En 2004, lors d’une intervention à la RSA Conference, Bill Gates annonçait la disparition prochaine des mots de passe : « Il ne fait aucun doute qu’avec le temps, les gens se fieront de moins en moins aux mots de passe. Ils utilisent le même mot de passe sur différents sites, ils les écrivent sur un bout de papier et ils en créent qui ne sont absolument pas adaptés à ce qu’ils souhaitent sécuriser. »
Une étude publiée par NordPass en 2022 montre à quel point il semble difficile d’abandonner cette méthode d’authentification : « 123456 » ou « azerty » figuraient toujours dans le top 10 des mots de passe les plus utilisés en France, alors qu’ils peuvent être déchiffrés en une fraction de seconde.
Selon Microsoft, en 2022, les cybercriminels ont lancé en moyenne 79 millions d’attaques de mots de passe par jour, soit environ 920 par seconde, un chiffre qui a progressé de 74 % en seulement un an ! De plus, la réinitialisation des mots de passe reste l’une des raisons principales pour lesquelles les salariés font appel au support informatique, ce qui engendre une augmentation des coûts.
20 ans après, les déclarations de Bill Gates ne semblent toujours pas avoir trouvé un écho dans notre quotidien : est-ce vraiment le cas ? Que dire à propos de l’authentification sans mot de passe ? Eclairage sur une méthode qui pourrait acter la fin, définitive, du mot de passe tel qu’on le connaît.
En raison de l’importance grandissante accordée à la cybersécurité par les individus, l’authentification sans mot de passe (ou passwordless) en popularité en tant qu’alternative plus sûre et plus pratique que les mots de passe traditionnels. Et il semble que l’industrie soit d’accord. Les GAMAM ont annoncé en mai 2022 qu’ils prendraient en charge le standard de sécurité FIDO2, une norme d’authentification basée sur des clés publiques et privées, pour permettre l’authentification sans mot de passe sur l’ensemble des appareils.
Cette décision représente une avancée majeure dans la protection contre le phishing et le vol de mots de passe. Et il est facile de comprendre pourquoi.
Globalement, l’authentification sans mot de passe permet aux utilisateurs de se fier à d’autres information pour s’authentifier, telles que les données biométriques (empreintes digitales, reconnaissance faciale) ou des identifiants de profils existants sur les médias sociaux (Facebook, Google) au lieu du binôme historique nom d’utilisateur + mot de passe classique. Il est également possible de s’identifier à l’aide d’un code unique généré par une application dédiée comme Google Authenticator. De plus en plus plébiscitée par les consommateurs, elle permet d’accéder à ses comptes en ligne en toute sécurité, que ce soit pour les services bancaires, les sites d’e-commerce, ou même les applications professionnelles.
D’autres solutions sont également disponibles pour remplacer les mots de passe : L’authentification par infrastructure à clé publique (PKI) utilise des certificats numériques pour vérifier l’identité d’un utilisateur. Elle est très sécurisée, mais nécessite de mettre en œuvre d’importants développements. D’autres technologies, telles que les tokens de sécurité, utilisent un dispositif physique comme une clé USB pour authentifier l’utilisateur.
Bien entendu, l’authentification sans mot de passe n’est pas sans inconvénients. Tout d’abord, elle doit susciter l’adhésion de ceux qui ne sont pas tout à fait prêts à abandonner leurs comportements habituels.
Son adoption nécessite également de réaliser des investissements conséquents dans les infrastructures. Le retard observé dans l’adoption de solutions passwordless est principalement dû au fait que de nombreuses organisations utilisent encore des systèmes hérités qui sont incompatibles avec cette technologie.
Se pose également la question de l’interopérabilité avec tous les systèmes, plateformes ou appareils de son parc informatique. Ce problème ne se pose pas pour les entreprises qui ont déjà migré vers le cloud, elles adoptent plus facilement ces nouvelles méthodes car elles ne sont pas ralenties par la gestion de systèmes hérités.
Pour les entreprises qui ont déjà entamé la refonte de leurs systèmes, le cloud joue un rôle central dans l’authentification sans mot de passe. Les plateformes basées dans le Cloud offrent un emplacement sécurisé, fiable et centralisé pour le stockage et la gestion des données sensibles, telles que les informations d’identification des utilisateurs. De plus, il est beaucoup plus facile de mettre à jour et d’adopter des technologies de sécurité émergentes si elles sont basées dans le Cloud, car il n’est pas nécessaire de remplacer l’infrastructure existante.
Bien menée, cette approche permet non seulement de garantir que les données restent sécurisées et protégées contre les accès non autorisés, mais aussi de créer une expérience utilisateur plus positive, et avec moins de frictions, en particulier chez les personnes qui hésitent à adopter la biométrie ou qui sont réticentes à l’idée d’un changement.
Malgré cela, de nombreuses organisations n’ont pas encore fait cet investissement. Ce qui peut expliquer pourquoi elles continuent d’utiliser des logiciels de gestion de mots de passe. Cela dit, même cette technologie n’est pas exempte d’écueils. En 2022, le gestionnaire de mots de passe LastPass a été victime d’une faille de sécurité, mettant potentiellement en péril la sécurité des données personnelles de ses clients. De tels incidents soulignent la nécessité d’évaluer régulièrement son exposition aux cybermenaces et de maintenir une cyber-hygiène appropriée.
Toutefois, une question subsiste : la fin des mots de passe aura-t-elle vraiment lieu ? Si des progrès considérables ont été réalisés en la matière, il existe encore une multitude de technologies qui utilisent d’anciens systèmes d’authentification et qui n’ont pas adopté l’authentification MFA.
En termes de sécurité, de commodité et d’expérience utilisateur, le modèle associant nom d’utilisateur + mot de passe n’arrivent pas à la cheville des solutions passwordless. Avec l’essor des appareils mobiles et du cloud, les systèmes d’authentification multi facteurs fournissent un niveau de sécurité élevé sans que les utilisateurs aient à mémoriser, ou pire, à écrire sur un post-it, un énième mot de passe.
Seul l’avenir pourra nous dire si les mots de passe seront toujours utilisés dans 20 ans, mais ce qui est sûr, c’est que la surface d’attaque globale d’une entreprise ne fait qu’augmenter. Outre l’authentification, une approche de sécurité multicouche incluant notamment la protection des endpoints et des réseaux permet également de se prémunir de manière proactive et défensive contre les menaces toujours plus nombreuses.