Conseil de recherches en sciences naturelles et en génie du Canada
Symbol of the Government of Canada

Liens de la barre de menu commune

Mot de passe en image

Combattre la fraude en ligne

Le vol d'identité, les canulars d'hameçonnage qui trompent les gens en reproduisant des sites Web et le vol de cartes de crédit ou de comptes bancaires : les possibilités de fraude qui accompagnent les transactions électroniques sont aussi illimitées que les progrès de la cybertechnologie!

De plus en plus, les banques, les marchands et même les institutions gouvernementales encouragent les consommateurs à faire leurs transactions en ligne. La plupart promettent des sites Web sûrs, protégés par mot de passe et cryptés.

Malgré tout, les Canadiens perdent des millions de dollars chaque année – des montants qui sont rarement retrouvés et diffusés –, parce qu'ils ont été dupés par de faux sites Web ou victimes de virus informatiques qui peuvent lire les frappes qu'ils enfoncent sur le clavier et découvrir leurs mots de passe.

Pour contribuer à lutter contre la fraude numérique, Paul Van Oorschot, qui est un professeur de la Carleton University et un chercheur appuyé par le CRSNG, est en train de créer des « mécanismes de sécurité utilisables », c'est-­à-­dire des moyens d'assurer la sécurité qui sont sûrs et faciles à utiliser.

Quand les ordinateurs sont apparus, les gens qui utilisaient les logiciels de sécurité étaient des experts, parce qu'ils avaient reçu une formation qui mettait l'accent sur la nécessité de prendre des précautions pour protéger leurs données.

Aujourd'hui, tout le monde utilise les ordinateurs et peu de personnes ont reçu une formation officielle, ce qui crée, selon M. Van Oorschot, une situation de « mauvaise hygiène informatique ». De plus, le chercheur estime que les fonctions de sécurité de la plupart des logiciels ne se sont pas beaucoup améliorées. C'est dans ce créneau que ses travaux s'inscrivent.

« Le principe des mécanismes de sécurité utilisables est que nous devrions créer des produits, en particulier des logiciels, qui sont intrinsèquement plus sûrs et que les gens peuvent utiliser sans avoir reçu une formation de pointe », déclare M. Van Oorschot, qui est également le titulaire de la Chaire de recherche du Canada en authentification et en sécurité informatique.

Les gens ont de la difficulté à se souvenir des multiples mots de passe dont ils ont besoin pour accéder à la gamme des sites Web où ils font des transactions. Ils prennent donc des raccourcis et utilisent partout le même mot de passe. Mais cela peut être une erreur coûteuse si un expert de la fraude tombe sur un mot de passe qui est aussi celui qui donne accès au compte bancaire de la personne.

Pour offrir une solution de remplacement plus sûre, M. Van Oorschot et ses étudiants explorent la possibilité de créer des mots de passe à l'aide d'images.

Si les gens utilisent des images comme indices visuels, ils pourront plus facilement mémoriser leurs mots de passe et seront plus enclins à choisir un mot de passe différent pour chaque site Web. Ainsi, le mot de passe d'un site pourrait consister en cinq points d'une image choisis par l'utilisateur. Une autre image serait utilisée pour un autre site.

« Nous voulons que les mots de passe formés de lettres soient aussi sûrs en étant basés sur un indice qui sera utile à l'utilisateur, mais non aux pirates, poursuit M. Van Oorschot. L'objectif est d'accroître la sécurité en ligne sans imposer aux utilisateurs ordinaires un fardeau indu. »

M. Van Oorschot s'intéresse aux mécanismes de sécurité utilisables en général et à la sécurité des téléphones intelligents en particulier. De concert avec l'ancien étudiant au doctorat Glenn Wurster, il a proposé d'utiliser des signatures numériques dans le système d'exploitation du téléphone, afin que les mises à jour de logiciel proviennent de la même source que l'application logicielle originale installée par l'utilisateur. Les gens éviteraient ainsi d'installer des applications indésirables provenant de sites Web douteux.

M. Van Oorschot précise que Google a déjà adopté cette technologie dans les téléphones intelligents munis de son système d'exploitation Android. Mais il préfère que ses travaux de recherche financés par des fonds publics aboutissent à la création de produits qui pourront être utilisés par tout le monde, par exemple, par l'entremise des logiciels libres.

M. Van Oorschot s'est intéressé à la cryptologie et à la sécurité dans le cadre de ses travaux de recherche d'études supérieures. Il aime s'attaquer aux problèmes réels qui nuisent à nos transactions virtuelles.

« Je trouve qu'il est beaucoup plus gratifiant de s'attaquer à des problèmes du monde réel plutôt que d'essayer de résoudre des casse-tête intellectuels, car, au bout du compte, la clé de ces mystères n'est utile à personne! », conclut M. Van Oorschot.