jeudi 26 novembre 2009

Toujours plus de codes et clés.

Nous entendons souvent parler de force de mot de passe, de Single Sign On, de clés de chiffrement, mais finalement, combien de codes connaissons nous? En parlant indifféremment du monde réel et du monde informatique.
Je me suis intéressé à dénombrer le nombre de fois ou je dois taper un code pour me permettre d'accéder à une ressource ou à une donnée en déroulant une journée type.

Ma voiture a un code (4 chiffres) pour démarrer. Une fois arrivé au travail j'allume généralement mon téléphone (PIN, 4 chiffres). J'allume mon ordinateur qui me demande le mot de passe (+10 caractères) puis la messagerie (+10 caractères), puis un outil métier (+10 caractères). Mon téléphone fixe a un code pour écouter les messages reçus en mon absence (4 chiffres). Si j'ai besoin, je peux imprimer des documents (code à 4 chiffres) sur une imprimante réseau dans le couloir ou bien scanner des documents (autre code à 4 chiffres).

Je me connecte sur différentes messageries et forums on-line, la personnelle (+10 caractères), la secondaire (+10 caractères) et souvent une de mes identités poubelles pour regarder un peu le type de spams qui circulent (+10 caractères). J'ai besoin de me connecter à des sites professionnels ou des machines liées à mon métier. Mettons en moyenne 5 à 6 mots de passes. La majorité des machines de tests ont un mot de passe par défaut, toutefois.

Je peux utiliser ensuite ma carte bleue pour manger (PIN, 4 chiffres), et il m'arrive de me connecter sur le site de ma banque (code à 6 chiffres).

Lorsque je me connecte sur blogspot pour écrire ce texte, j'ai encore un code différent (+10 caractères).

Le soir, je dois mettre le code de mon immeuble (5 chiffres) puis celui de l'ascenseur (5 chiffres également). Si je rallume mon ordinateur personnel, j'ai le code LUKS (+10 caractères) puis le mot de passe (+10 caractères).

Je ne parle pas du code permettant d'accéder au vestiaire sportif, du code des casiers, du code des cadenas de mes valises et des codes d'immeubles de mes amis. J'aurais pu également citer de nombreuses cartes de fidélités de magasin, cartes dont je me passe, puisque le fait de donner mon code client à la caisse est suffisant pour me reconnaître. J'arrête là mon inventaire à la Prévert, pouvant encore le continuer longtemps.

Existe t'il une solution à l'explosion de ces codes? Je ne pense pas. Est ce qu'une telle solution est elle souhaitable? Je ne pense pas non plus. Je pense que nous avons besoin de plusieurs identités différentes: pourquoi le code de mon immeuble serait lié à celui de mon PIN de carte bleue ou encore le mot de passe de ma session linux?

Je ne pose pas ces questions innocemment. L'ambient intelligence nous promet un monde d'objets interconnectés. Nous nous en approchons toujours plus (l'électronique est déjà de partout, la communication entre ces objets augmente), comment gérerons nous les problématiques d'authentification? Faut-il qu'un téléphone portable serve à payer, à entrer dans son immeuble, à se géolocaliser sans action volontaire d'authentification? De plus l'authentification doit bien entendu être différente afin que l'utilisateur soit conscient de la requête. Il ne faudrait pas qu'un utilisateur tape un PIN de manière automatique sans pouvoir différencier une requête de payement, de signature ou d'ouverture de porte...

Les services proposés sont enthousiasmants, mais comment en limiter les risques?

Aucun commentaire:

Enregistrer un commentaire