Service Communautaire d'Information sur la Recherche et le Développement - CORDIS

H2020

ReCRED — Résultat en bref

Project ID: 653417
Financé au titre de: H2020-EU.3.7.
Pays: Grèce
Domaine: Économie numérique

La fin du chaos des mots de passe

Toute personne utilisant des comptes en ligne sait que stocker et mémoriser l’emplacement d’une tonne de noms d’utilisateur et de mots de passe peut virer à l’anarchie la plus complète. Des chercheurs financés par l’UE ont dévoilé une nouvelle plateforme d’authentification mobile qui connecte tous les comptes en ligne à l’identité de l’utilisateur, laissant tout le travail au smartphone.
La fin du chaos des mots de passe
La plupart des appareils mobiles sont liés à des centaines de comptes et d’applications, avec toutes sortes de paramètres de sécurité, d’identités et de mots de passe. Le projet ReCRED, financé par l’UE, a développé des solutions logicielles avancées afin de résoudre ce problème de surcharge de mots de passe, afin que l’utilisateur puisse accéder en toute sécurité à ses comptes sans avoir à mémoriser une multitude de mots de passe.

Un seul mot de passe à mémoriser

ReCRED va au-delà de l’ère des mots de passe en fournissant une architecture avancée et flexible. «Se servir d’une architecture d’authentification centrée sur le périphérique est essentiel pour se débarrasser des mots de passe comme principale méthode d’authentification sur le web», note le coordinateur du projet, Christos Xenakis.

Ce modèle améliore la sécurité de l’utilisateur final sur internet en utilisant le mobile comme passerelle d’autorisation. L’authentification et l’autorisation requièrent l’utilisation combinée d’un PIN court, d’informations biométriques et d’identifiants anonymes.

Identité d’utilisateur et gestion de compte

La majorité des internautes sont inscrits à de nombreux services en ligne tels que les fournisseurs de messagerie, les médias sociaux, les services bancaires en ligne ou les applications d’entreprise. Cela complique la tâche consistant à fournir une preuve de la copropriété des services.

ReCRED offre un accès sécurisé à ces services ainsi qu’à la gestion des comptes à partir d’un seul périphérique, quelle que soit la méthode d’authentification utilisée par chaque service. Le module «Online identity acquisition» est chargé de lier horizontalement les identités fragmentées d’utilisateur en ligne. Le service permet à l’utilisateur d’autoriser explicitement ReCRED à accéder aux informations de chaque compte en ligne dont il assure la gestion.

Les chercheurs ont également mis en œuvre le module «Physical identity acquisition» pour les services nécessitant un niveau d’assurance plus élevé, basé sur les attributs. Ce service vérifie tous les attributs d’identité caractérisant l’identité physique de l’utilisateur.

Avec tous ces services, ReCRED améliore les garanties d’identification et renforce la liaison entre identité physique et identité en ligne. «Les utilisateurs finaux peuvent désormais prouver qu’ils possèdent différents comptes auprès de différents fournisseurs d’identités, les relier entre eux et consolider leurs attributs d’identité», déclare Xenakis, le coordinateur du projet.

Une technologie qui améliore la confidentialité

Le scénario catastrophe typique où l’ensemble des données relatives aux identités des utilisateurs est révélé au grand jour concerne certains services nécessitant que les utilisateurs finaux se connectent pour y avoir accès.

L’implémentation du contrôle d’accès basé sur les attributs (ABAC) – considéré comme modèle d’autorisation de nouvelle génération – semble être l’une des meilleures solutions pour la sécurité centrée sur les données. ReCRED a combiné l’ABAC avec des systèmes d’authentification multifactoriels, garantissant un niveau de sécurité et de confidentialité plus élevé. «Les caractéristiques ou attributs des utilisateurs, comme l’âge, la nationalité ou la profession, constituent une identité unique qui peut fournir des privilèges d’autorisation permettant d’accéder à des données, des ressources ou des services», souligne Xenakis, le coordinateur du projet. Comme il l’explique plus en détail, «l’ABAC permet aux utilisateurs finaux d’être authentifiés en fournissant uniquement les attributs nécessaires demandés par le service. Les identifiants anonymes donnent accès à des services sans que l’utilisateur ait à valider son email et ainsi à révéler son identité entière.»

Doubler la sécurité

Le fait que l’appareil devienne la principale passerelle d’authentification n’est pas sans présenter des problèmes de sécurité. Il est susceptible de devenir un point de défaillance unique en cas de perte ou de dommage, ou de se montrer vulnérable au piratage après l’authentification de l’utilisateur.

ReCRED a contourné ces problèmes en créant des couches de sécurité supplémentaires avec des possibilités de verrouillage et de récupération. Les chercheurs ont notamment tiré parti d’une entité appelée Identity consolidator (IDC) associée à des signatures d’utilisateur comportementales et physiologiques et à des protocoles secure-SIM pour vérifier l’identité de l’utilisateur. L’IDC permet la consolidation et la gestion des identités, tout en permettant une récupération efficace en cas de panne. «Dans le cas où un utilisateur perd son appareil, il peut récupérer l’accès aux services en fournissant une authentification à deux facteurs, comme des attributs personnels reconnus à partir de caractéristiques physiques ou de la biométrie comportementale», note Xenakis, le coordinateur du projet.

Supprimer la nécessité d’utiliser des mots de passe distincts rendra les services internet plus conviviaux tout en assurant leur sécurisation. Outre les utilisateurs finaux, les autres bénéficiaires de cette toute nouvelle plateforme ouverte seront les opérateurs de télécommunications, les sociétés d’hébergement en ligne et les fabricants d’appareils mobiles.

Mots-clés

ReCRED, authentification, compte, périphérique mobile, identité utilisateur, contrôle d’accès basé sur les attributs (ABAC), identifiants anonymes, données biométriques, authentification axée sur le périphérique, authentification à deux facteurs