Sécurité : Une validation à 2 étapes qui se base sur l'ambiance sonore


  • FrançaisFrançais



  • Des chercheurs proposent une méthode de validation en deux étapes en se basant sur l’ambiance sonore.

    4 chercheurs de l’Institute of Information Security ETH travaillent sur une validation en deux étapes qui se base sur l’ambiance sonore. Nikolaos Karapanos, Claudio Marforio, Claudio Soriente et Srdjan Capkun ont publié leurs propositions sur la plateforme Arvix et ils ont présenté leurs travaux pendant la conférence Usenix à Washington.

    Pour ces chercheurs, la validation à 2 étapes est un bon moyen de protéger ses comptes en ligne. Pour rappel, la validation en deux étapes implique qu’on associe son compte à un numéro de téléphone. Ensuite, quand on accède au compte en ligne depuis un nouvel appareil, alors le service envoie un code par SMS ou par appel sur le téléphone associé. Cette méthode empêche les pirates d’accéder au compte s’ils ont volé votre mot de passe. La validation en deux étapes est proposée par la plupart des géants du web tels que Google, Facebook ou Twitter, mais il y a encore très peu de gens qui l’utilisent. La principale raison est que la validation en deux étapes est embêtante pour l’utilisateur. À chaque fois qu’il utilise un nouvel appareil, la validation en deux étapes se déclenche et il doit s’authentifier en suivant des étapes précises. Par exemple, on doit avoir le téléphone à proximité, on doit le déverrouiller, trouver le code qui a été envoyé. En bref, les utilisateurs doivent s’encombrer de plusieurs étapes et ils préfèrent donc utiliser la méthode par mot de passe.

    Les auteurs de cette méthode proposent une autre approche qu’ils ont appelée Sound-Proof. Ils ont déclaré que c’est une validation en deux étapes qui est transparente pour l’utilisateur et on peut l’utiliser avec les téléphones actuels et un navigateur sans aucune extension. Le processus du Sound-Proof est le suivant : La validation avec la seconde étape se base sur la proximité entre le téléphone et le PC de l’utilisateur. Et le Sound-Proof fonctionne aussi si le téléphone est dans la poche ou le sac de l’utilisateur et cela fonctionne également à l’extérieur comme à l’intérieur.

    Quand l’utilisateur se connecte au service, les 2 appareils (le téléphone et le PC) enregistrent l’ambiance sonore via leurs microphones respectifs. Le téléphone compare les 2 enregistrements et il détermine si le PC est situé dans le même environnement. Ensuite, il décide si la connexion est légitime ou frauduleuse. Les chercheurs ont créé un prototype de Sound-Proof pour Android et iOS. Leurs tests montrent que la validation en deux étapes par l’ambiance sonore rajoute 5 secondes supplémentaires au processus comparé à celui d’utiliser simplement un mot de passe. Mais ce délai est considérablement plus court que celui de la validation en deux étapes avec le SMS ou l’appel qui prend près de 25 secondes. Les chercheurs ont également mené sur une étude sur les préférences des utilisateurs et la plupart ont déclaré qu’ils étaient plus à l’aise avec la validation en deux étapes basées sur l’ambiance sonore que celle de Google.

    Le diagramme qui calcule la similarité des 2 sons sur le téléphone et le PC via le Sound-Proof.

    Le diagramme qui calcule la similarité des 2 sons sur le téléphone et le PC via le Sound-Proof.

    Les chercheurs expliquent que la sécurité de Sound-Proof réside dans le fait qu’un pirate ne peut pas deviner l’ambiance sonore de l’utilisateur parce que le processus ne nécessite que quelques secondes et qu’une ambiance sonore est très aléatoire par nature. Une ambiance sonore est aussi unique qu’une empreinte, mais c’est uniquement valable si l’utilisateur se trouve chez lui. Le problème est qu’il est possible de créer des ambiances sonores similaires. Par exemple, cette validation en deux étapes sur l’ambiance sonore ne fonctionnerait pas si on est dans un cybercafé puisque le pirate aurait la même ambiance sonore. De même, une autre faille est que le pirate écoute la même émission de radio ou de TV que l’utilisateur, mais les chercheurs estiment que ce type d’attaque est moins fréquent et que la validation en deux étapes sur l’ambiance sonore est largement meilleure que de n’utiliser aucun type de validation.

     

    N'oubliez pas de voter pour cet article !
    1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
    Loading...

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

    Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.