Des scientifiques de l’université internationale de Floride et de Bloomberg travaillent sur un système d’authentification à deux facteurs qui s’appuie sur des photos d’objets ordinaires. L’objectif est de proposer une meilleure alternative aux méthodes actuelles, dont l’authentification à deux facteurs avec clé physique qui a émergé à cause des lacunes de l’authentification à deux facteurs par SMS.
L’image ci-dessous résume le principe de fonctionnement du système baptisé Pixie par ses concepteurs. Pixie requiert que l’utilisateur choisisse un objet comme clé du second facteur d’authentification. Tout se passe au moment de la configuration du système au cours de laquelle l’utilisateur prend une série de photos de l’objet dont l’image va servir de référence. L’utilisateur doit ensuite prendre une nouvelle photo du même objet à chaque tentative de connexion à son compte utilisateur.
S’en suit évidemment une comparaison entre la photo prise et le modèle de référence. Les chercheurs font état de ce que deux solutions sont à l’étude. La comparaison peut être locale, c’est-à-dire, effectuée directement sur l’appareil mobile de l’utilisateur ou distante. Dans ce dernier cas, les images de référence sont stockées sur la ressource matérielle d’un service d’utilisation courante (Twitter, Facebook, Gmail, etc.) et une application installée sur ce dernier est chargée d’effectuer la comparaison et décider de l’accès ou non à la ressource désirée.
Pour ce qui concerne l’aspect sécurité, les chercheurs soulignent que l’implémentation sur un serveur distant permet de se prémunir de l’un des inconvénients majeurs de cette solution d’authentification, à savoir : la possibilité pour un tiers de rentrer en possession de l’appareil mobile. Les images de référence font en effet office d’informations sensibles et ne sont pas stockées sur ledit appareil dans ce cas. D’après les chercheurs, l’implémentation sur un serveur distant permet de réduire le temps nécessaire à la comparaison lors de l’accès à la ressource désirée. Elle impose néanmoins aux utilisateurs de constituer un jeu d’images de référence pour chaque service en ligne, aspect sur lequel elle se fait supplanter par l’implémentation locale.
Côté chiffres, Pixie exhibe un taux de faux positif de 0,09 % si l’on s’en tient aux résultats des tests automatisés fournis par l’équipe de recherche.
Cette solution d’authentification porte cependant les germes des faiblesses des solutions qu’elle a vocation à remplacer. Un parallèle avec la méthode d’authentification à deux facteurs avec clé physique montre que dans le cas de Pixie, la dépendance au « Trinket », l’objet que l’utilisateur choisit comme référence, est tout aussi importante ; l’utilisateur doit l’avoir constamment avec lui pour pouvoir accéder à un service lié.
Pixie a été présenté pour la première fois lors d’un congrès de l’Association for Computing Machinery (ACM) tenu ce mois. Les chercheurs font état d’améliorations à venir, notamment, pour ce qui concerne les aspects de traitement des images. Une application de test de la version locale est disponible sur GitHub.
Sources
Publication de recherche
GitHub
Votre avis
Avez-vous testé l’application ?
Quel retour en faites-vous ?
Quels aspects méritent encore des améliorations d’après vous ?
Voir aussi :
Malgré l'authentification à deux facteurs, il se fait voler de l'argent sur son compte Uber qui ne le rembourse pas en intégralité
Authentification à deux facteurs : un système basé sur des photos d'objets ordinaires est à l'étude
L'application de test est disponible sur Android
Authentification à deux facteurs : un système basé sur des photos d'objets ordinaires est à l'étude
L'application de test est disponible sur Android
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !