Des chercheurs veulent créer des mots de passe qui résistent à la torture

Crédits : pixelcreatures / Pixabay

Votre état d’esprit peut révéler si on vous force à dévoiler votre mot de passe. Des chercheurs proposent donc une méthode pour un système d’authentification qui peut résister à la coercition. La méthode possède de nombreux inconvénients, mais elle pointe vers des pistes intéressantes.

La protection de l’information est devenue une tâche importante dans notre société. On est habitué à mémoriser des mots de passe et des codes PIN de plus en plus complexes. Il existe également des indicateurs biométriques avec les empreintes digitales ou la rétine. Mais ces systèmes ne sont plus efficaces si on torture une personne pour la forcer à révéler son mot de passe ou à mettre son doigt sur un scanner d’empreinte. Max Wolotsky du Cal Poly Poly et ses collègues proposent une solution qui empêche l’authentification si la personne est torturée ou forcée.

Le système est simple en apparence. L’idée de Wolotsky est d’utiliser les niveaux de stress corporel pour déterminer si la personne est forcée. Et ils l’ont fait en mesurant la réponse d’un individu à l’écoute d’une musique agréable qui provoque la relaxation. La musique agréable (Chill Music) provoque un frisson dans la colonne vertébrale et c’est une sensation similaire à celle d’un coup de froid. Ce sont ces effets physiologiques sur la colonne vertébrale qui sont mesurés par Wolotsky et ses collègues pour analyser le rythme cardiaque et les motifs des ondes cérébrales.

Leur hypothèse est que ces signaux sont impossibles à simuler et on peut les mesurer uniquement si le sujet est relaxé. N’importe quel niveau de stress provoque une différence dans le signal. Pour le tester, l’équipe a demandé à 5 sujets de choisir leur musique agréable préférée et ils ont mesuré leur rythme cardiaque et leurs ondes cérébrales pendant l’écoute.

Plus précisément, l’équipe s’est concentrée sur les moments où la musique provoque l’effet Chill en supposant que cela se produit
au même point pendant la chanson. Cette section, qui dure moins d’une minute, devient la clé du processus d’authentification. L’idée est que si le sujet est relaxé, alors il ou elle peut vivre l’effet Chill dans le futur et reproduire les signaux psychologiques associés. L’équipe a effectué un certain nombre de tests et les sujets ont réussi à 90 %.

Il y a des inconvénients bien entendu. L’équipe n’a pas pu tester la réponse de sujets sous un niveau de stress extrême, car cela implique de les torturer. Cela peut provoquer des dommages physiques ou psychologiques permanents chez les sujets. Et c’est un vrai problème. Comment s’assurer de la pertinence d’un tel système si on ne peut pas le tester dans des conditions réelles ? Il y a aussi d’autres problèmes à résoudre. L’un des auteurs travaille aux Sandia National Laboratories qui gèrent les stocks nucléaires. Ce type d’authentification est utile pour la personne qui détient les codes de lancement de missiles nucléaires. Et pendant le processus, il est évident que la personne va être stressée, cela peut invalider son authentification même si elle n’est pas torturée.

mot-de-passe-torture-2-2-257x1024

Imaginons qu’un pays décide de lancer ses missiles nucléaires sur Paris et que la France décide de riposter (oui, c’est un scénario extrême). La personne chargée du lancement devrait alors écouter la chanson « À la claire fontaine » (celle qu’elle aurait choisie) avant de déclencher l’apocalypse nucléaire… Cela semble difficilement envisageable. Donc, la méthode peut fonctionner, mais elle est très limitée. Cependant, ce type de travaux est nécessaire, car on doit pouvoir créer des mots de passe qui résistent à la torture dans notre société actuelle.

Source : arXiv, avec Houssenia Writing