Le «One Time Password» est-il la signature électronique de demain ?
Nous avons tous connu ou entendu parler du débat sur la validité de la signature électronique. Cette technologie est-elle légalement valable ? Est-elle fiable ? Des questions qui ont fait couler beaucoup d’encre ces dernières années et qui, en définitive, n’ont pas fait consensus. La raison est simple. L’enjeu le plus important concernant la signature électronique est le suivant : comment pouvons-nous nous assurer de l’authentification de la personne qui effectue une signature électronique ? Est-on certain que c’est bien Monsieur Pierre Legrand qui est actuellement en train de valider un contrat en ligne ? N’est-ce pas un tiers malveillant qui utilise sa signature ?
Les exemples récents de pirates réduisant en miettes des systèmes de sécurité évolués nous permettent en effet de douter de la fiabilité de cette technologie. Le marché et Internet ne nous ont pas attendu pour faire son choix. Regardons les choses en face, qui utilise aujourd’hui un système de signature électronique dans son activité quotidienne ? Il n’y a guère que les impôts qui recourent à cette technologie. En d’autres termes, la signature électronique est morte avant même d’avoir vécu.
Les OTP, technologie en évolution
Bien souvent un problème lié à l’efficacité d’une technologie est résolu par l’apparition d’une nouvelle technologie. C’est exactement ce qui s’est déroulé avec les systèmes de « One Time Password ». Le principe de fonctionnement est très simple. Il repose sur l’interaction directe de l’utilisateur lors du processus de validation. Nous utilisons tous ces technologies sans nécessairement le savoir. L’exemple le plus parlant est celui d’achats effectués sur Internet. Lorsque Pierre Legrand commande un billet de train, il doit valider son achat en donnant au système de paiement un code obtenu via l’envoi d’un SMS sur son téléphone portable. Monsieur Legrand est authentifié via un objet qui lui appartient en propre : son Smartphone.
Le potentiel de ces systèmes que nous abrégeons OTP n’est plus à démontrer. Aujourd’hui, les principaux organismes bancaires nationaux se sont appropriés cette technologie. Ces banques proposent des plates-formes de paiement qui valident les achats via l’envoi de simples SMS. Demain, les établissements les plus avancés technologiquement recourront à des technologies hybrides. Ainsi, dans certains systèmes, vous ne recevrez même plus de SMS. C’est votre application qui effectuera un push directement sur votre téléphone portable. Une solution encore plus sécurisée et surtout beaucoup moins chère pour ces organismes bancaires. Car n’oublions pas que les SMS ont un coût et que les achats effectués sur Internet ne vont cesser de croître.
Ces systèmes d’authentification via l’envoi de push SMS ou de notification ont pu voir le jour et s’imposer auprès du grand public car les parcs de téléphones portables embarquant des applications se sont multipliés à vitesse grand V.
Des OTP à multiples usages
Il convient désormais de se demander quel sera l’avenir de l’OTP. Se cantonnera-t-il au seul paiement en ligne ? N’a-t-il pas un potentiel pour devenir un outil ayant une utilisation plus large ? Nous répondons oui et ceci sans aucun doute. Il est même à parier que ce système d’authentification risque de devenir un incontournable, un basique, des prochaines années. Récemment, certains assureurs nationaux se sont appropriés cette technologie afin de valider la prise de contrats en ligne. L’OTP devient dès lors un outil permettant de valider une démarche administrative. Prises de RDV chez un médecin, réservations de restaurants sur Internet … les exemples possibles de l’utilisation de l’OTP ne manquent pas.
Le point qui marquera un tournant dans l’utilisation de cette technologie tient aux mots de passe. Nous avons aujourd’hui un nombre de plus en plus important de Passwords qui donnent accès à des données souvent confidentielles. Pour les pirates du monde entier ces mots de passe ont une valeur et les attaques concernant ces données ne cessent d’augmenter.
Prenons l’exemple des réseaux sociaux. Ces derniers sont particulièrement concernés par ces attaques du fait qu’ils prennent une place de plus en plus importante auprès du public et des entreprises. L’épisode récent du piratage des comptes Facebook et Twitter de TV5 Monde est à ce titre parlant. Les canaux de communication de cette chaîne de télévision ont été hackés en toute simplicité et à la vue de tous. En aurait-il été de même si l’accès à ces comptes avait été lié à une technologie OTP ?
Nous ne pouvons que constater le succès grandissant de l’OTP. La signature électronique en fit les frais ces dernières années. D’ici peu, nous estimons que l’ensemble des systèmes de mots de passe sera géré par cette technologie de push. Un avenir prometteur en quelque sorte.
http://www.jdt.fr/tribunes/item/97-le-one-time-password-est-il-la-signature-electronique-de-demain