L’U2F, pour Universal 2nd Factor, ou authentification à double facteur, serait, aux dires de Google un protocole miracle qui résoudrait d’un coup les problèmes d’usurpation d’identité numérique. Il faut dire qu’entre deux hack Target ou Staples, le couple login-mot de passe prend des allures de données publiques. Datalossdb estime qu’à la mi-2014, il s’est « perdu » près de 502 millions d’enregistrements, 57 % de ces fuites portant précisément sur des créances numériques identifiant/mot de passe. Il fallait donc voler au secours des internautes, et leur proposer un outil fiable et simple rendant plus complexe ces risques d’évaporation. C’est le Token à la portée de tous.
En ce milieu de semaine, Google, donc, annonce que son navigateur Chrome supporte le protocole U2F, déclaration conjointe avec celle du lancement de la Yubikey, clef USB chargée de générer le « mot de passe unique » nécessaire audit protocole. Google comme Yubico sont membres d’un consortium baptisé Fido Aliance, souhaitant normaliser et développer l’authentification à double facteur.
Pourtant, la formule risque de prendre difficilement. En premier lieu, en raison de l’image de marque sulfureuse de Google qui, dans l’inconscient collectif, joue le rôle de factotum de la NSA. C’est le « second effet Snowden » que traduisent bien les premiers commentaires rédigés sur le blog de l’éditeur. Apporter la moindre parcelle de confiance à un protocole promulgué par une entreprise dont le patron même affirmait que la vie privée était une anomalie, voilà qui a du piquant.
S’ajoute également une difficulté non négligeable, celle liée à l’adhésion au standard des grands acteurs d’Internet. A commencer par les banques, administrations, services publics, vendeurs en ligne… « one protocole to rule them all » ? Le slogan a de nombreuses fois été clamé, notamment par ce même Patron de Google, période Novell, où il rêvait d’un protocole de gestion des identités unique et planétaire. En ces temps-là , les DigitalMe s’affrontaient avec des projets Passport, et les alliances pour une identité numérique s’imaginaient régner un jour sur une population virtuelle comptée, pesée, divisée… et maîtrisée. Il n’en a rien été, car aucun gouvernement à l’époque n’a souhaité adopter ces initiatives par trop propriétaires et si coûteuses à gérer au quotidien. De nos jours, si l’on excepte bien entendu les services des membres du groupement Fido, peu d’administrateurs Web sont prêts à investir dans une nouvelle couche de sécurité, aussi simple soit elle. Même les sécurisations les plus élémentaires, telles que le salage des condensats de mots de passe stockés, ne sont que très rarement mises en œuvre. Alors, un mécanisme de « question-réponse » chiffré venant alourdir les procédures de connexion, tout ça est très peu probable.
Du côté du public, là encore, les probabilités d’adoption sont minces. Les habitudes d’usage prouvent que même les « coffres forts à mot de passe » genre PasswordSafe, outils pourtant minimalistes, ne sont utilisés que par des professionnels de la sécurité, et encore parle-t-on de ceux appartenant à la frange radicale la plus paranoïaque qui soit. Les études statistiques reposant sur les grands vols de mot de passe exposés sur Pastebin prouvent non seulement que les sésames complexes (lettres, chiffres, signes de ponctuation) sont très rarement utilisés, mais encore que le même mot de passe est systématiquement employé pour donner accès à plusieurs services. Certes, un « token » USB ou NFC pourrait résoudre cet aspect des choses, mais à deux conditions : qu’il soit adopté par la totalité des services en ligne (ce qui relève encore aujourd’hui de la science-fiction) et qu’il ne nécessite aucune opération supplémentaire de la part de l’abonné. Ergo, être logiquement invisible et physiquement intégré à l’ordinateur, au téléphone, à la tablette de l’internaute, ce qui n’est pas du tout le cas de la Clef U2F qui, pour répondre à ces contraintes, impliquerait des accords OEM entre entreprises parfois génétiquement incompatibles. La clef Google dans le prochain Surface Microsoft ? On peut rêver.
S’ajoute à ceci la méfiance croissante du public envers les outils techniques de sécurité annoncés comme prétendument absolus durant leur phase de lancement. Après la désillusion de l’antivirus omniscient et du firewall incontournable, même les armes Open Source les plus populaires se sont vues fragilisées. L’anonymat garanti par Tor reste très relatif (passerelles détenues par des services de renseignement de différentes nations, cookie poisonning, attaque des nœuds de routage, attaque par « time pattern » etc.). La protection des « services vpn payants », quant à elle, est une douce illusion frisant parfois l’escroquerie. Les services serveurs d’applications garanties confidentielles s’avèrent soit compromis par les collusions entre hébergeur et services d’espionnage (affaire Prism), soit, au moins, soumis à une scrutation attentive des métadonnées glanées au fil des flux en transit. Même les réseaux « étudiés pour » (ainsi Whisper) traqueraient leurs usagers en révélant leur position géographique, affirmait il y a peu le Guardian.
Dans l’ensemble, ces « révélations » sur ces failles sont une bonne chose. Elles inculquent un principe de « confiance sans illusion » que des années de sensibilisation ne sont toujours pas parvenues à faire entendre. Paradoxalement, c’est cette suspicion légitime, donc cette prise de conscience qu’en matière de sécurité, il n’est jamais prudent de mettre tous ses œufs dans le même panier et ses lettres de créances numériques dans le même protocole, qui entravera le développement du protocole Fido et de ses produits dérivés.