Authentification forte : Google apprécie l’approche alternative de SlickLogin
Google a mis la main sur la start-up israélienne SlickLogin, qui a développé un système d’authentification basé sur le transfert de clés sécurisées par ultrasons entre un PC et un smartphone.
« Les mots de passe sont morts. […] Il faut trouver des solutions plus innovantes« . Par la voix de son experte en cybersécurité Heather Adkins, Google avait donné le ton en septembre dernier durant la conférence TechCrunch Disrupt.
Le groupe Internet officialise aujourd’hui le rachat de la start-up israélienne SlickLogin, qui s’était distinguée lors de cet événement en présentant un système d’authentification basé sur la communication par ultrasons entre un PC et un smartphone. Lancée à cette occasion en bêta privée (environ 400 personnes se sont inscrites), la solution en question est conçue pour s’intégrer dans toute application – ou dans une page Web – en ajoutant simplement quelques lignes de code.
Son objectif ? Renforcer la sécurité informatique sans pour autant complexifier le processus d’identification. Son principe ? Utiliser Wi-Fi, GPS, Bluetooth, NFC ou encore QR codes pour déterminer la position d’un téléphone portable, puis lui transmettre, via les haut-parleurs du PC sur lequel l’utilisateur souhaite se connecter, un ultrason, inaudible pour l’oreille humaine. Celui-ci est capté au microphone, puis traité par une application mobile qui établit la correspondance et déclenche l’authentification.
Ce système peut faire office de complément au couple identifiant/mot de passe… ou bien s’y substituer. Tous les flux transférés sont chiffrés pour éviter les attaques de type « man-in-the-middle ». En outre, chacun des signaux communiqués est unique et périssable : il ne fonctionne qu’à un instant T (inutile, donc, de tenter de l’enregistrer).
A l’origine de SlickLogin, une équipe de trois ingénieurs tous sortis des rangs de l’Armée de défense d’Israël (IDF), où ils oeuvraient en qualité d’ingénieurs systèmes contribuant notamment au développement de dispositifs de protection des infrastructures militaires. L’actuel CEO Or Zelig n’en est pas, comme le témoigne son profil LinkedIn, à sa première entreprise dans le domaine de la sécurité IT : en octobre 2012, il avait créé la société Retheos, spécialisée dans les outils de reverse engineering.
Tout comme ses associés (le CTO Eran Galili et le vice-président de la R&D Ori Kabeli), il rejoindra les équipes de Google à Tel-Aviv (Israël) pour poursuivre le développement de sa solution avec une perspective à court terme : permettre un fonctionnement sans connexion Internet côté smartphone.
Google explore, en parallèle, d’autres pistes pour repenser l’authentification : les tokens hardware (clé USB YubiKey), les données biométriques (tatouages, gélules consommables) ou encore une technologie de Motorola visant à reconnaître les utilisateurs par le contact d’un appareil sur un dispositif embarqué ou porté sur soi.
—— A voir aussi ——
Quiz ITespresso.fr : incollable sur Google Chrome ?
Crédit photo : SurangaSL – Shutterstock.com