Une double authentification qui puise dans les sons ambiants

Dans le cade du récent symposium sur la sécurité Usenix, une équipe de chercheurs de l’Ecole polytechnique fédérale de Zurich (EPFZ) a présenté un nouveau concept d’authentification double facteur. Le plus rependu de ce type de procédure consiste à entrer un code généré aléatoirement et envoyé par SMS, après avoir saisi au préalable identifiant et mot de passe.

Le système mis au point par les chercheurs de l’EPFZ, baptisé Sound-Proof, vise à rendre la double authentification moins contraignante pour l‘utilisateur. Et ce de la façon suivante: en s’authentifiant sur un site ayant installé la technologie Sound-Proof, un signal est envoyé à une app mobile dédiée installée sur le smartphone de l’utilisateur. Un enregistrement audio de quelques secondes est alors lancé simultanément à partir du navigateur et de l'app. Les deux enregistrements de sons ambiants ainsi créés sont ensuite comparés pour contrôler que l'app et le navigateur se trouvent dans une même pièce. Si les signatures correspondent, alors la connexion se fait.

Le système ne peut pas espionner et enfreindre la sphère privée, puisque les serveurs ne stockent pas d‘enregistrement de sons audibles, mais des signatures sonores générées à partir des sons. Sur son blog, la firme spécialisée dans la cybersécurité Sophos trouve le concept intéressant. Elle évoque toutefois une vulnérabilité avec un scénario (qu'elle admet peu probable) qui verrait un hacker, qui aurait d'abord subtilisé un mot de passe, tenter une intrusion en se plaçant à proximité immédiate de la personne qu’il cible. A noter que ce concept ne se trouve encore qu’au stade de projet. Mais ses développeurs planifient de créer une start-up pour le peaufiner.