Tout le monde le sait : la gestion des mots de passe est un calvaire. Beaucoup de produits et de projets proposent d’ores et déjà de simplifier cette corvée : les gestionnaires de mots de passe tels que LastPass, Dashlane ou KeePass ; les technologies biométriques telles que FIDO, Windows Hello ou Apple Touch ID; etc. A l’occasion du salon CES 2016, la startup américaine Everykey a présenté une approche nouvelle basée sur un accessoire connecté : un bracelet Bluetooth (ou alternativement un porte-clés).
L’engin se propose de déverrouiller n’importe quoi, à partir du moment où cela communique en Bluetooth 4.0 et que l’on peut implémenter une interface Everykey. A savoir : un smartphone, un ordinateur, un site web, mais aussi – pourquoi pas – une voiture, une porte, un système de paiement, une ampoule connectée, etc. Comparé aux gestionnaires de mots de passe classiques, le principal avantage d’Everykey est de proposer une solution pour l’univers des objets connectés, amené à devenir de plus en plus important dans notre vie quotidienne. La promotion du bracelet a été confiée au tonitruant John McAfee, fondateur de l’antivirus éponyme et désormais « Chief Evangelist » chez Everykey.
Mais comment fonctionne Everykey ? L’utilisateur installe une application sur l’objet qu’il souhaite déverrouiller. Ensuite, il faut procéder à un appairage, et c’est tout. Dès que le bracelet se trouve à moins de trois mètres, il envoie un signal Bluetooth 4.0 chiffré en AES-128bit vers l’objet. Celui-ci désactive alors la procédure d’authentification. L’utilisateur pourra dès lors se loguer sans avoir à rentrer de mot de passe. Aucun identifiant n’est, dans ce cas, stocké dans le bracelet ou dans un serveur Everykey.
Pour les sites web, c’est un peu différent. A l’instar des gestionnaires de mots de passe, Everykey va stocker les identifiants des sites web dans ses serveurs sous une forme chiffrée. L’utilisateur installe ensuite une extension de navigateur capable de rapatrier cette base de données. Celle-ci sera ensuite déchiffrée par le signal du bracelet. L’utilisateur n’a presque plus rien à faire : ses identifiants sont insérés automatiquement, il n’a plus qu’à valider.
Une clé universelle qui coûte 165 dollars
Pour contrer les éventuelles attaques par usurpation, les signaux Bluetooth contiennent des données générées de manière aléatoire que seule l’application associée peut valider. En cas de perte ou de vol, il est possible de neutraliser à distance le bracelet, pour éviter qu’il ne soit utilisé de manière mal intentionnée. Dans ce cas, la société Everykey va envoyer une notification vers les applications et les extensions de l’utilisateur en question, afin de bloquer le bracelet perdu (ce qui suppose donc que l’appareil potentiellement vulnérable soit connecté à Internet).
Everykey n’est pas encore disponible. Une campagne de financement collaboratif est en cours sur Indiegogo, où les bracelets sont proposés au tarif de 142 dollars. La prix public ultérieur est fixé à 165 dollars. A cela, il faudra éventuellement rajouter des frais mensuels pour le stockage de la base de données. La livraison est prévue pour mars 2016. Le bracelet est compatible d’emblée avec Mac OS X, Windows, Ubuntu, Android et iOS. Toutefois, pour le système mobile d’Apple, le déverrouillage ne fonctionnera que si l’appareil a été jailbreaké auparavant. Tous les principaux navigateurs sont, par ailleurs, compatibles : Chrome, Firefox, Safari, Edge.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.