Cette technique était censée remplacer les mots de passe. Il s’avère qu’elle est étonnamment facile de pirater

Tenez-vous en à votre code PIN à quatre ou six chiffres.

Les mots de passe sont nuls, c’est pourquoi nous sommes si nombreux à rêver d’un monde où ils n’existent pas du tout. Mais se souvenir des noms et des numéros présente certains avantages par rapport aux nouvelles solutions. Selon une nouvelle étude (PDF) de l’Institut de technologie du New Jersey, de l’Université George Washington et de l’Université de la Ruhr à Bochum, une alternative de mot de passe très appréciée par LG est à la fois plus facile à pirater et à oublier qu’on ne le pensait auparavant.

La technique de mot de passe en question est appelée « knock code« . Ces codes remontent à la Grèce antique et aux prisons russes du début du siècle, où une série de coups ou de tapes étaient assimilés à différentes lettres. Les smartphones de LG offrent une version super simplifiée de ce concept : vous disposez d’une grille 2 x 2, et vous créez votre propre mot de passe en frappant ces cases dans l’ordre que vous souhaitez. C’est une idée quelque peu similaire aux modèles Android, qui vous permettent de tracer au doigt des points sur l’écran pour dessiner votre mot de passe au lieu de le taper.

LG est allé jusqu’à qualifier cette approche de « sécurité parfaite ». Il est facile de voir l’attrait de cette approche. Les « knock codes » peuvent être saisis sur un écran noir, ce qui signifie qu’il est difficile pour quelqu’un qui regarde de le déchiffrer aussi facilement que votre code PIN. Il ne devrait pas non plus être possible de prévoir un code à frapper, alors qu’un code PIN ou un mot de passe pourrait contenir une date d’anniversaire ou d’autres ancres mentales facilement devinables qui pourraient aider d’autres personnes à vous pirater. Dans l’ensemble, les « knock codes » réimaginent un mot de passe comme un geste, ce qui est suffisamment séduisant pour que les chercheurs estiment que pas moins de 2,5 millions de personnes aux États-Unis seulement utilisent des « knock codes » sur leur téléphone.

Mais selon les chercheurs en sécurité, le concept n’a pas fait ses preuves dans le monde réel. Après avoir demandé à des centaines de personnes de créer des « knock codes », ils ont appris que si les gens peuvent créer n’importe quel code, ce qu’ils créent n’est pas si divers.

Le plus accablant : 18 % de tous les codes étaient constitués de seulement quatre séquences de mots de passe différentes. Le problème est que les gens ont tendance à commencer dans la case supérieure gauche et à prendre des chemins similaires à partir de là. Dans l’ensemble, les 30 codes les plus populaires représentent 42 % de tous les codes créés dans l’étude. Donc, même si vous n’avez pas conçu l’un des codes les plus populaires, votre code à taper serait quand même assez prévisible. « Les modèles tendent à être choisis de manière moins aléatoire et sont donc plus faciles à deviner », explique Adam Aviv, auteur du document et professeur associé d’informatique à l’université George Washington.

Après seulement 10 essais de déverrouillage de votre téléphone, les chercheurs ont calculé que quelqu’un peut deviner votre code de frappe 28% du temps. Un code PIN à quatre ou six chiffres est beaucoup plus sûr que cela.

Et si les « knock codes » utilisaient une grille 2×3 au lieu d’une grille 2 x 2 ? Les chercheurs ont également analysé cette approche et ont constaté que les codes 2 x 3 étaient en fait plus faciles à deviner que les codes 2 x 2. Comment cela est-il possible ? « Il peut y avoir un faux sentiment de sécurité qu’offre l’ensemble des choix, les utilisateurs pensant que leur choix individuel importe moins face au nombre accru de possibilités », écrivent les auteurs dans l’article. En d’autres termes, un plus grand sentiment de sécurité perçu nous rend plus paresseux dans la conception de nos propres codes d’accès.

Un autre problème est le degré de mémorisation des codes. Après avoir établi des codes à frapper 2 x 2, jusqu’à 20 % des participants ne pouvaient pas s’en souvenir 10 minutes plus tard. Les codes à frapper ne sont donc ni sûrs ni pratiques.

Les mots de passe traditionnels ne sont pas non plus parfaits. Même si votre mot de passe est nouveau, un pirate informatique peut y accéder par le biais d’une faille de sécurité trop courante. Mais les chercheurs ont conclu qu’un code PIN à quatre ou six chiffres est plus efficace qu’un code de sécurité. Parce que parfois, une conception prometteuse sur le papier n’a pas beaucoup de sens pratique une fois que de vrais humains sont impliqués.

Via Fastcompany

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.