Les applications d’authentification mobile sont un excellent moyen d’améliorer la sécurité des mots de passe. Si seulement ils ne vous ralentissaient pas en vous obligeant à taper ces codes numériques. En 2018, il doit forcément y avoir une meilleure solution ?
Deux chercheurs de l’Université de Birmingham, en Alabama, pensent qu’ils ont peut-être la réponse, mais ils ont besoin d’une paire d’enceintes d’occasion, d’un téléphone et d’une smartwatch.
Listening Watch, un projet basé sur les travaux antérieurs des chercheurs Prakash Shrestha et Nitesh Saxena, utilise la puissance du son pour vous connecter à vos sites web préférés. Un document décrivant ce concept est disponible.
Lors de la connexion à des sites web, l’authentification à deux facteurs (2FA) offre une couche de protection supplémentaire par rapport aux mots de passe, car elle vérifie un élément supplémentaire que possède l’utilisateur, avant d’autoriser l’accès. Dans certains cas, cet élément est un jeton matériel distinct. Dans d’autres, c’est un appareil aussi commun qu’un smartphone.
Les cybercriminels sont toujours à la recherche de moyens de forcer le 2FA. Par exemple, RSA a dû remplacer la plupart de ses jetons SecurID en 2011 après que les codes utilisés pour initialiser chacun d’eux aient été volés. Le NIST a annoncé la fin du SMS en tant que mécanisme du 2FA en juin de l’année dernière, après que des intrus aient été trouvés en train de voler des numéros de téléphone et de les utiliser pour effectuer de fausses authentifications.
Le 2FA est également difficile à utiliser, en effet il implique une étape supplémentaire pour se connecter à un élément tiers, ce qui est ennuyeux pour les utilisateurs. Une étude réalisée en 2016 a montré que 28% des utilisateurs n’utilisaient pas le 2FA et que six personnes sur dix le font uniquement parce qu’ils sont obligés.
Un moyen plus facile ?
À l’aide de la méthode Listening Watch, un utilisateur qui tente de s’identifier au niveau d’un site web saisit son nom d’utilisateur et son mot de passe comme d’habitude. Ensuite, le site met alors en place deux communications distinctes. L’une avec le navigateur et l’autre avec le smartphone de l’utilisateur, qui est lié à une smartwatch ou à un équipement fitness porté au poignet.
Le site web envoie alors au navigateur un signal audio constitué d’une voix générée par ordinateur et récitant un code oral aléatoire. En même temps, il envoie également un message au téléphone de l’utilisateur pour que ce dernier puisse enregistrer ce qu’il entend.
Le navigateur lit l’audio à haute voix, effectue son propre enregistrement et le renvoie au site web, qui le transmet au téléphone. La smartwatch enregistre tout ce qu’elle entend en même temps et l’envoie également au téléphone. Si l’utilisateur porte la montre, le navigateur et la montre devraient avoir entendu la même chose.
Après avoir reçu à la fois l’audio du site web et l’audio du smartwatch, le téléphone utilise la reconnaissance vocale pour extraire le code oral récité par chacun. Si les codes correspondent, il compare également les deux signaux audio pour voir s’ils sont similaires. Si tel est le cas, l’utilisateur est proche du navigateur et le téléphone demande au site d’accepter sa demande de connexion. Sinon, la connexion est rejetée.
Cette recherche est une refonte complète d’un projet antérieur des mêmes chercheurs appelé Sound-Proof. Ce dernier utilisait un concept similaire, mais au lieu de codes parlés, il s’appuyait sur le son ambiant. Mais cette technique était vulnérable vis-à-vis-à-vis d’éventuels cybercriminels distants qui pouvaient prédire et répliquer ces sons. Un cybercriminel proche de l’utilisateur aurait simplement pu enregistrer les mêmes sons ambiants pour attaquer le système.
Le code oral du système Listening Watch stoppe les cybercriminels distants en rendant les sons uniques à l’environnement local et totalement imprévisibles, ont déclaré les chercheurs. L’utilisation d’un dispositif portatif, qui a généralement un microphone à portée limitée et à résolution relativement faible, permet d’enregistrer de l’audio sans que d’autres personnes écoutent, ont ajouté les chercheurs. Les microphones smartwatch risquent toutefois de devenir plus puissants, rendant ainsi cette technique vulnérable via à via d’attaques locales, ont-ils admis.
Donc, il s’agirait plutôt d’un mécanisme 2FA minimaliste pour les sites web, pourvu que vous n’ayez pas vos écouteurs sur les oreilles au moment où vous tentez d’accéder à votre plateforme d’échanges Bitcoin. C’est une idée alléchante, mais pour le moment, les internautes soucieux de leur sécurité continueront probablement à jouer avec des codes d’authentification !
Billet inspiré de Listening Watch sounds out security idea with websites that listen, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.