Steve Gibson, spécialiste en sécurité informatique et animateur de la baladodiffusion Security Now!, vient de lancer une idée fort intéressante: utiliser les codes QR (“Quick Response”) afin de simplifier et d’accélérer l’authentification sur les sites web.
Jean-Sébastien Dubé nous avait présenté les codes QR dans un billet en 2010 et soulevé leur potentiel pédagogique. Depuis, cette technologie s’est bien implantée auprès des usagers de téléphones intelligents et de tablettes équipées de caméras. Gibson, qui se penche depuis plusieurs années sur la problématique de la génération de mots de passe sécurisés et de leur rappel par les usagers, propose maintenant une architecture nommée SQRL (pour “Secure QR Login”). Celle-ci a le potentiel de remplacer le besoin d’utiliser la combinaison nom d’usager / mot de passe afin de s’authentifier pour accéder à un site web de façon sécurisée.
Le rationnel ainsi que l’architecture technologique ouverte derrière la proposition sont décrits en détail sur le site de la compagnie GRC. Essentiellement, l’usager n’a qu’à naviguer vers un site web arborant un code QR spécialement conçu pour accepter les demandes d’authentification, et à l’aide d’une application installée sur son mobile, prendre une photo du code QR pour obtenir l’accès désiré…
Pas de nom d’usager ou de mot de passe à taper ou à se rappeler et la sécurité de l’authentification est assurée par un cryptage avancé, ainsi que la vérification du nom de domaine du site au moment de l’opération (ce qui réglerait les attaques dites de hameçonnage). Une caméra ne serait pas absolument nécessaire: un lien associé au code QR permettrait aux usagers de s’authentifier à partir de leur ordinateur au besoin.
Depuis l’annonce de SQRL la semaine dernière, plusieurs développeurs sont déjà à la tâche pour créer des applications sur les différentes plateformes, dont iOS et Android (il existe déjà un plugiciel fonctionnant sous Chrome), sans compter de nombreux projets en cours pour implanter le système du côté serveur. Gibson a confirmé qu’il offrira une application de référence pouvant tourner sous Windows et WINE (pour les usagers de Linux).
À surveiller!
Source: Security Now! épisode #424, 2 octobre 2013.
