À travers deux billets récents sur son blog officiel, Microsoft a décrit le système de protection des comptes via une image. Conçue pour les équipements tactiles, cette technique consiste à dessiner trois mouvements avec un doigt, leur séquence représentant le « mot » de passe. Mais un expert en sécurité estime qu’il ne s’agit pas d’une protection sérieuse.
Kenneth Weiss, créateur de la technologie SecurID (système de jetons d’authentification) utilisée par la société de sécurité RSA, considère toutefois cette technique avec une forme de haussement d’épaules : « Je pense que c’est mignon. Je ne pense pas que ce soit une sécurité sérieuse. »
Le problème principal selon Weiss est qu’il est aisé pour un tiers de regarder l’écran de la personne qui déverrouille son appareil avec un tracé tactile. De manière plus générale, une caméra pourrait tout à fait capter les mouvements. Un problème que l’on ne retrouve pas avec la saisie des mots de passe car tous les affichages aujourd’hui se contentent d’aligner des points dans la case.
Bien qu’il estime que cette protection est meilleure que pas de protection du tout, il ajoute qu’elle « est davantage un jouet Fisher-Price qu’un choix sérieux pour sécuriser l’accès à un ordinateur ». Il convient cependant de relativiser un point.
Weiss met en avant l’observation simple d’un écran et il explique que dans le cas d’un mot de passe, seuls des points sont affichés. Il y a donc distinguo entre l’écran seul et la zone de saisie, moins facile à examiner de loin. Mais le cas de la protection visuelle s’adresse en priorité aux tablettes. Or, sur ces dernières, la zone de saisie et l’écran sont une seule et même surface. Il y a donc de fortes chances pour que l’utilisateur tienne la tablette dans une position qui simplifie cette saisie.
Il ne faut pas oublier non plus que ce type de protection visuelle n’a rien d’une nouveauté. On la trouve en effet sous d’autres formes sur des plateformes telles qu’Android. Certains smartphones affichent en effet une grille de points et l’utilisateur réalise une figure géométrique à quatre ou cinq points pour déverrouiller l’appareil. Le problème est alors identique.
Rappelons enfin que dans son second billet sur le sujet, Microsoft mettait déjà en garde les lecteurs contre l’observation des écrans, qu’elle soit réalisée par une personne tierce présente ou par une caméra. Le réflexe serait finalement le même qu’au moment de composer le code de sa carte de crédit.
