Les smartphones stockent votre email, vos photos et votre calendrier. Ils donnent accès à des sites de médias sociaux en ligne comme Facebook et Twitter, et même vos comptes bancaires et de carte de crédit. Et ce sont les clés de quelque chose d'encore plus privé et précieux :votre identité numérique.

Par leur rôle dans les systèmes d'authentification à deux facteurs, la méthode de protection de l'identité numérique sécurisée la plus couramment utilisée, les smartphones sont devenus essentiels pour identifier les personnes en ligne et hors ligne. Si les données et les applications sur les smartphones ne sont pas sécurisées, c'est une menace pour l'identité des gens, permettre potentiellement à des intrus de se faire passer pour leurs cibles sur les réseaux sociaux, e-mail, communications sur le lieu de travail et autres comptes en ligne.

Pas plus tard qu'en 2012, le FBI a recommandé au public de protéger les données de leurs smartphones en les cryptant. Plus récemment, bien que, l'agence a demandé aux fabricants de téléphones de fournir un moyen d'accéder aux appareils cryptés, ce que la police appelle « accès exceptionnel ». Jusqu'à présent, le débat s'est concentré sur la confidentialité des données, mais cela laisse de côté un aspect essentiel du cryptage des smartphones :sa capacité à sécuriser les identités personnelles en ligne des personnes.

Comme je l'ai écrit dans mon dernier livre, "À l'écoute :la cybersécurité à l'ère de l'insécurité, " faire ce que veut le FBI - rendre les téléphones plus faciles à déverrouiller - diminue nécessairement la sécurité des utilisateurs. Une récente National Academies of Sciences, Études d'ingénierie et de médecine, auquel j'ai participé, avertit également que rendre les téléphones plus faciles à déverrouiller affaiblit potentiellement cet élément clé de la sécurisation des identités en ligne des personnes.

Rassembler des preuves ou affaiblir la sécurité ?

Dans les années récentes, la police a demandé l'accès aux smartphones des suspects dans le cadre d'enquêtes criminelles, et les entreprises technologiques ont résisté. La plus importante de ces situations est survenue à la suite de la fusillade de masse de San Bernardino en 2015. Avant que les assaillants eux-mêmes ne soient tués dans une fusillade, ils ont pu détruire leurs ordinateurs et téléphones - sauf un, un iPhone verrouillé. Le FBI voulait que le téléphone soit déchiffré, mais craignait que les tentatives infructueuses de craquer les mécanismes de sécurité d'Apple puissent entraîner la suppression de toutes ses données par le téléphone.

L'agence a poursuivi Apple en justice, cherchant à forcer l'entreprise à écrire un logiciel spécial pour éviter les protections intégrées du téléphone. Apple a résisté, arguant que l'effort du FBI était un dépassement du gouvernement, en cas de succès, réduirait la sécurité de tous les utilisateurs d'iPhone - et, par extension, celui de tous les utilisateurs de smartphones.

Le conflit a été résolu lorsque le FBI a payé une entreprise de cybersécurité pour s'introduire dans le téléphone – et n'a rien trouvé de pertinent pour l'enquête. Mais le bureau est resté déterminé à ce que les enquêteurs aient ce qu'ils ont appelé « un accès exceptionnel, » et ce que d'autres ont appelé une « porte dérobée » :un logiciel intégré permettant à la police de décrypter les téléphones verrouillés.

L'importance de l'authentification à deux facteurs

La situation n'est pas aussi simple que le FBI le suggère. Les téléphones sécurisés constituent des obstacles aux enquêtes policières, mais ils sont aussi une excellente composante d'une cybersécurité forte. Et compte tenu de la fréquence des cyberattaques et de la diversité de leurs cibles, c'est extrêmement important.

En juillet 2015, Des responsables américains ont annoncé que des cybervoleurs avaient volé les numéros de sécurité sociale, informations de santé et financières et autres données privées de 21,5 millions de personnes qui avaient demandé des autorisations de sécurité fédérales auprès de l'Office of Personnel Management des États-Unis. En décembre 2015, une cyberattaque contre trois compagnies d'électricité en Ukraine a laissé un quart de million de personnes sans électricité pendant six heures. En mars 2016, d'innombrables e-mails ont été volés sur le compte Gmail personnel de John Podesta, président de la campagne présidentielle d'Hillary Clinton.

Dans chacun de ces cas, et bien d'autres dans le monde depuis, une mauvaise pratique de sécurité - la sécurisation des comptes uniquement par des mots de passe - laisse les méchants causer de graves dommages. Lorsque les identifiants de connexion sont faciles à déchiffrer, les intrus pénètrent rapidement et peuvent passer inaperçus pendant des mois.

