Authentification par mot de passe : le status quo n'est plus une option

C’est le principal enseignement de notre étude : moins de 10 % des professionnels interrogés ne voient aucune motivation à abandonner la méthode traditionnelle d’authentification basée sur les mots de passe. Si l’adage « la motivation précède l’action » est vrai, ce sondage démontre clairement que les entreprises et fournisseurs de services prennent au sérieux les problématiques soulevées par l’authentification de leurs utilisateurs et mèneront –tôt ou tard- les actions nécessaires pour s’affranchir du mécanisme d’authentification par mot de passe.

Pour la plupart des répondants, l’abandon du mot de passe présente une opportunité pour renforcer le niveau de sécurité (67 %), améliorer la satisfaction des utilisateurs (53 %), et réduire le risque de stocker ces données sensibles sur leurs propres infrastructures (32%), notamment en cas d’attaque.

Étonnamment, seulement 8% des répondants remplaceraient le mot de passe par le « social login » (authentification via les réseaux sociaux comme Google, Facebook, Twitter, etc.) dans le but de collecter de nouvelles informations sur leurs utilisateurs ; un signe tangible de l’importance croissante accordée à la confidentialité et au respect de la vie privée.

Une autre surprise : alors que le quidam ne connaît guère les moyens d’authentification autres que Facebook Connect et les codes SMS, une grande majorité des professionnels IT sont au fait des alternatives existantes au mot de passe. 83 % du panel déclare connaître l’authentification multi-facteurs, le Social Login (65 %), et la fédération d’identité et le Single Sign-On (52 %).

Ces chiffres –qui contrastent fortement avec la réalité des implémentations réelles que nous pouvons constater sur le terrain– soulèvent quelques interrogations. Pourquoi le mot de passe est-il toujours aussi prévalent, en dépit des problèmes qu’il engendre et alors que les solutions alternatives sont globalement bien identifiées ?

Une partie de la réponse à cette question réside très certainement dans l’analyse des bénéfices promis (et peut-être pas encore délivrés) de ces alternatives. Sans surprise, les deux motivations principales (sécurité et satisfaction utilisateurs) pour remplacer une authentification classique par mot de passe sont également les deux premiers critères d’évaluation des solutions.

En effet, le niveau de sécurité offert et le confort d’utilisation sont perçus comme « très importants », respectivement dans 92 % et 72 % des cas. Plus que le coût global de la solution (50 %), c’est la pertinence des investissements et l’interopérabilité (65 %) qui sont vues comme étant des critères essentiels de choix.

Enfin, les entreprises semblent accepter le fait qu’une amélioration de l’authentification ait un impact sur les systèmes et processus de support clients déjà en place. En effet, ces deux critères sont jugés très importants pour seulement 50 et 40 % des réponses.

Lorsqu’on interroge les entreprises sur la pertinence de méthodes alternatives d’authentification en regard de leur activité, on identifie assez aisément ce que pourra être, à court terme, l’évolution des solutions proposées et adoptées par le marché.

Les méthodes d’authentification préférées (indiquées comme couvrant parfaitement les besoins métiers) sont les authentifications « In-App » (nativement incluse dans l’application client), et celles intégrées de manière transparente au navigateur (généralement sous forme d’extension), respectivement pour 43 et 33 % des entreprises. Là encore, l’expérience et le confort de l’utilisateur au moment de l’authentification sont des enjeux majeurs. Viennent ensuite les tokens matériels (31 %), l’authentification biométrique (28 %) et les tokens logiciels (26 %).

Enfin, perçus comme étant pertinents pour seulement 10 % des entreprises sondées, les codes d’authentification à usage unique envoyés par SMS semblent être déjà devenus obsolètes après seulement quelques années d’existences.

A l’inverse, l’étude des méthodes les moins adaptées révèle que les authentifications

« In-Ap » ou intégrées au navigateur ne répondent pas aux besoins pour seulement 5 et 9% des cas, suivi des tokens logiciels (11 %). Ceci confirme la désaffection des autres méthodes, qui enregistrent toutes un taux de rejet supérieur à 20 % : les SMS et les tokens matériels ne correspondent absolument pas aux besoins pour 25 % des professionnels, alors que 23 % du panel considère la biométrie comme inadéquate.

A la fois privilégiées et en passe d’être les plus adoptées par l’industrie, les méthodes d’authentification fluides et transparentes (authentification multi-facteurs In-App et intégrées au navigateur) sont donc les candidats pressentis pour remplacer au mieux nos chers mots de passe. Un constat en parfait alignement avec la vision et l’offre proposée par les acteurs français de la sécurité informatique, à l'instar de inWebo, membre co-fondateur de HexaTrust.