clé peut être révoquée sans qu’il ne soit nécessaire d’y accéder physiquement, comme s’il s’agissait simplement de révoquer un certificat.

Les premières livraisons sont prévues pour le mois de mars. Mais certains s’interrogent sur la viabilité du projet, à commencer par Paul Moore. Ce consultant souligne ainsi qu’Everykey n’a rien de nouveau et a déjà été financé à hauteur de plus d’un million de dollars. Le projet a en effet été lancé officiellement à l’automne 2014, après être né à la Case Western Reserve University en septembre 2012. Le 19 août dernier, la start-up annonçait avoir levé 1,1 M$.

Surtout, Everykey rappelle certains logiciels, utilisant par exemple un iPhone ou une Apple Watch comme jeton physique d’authentification de l’utilisateur d’un Mac. Et de soulever une double question : un autre jeton physique est-il bien utile ? Et est-il bien acceptable en l’absence de secret complémentaire partagé uniquement par l’utilisateur, comme son code PIN ou son empreinte digitale ?

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close