La technologie pour sécuriser les comptes en ligne se trouve dans les poches des gens. L'utilisation d'un smartphone pour exécuter un logiciel appelé authentification à deux facteurs (ou deuxième facteur) rend la connexion aux comptes en ligne beaucoup plus difficile pour les malfaiteurs. Le logiciel du smartphone génère une information supplémentaire qu'un utilisateur doit fournir, au-delà d'un nom d'utilisateur et d'un mot de passe, avant d'être autorisé à se connecter.

Maintenant, de nombreux propriétaires de smartphones utilisent les SMS comme deuxième facteur, mais ce n'est pas suffisant. Le National Institute of Standards and Technology des États-Unis avertit que les SMS sont beaucoup moins sécurisés que les applications d'authentification :les attaquants peuvent intercepter des SMS ou même convaincre une entreprise de téléphonie mobile de transférer le message SMS vers un autre téléphone. (C'est arrivé aux militants russes, DeRay Mckesson, militant de Black Lives Matter, et d'autres.)

Une version plus sûre est une application spécialisée, comme Google Authenticator ou Authy, qui génère ce qu'on appelle des mots de passe à usage unique basés sur le temps. Lorsqu'un utilisateur souhaite se connecter à un service, elle fournit un nom d'utilisateur et un mot de passe, puis obtient une invite pour le code de l'application. L'ouverture de l'application révèle un code à six chiffres qui change toutes les 30 secondes. Ce n'est qu'en tapant cela que l'utilisateur est réellement connecté. Une startup du Michigan appelée Duo rend cela encore plus facile :après qu'un utilisateur ait saisi un nom d'utilisateur et un mot de passe, le système envoie un ping à l'application Duo sur son téléphone, lui permettant de toucher l'écran pour confirmer la connexion.

Cependant, ces applications sont aussi sécurisées que le téléphone lui-même. Si un smartphone a une sécurité faible, quelqu'un qui en a la possession peut accéder aux comptes numériques d'une personne, même verrouiller le propriétaire. En effet, peu de temps après le lancement de l'iPhone en 2007, les pirates ont développé des techniques pour pirater les téléphones perdus et volés. Apple a répondu en créant une meilleure sécurité pour les données de ses téléphones; il s'agit du même ensemble de protections que les forces de l'ordre cherchent maintenant à annuler.

Éviter la catastrophe

L'utilisation d'un téléphone comme deuxième facteur d'authentification est pratique :la plupart des gens portent leur téléphone tout le temps, et les applications sont faciles à utiliser. Et c'est sécurisé :les utilisateurs remarquent si leur téléphone est manquant, ce qu'ils ne font pas si un mot de passe est levé. Les téléphones en tant qu'authentificateurs de deuxième facteur offrent une sécurité accrue au-delà des noms d'utilisateur et des mots de passe.

Si le Bureau de la gestion du personnel avait utilisé l'authentification à deuxième facteur, ces dossiers du personnel n'auraient pas été si faciles à soulever. Si les compagnies d'électricité ukrainiennes avaient utilisé l'authentification à deuxième facteur pour accéder aux réseaux internes contrôlant la distribution d'électricité, les pirates auraient eu beaucoup plus de mal à perturber le réseau électrique lui-même. Et si John Podesta avait utilisé l'authentification à deuxième facteur, Les pirates russes n'auraient pas pu accéder à son compte Gmail, même avec son mot de passe.

Le FBI se contredit sur cette question importante. L'agence a suggéré au public d'utiliser l'authentification à deux facteurs et l'exige lorsque les policiers souhaitent se connecter aux systèmes de base de données de la justice pénale fédérale à partir d'un emplacement non sécurisé tel qu'un café ou même une voiture de police. Mais ensuite, le bureau veut rendre les smartphones plus faciles à déverrouiller, affaiblissant les protections de son propre système.

Oui, les téléphones difficiles à déverrouiller entravent les enquêtes. Mais cela manque une histoire plus large. La criminalité en ligne est en forte augmentation, et les attaques sont de plus en plus sophistiquées. Rendre les téléphones faciles à déverrouiller pour les enquêteurs compromettra le meilleur moyen pour les gens ordinaires de sécuriser leurs comptes en ligne. C'est une erreur pour le FBI de poursuivre cette politique.

Cet article a été initialement publié sur The Conversation. Lire l'article original.