Publicités

Vos baskets, les chewing-gums ou vos cigarettes ont maintenant votre mot de passe de plus

Vos baskets, les chewing-gums ou vos cigarettes ont maintenant votre mot de passe de plus

Boffins explorent les objets personnels comme des marques 2FA en utilisant le code de vision informatique.

Des chercheurs en informatique de la Florida International University et de Bloomberg ont mis au point une alternative aux babioles cryptographiques comme YubiKeys pour l’authentification à deux facteurs.

Ce n’est pas qu’il n’ y a rien de mal à YubiKeys et autres solutions de connexion similaires, à part la bévue de sécurité occasionnelle. Mais ils peuvent être une faille potentielle pour les net-citoyens non avertis. Il y a toujours des messages texte pour l’authentification à deux facteurs, mais en raison des faiblesses de la SS7 et des malwares qui détournent les comptes de téléphones cellulaires des gens en piégant les services d’assistance téléphonique, ceux-ci ne sont plus fiables.

Que pourrait-on utiliser d’autre pour prouver votre identité en plus d’une phrase mot de passe facile à utiliser et à emporter avec vous? C’est juste sous ton nez.

Pixie, un projet de recherche décrit dans les Actes de l’ACM du mois dernier sur les technologies interactives, mobiles, portables et omniprésentes, démontre que la caméra dans les appareils mobiles et portables peut être utilisée pour l’authentification à deux facteurs sans aucun matériel spécial supplémentaire.

Les chercheurs – Mozhgan Azimpourkivi, candidat au doctorat à la Florida International University (FIU); Umut Topkara, chercheur en PNL à Bloomberg; et Bogdan Carbunar, professeur adjoint d’informatique à la FIU – affirment: »Pixie peut compléter les solutions d’authentification existantes en fournissant une alternative rapide qui n’expose pas les informations sensibles des utilisateurs ».

L’authentification à deux facteurs (2FA) améliore l’authentification à un seul facteur, comme un système basé sur un code d’accès, en exigeant une deuxième entrée pour prouver que vous êtes la personne autorisée à accéder à un système ou un service. En conjonction avec un code d’accès – quelque chose que vous connaissez – cela prend souvent la forme d’un article – quelque chose que vous avez.

L’élément, tel qu’une clé YubiKey ou un périphérique mobile exécutant une application telle que Google Authenticator ou Authy, sert à transmettre un code d’accès dynamique, un mot de passe temporaire unique (TOTP) ou un mot de passe unique (HOTP) basé sur HMAC.

D’autres facteurs peuvent être ajoutés pour plus de sécurité et une surenchère – « mon authentification va jusqu’ à 11 facteurs » – mais deux ont tendance à suffire pour les civils.

La chose

Avec Pixie, un utilisateur de smartphone peut simplement capturer une image d’un bijou, tel qu’un bracelet ou une montre-bracelet, et l’image devient une référence pour de futures tentatives d’authentification.

L’approche est similaire à un code QR, sauf que c’est secret. Tu n’es pas censé dire à qui que ce soit quel objet tu utilises. Il présente également des similitudes avec un identificateur biométrique, sauf qu’il est détachable. Et parce que Pixie gère la reconnaissance d’images localement, elle ne dépend pas des conditions de réseau ou n’est pas vulnérable aux attaques en réseau qui pourraient affecter les schémas 2FA impliquant un code d’accès envoyé par SMS à un périphérique mobile.

L’image de référence ne doit pas nécessairement être le bibelot entier non plus: Pixie peut reconnaître des parties spécifiques de l’objet cible, comme un motif de chemise ou une partie d’une chaussure.

« Pixie vérifie avec précision que l’image candidate contient la même chose qu’un ensemble d’images de référence précédemment capturées », explique le document de recherche. « Ce processus confère à Pixie des propriétés de résistance aux attaques: pour s’authentifier frauduleusement, un adversaire doit capturer à la fois le mobile et le bibelot, puis deviner la bonne partie du bibelot. »

Il ne suffit donc pas qu’un attaquant sache simplement ce qu’est votre objet de déverrouillage secret: il doit aussi savoir quelle partie de l’objet – l’angle de l’image de référence, la partie utilisée pour authentifier, etc.

Pixie a fait preuve d’une résistance raisonnable à l’attaque – son taux de fausse acceptation était inférieur à 0,09% lors d’une attaque par force brutale de plus de 14 300 000 tentatives d’authentification utilisant 40 000 trinket images recueillies à partir d’ensembles de données publiques. Elle a également été assez bien accueillie, la moitié des 42 personnes interrogées dans l’étude sur les utilisateurs ayant indiqué préférer Pixie à l’authentification par mot de passe et 40 % des participants étaient indécis.

Pixie a été implémenté avec Android 3.2, OpenCV 2.4.10 (une librairie logicielle de vision par ordinateur) et Weka (une librairie Java data=mining).

Parmi les participants à l’étude, les objets désignés comme bibelots comprenaient des paquets de chewing-gums des montres, des porte-clés, des lunettes de soleil, une chaussure, un tatouage et – pour quelqu’un qui ne voulait pas vraiment regarder très loin pour photographier quelque chose – un menu iPhone.

Publicités

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :