Développé par cinq chercheurs de la Duke University, Screenpass améliore les contrôles de sécurité des téléphones intelligents en ajoutant un tag aux mots de passe des applications et en surveillant les flux de données émis et reçus.

Screenpass s'appuie sur des tags pour renforcer la sécurité des smartphones

Les utilisateurs de smartphone ne possèdent généralement aucune assurance quant à la sécurité de leur login et de leur mot de passe sur les applications dont ils se servent. C'est à partir de ce constat qu'une équipe de chercheurs de la Duke University sous l'égide du scientifique Landon P. Cox a développé un programme capable de sécuriser les mots de passe et de prévenir les attaques d'usurpation d'identité. Ce prototype, dénommé Screenpass, conçu et testé auprès de téléphones intelligents, augmente la sécurité des claviers tactiles en ajoutant un tag sur le mot de passe. Cela lui permet ensuite de suivre à la trace le flux de données, et de savoir si les données sont stockées par l'application, où sont-elles envoyées ou encore si une attaque visant à l'usurpation de données est en cours.

Une application qui suit les informations

Ce service ne se met pas automatiquement à jour sur tous les mots de passe d'un utilisateur. Lorsque celui-ci tente de se connecter à un service, i.e une application, c'est à la personne de spécifier l'ajout d'un « tag », en ajoutant par exemple un arobase devant le mot de passe, afin que le logiciel de la Duke University puisse en assurer le suivi. Un modèle de reconnaissance optique des caractères est ensuite utilisé afin de s'assurer du bon déroulement du processus : si une anomalie est détectée dans l'écriture du mot de passe par exemple, le logiciel peut par exemple en avertir l'utilisateur ou encore décider d'arrêter le processus en cours si les variables détectent une attaque. Si une application tente d'envoyer des informations vers un réseau, le logiciel vérifiera la sécurité de l'envoi par plusieurs procédés. Il peut s'agir de s'assurer que l'I.P soit bien associée au bon nom de domaine ou encore si le port de destination est associé avec un trafic de données non cryptées. Dans un cas comme dans l'autre, si Screenpass détecte une anomalie, le programme se charge de bloquer les processus en cours.

Confort d'usage et sécurité informatique

Insérer soi-même ses tags dans ses mots de passe peut paraître l'une des contraintes majeures alors que le numérique est contrôlé par une automatisation des procédés. Pourtant, l'étude menée auprès d'un panel de testeurs montre une bonne adaptation des personnes à ce modèle. Sur un nombre moyen de login différents par utilisateurs, ils ont adjoint 83% du temps un tag à leur mot de passe sur les dix premiers jours de l'étude, et 86% du temps lors de la seconde période de l'étude. Screenpass a aussi démontré ses aptitudes lorsque les chercheurs l'ont confronté à un panel de 28 applications toutes téléchargées au moins 100.000 fois. Screenpass a pu détecter que quatre d'entre elles tentaient d'envoyer des informations vers un serveur tiers, quatre cherchaient à envoyer les mots de passe en clair à travers un réseau et, enfin, quatre qui archivaient le mot de passe en clair sous la forme d'un fichier .xml dans le téléphone.   

Rédigé par Guillaume Parodi
Rédacteur