L'avènement de la biométrie signe-t-il la fin des mots de passe ?
S'identifier par reconnaissance faciale et scannage des empreintes digitales n'est plus un concept futuriste réservé aux films de James Bond. En fait, la biométrie semble chaque jour gagner du terrain.
Trois questions brûlantes animent le débat sur l'authentification :
- Pourquoi utilisons-nous encore des mots de passe quand il existe tant d'autres options mieux sécurisées à la ronde ?
- La biométrie va-t-elle un jour devenir la norme de l'authentification ?
- Si l'on considère que les mots de passe vont perdurer encore un peu, comment faire pour qu'ils fonctionnent dans mon cas ?
Pour comprendre pourquoi nous utilisons encore des mots de passe, il suffit de regarder la nature humaine. Nous aimons ce que nous connaissons bien et résistons au changement.
Depuis les débuts de l'informatique en réseau, les utilisateurs ont dû s'identifier pour accéder aux systèmes et aux données, alors que le mot de passe est le mode d'authentification le plus simple à concevoir dans un système. Il suffit d'un répertoire et de quelques technologies simples pour mettre en place la sécurité. Par conséquent, la grande majorité des systèmes utilisent par défaut une authentification par mot de passe - et dans de nombreux cas, cette authentification par mot de passe est la seule option.
Pour ceux d'entre nous qui achetons et implémentons ces applications, les mots de passe ont toujours fait l'affaire... jusqu'à ce qu'ils ne suffisent plus. Les gens qui s'appuient sur ces systèmes ont l'habitude des mots de passe. Ils ont diverses astuces qui les aident à mémoriser leurs mots de passe (lesquelles, au passage, expliquent souvent pourquoi les mots de passe sont le maillon faible dans la chaîne de sécurité). En plus, les mots de passe ne coûtent pas cher et bien souvent, l'authentification à base de mot de passe est conçue dans les systèmes que l'on utilise. Implémenter une méthode d'authentification plus sûre ou plus pratique ne fera qu'ajouter des dépenses, des charges d'administration, voire l'insatisfaction des utilisateurs.
De plus, il faut tenir compte du fait que la plupart des entreprises s'appuient sur des systèmes plus anciens qui, par défaut, ont recours à l'authentification par mot de passe. Passer à des systèmes qui fonctionnent à la biométrie peut s'avérer onéreux ou nécessiter de longs cycles de déploiement et d'intégration et passe bien souvent pour une tentative d'arranger quelque chose qui fonctionne bien. Sans compter que lorsque divers systèmes hérités sont en place, ces défis sont démultipliés.
Aussi, pourquoi utilisons-nous des mots de passe ? Selon moi, c'est simplement parce qu'ils suffisent. Tant qu'il n'y a pas d'évènement contraignant, de percée technologique ou d'obligation réglementaire qui change la donne, les mots de passe continueront de régner.
La biométrie va-t-elle devenir la nouvelle norme ?
Je pense que oui, la biométrie va finir par devenir la nouvelle norme. Mais seulement une fois qu'assez de brèches de mots de passe auront frappé les entreprises avec suffisamment d'effet négatif pour les forcer à implémenter des formes plus fortes d'authentification.
Mais je soutiendrais également que l'authentification forte (une approche dans laquelle la biométrie joue un rôle de plus en plus clé) devient rapidement "une" norme, si ce n'est "la" norme. De plus en plus d'organisations répondent aujourd'hui au besoin de compléter le facteur unique et connu (le mot de passe) avec un deuxième facteur qui correspond à quelque chose que l'on a (par exemple une carte intelligente ou un jeton à usage unique) et, plus récemment, avec un autre facteur pouvant être ce que l'on est - soit la biométrie.
Dans la mesure où les facteurs de la catégorie "ce que l'on a" sont plus simples à implémenter et à intégrer dans les systèmes hérités, je m'attends à une croissance continue de l'authentification par mots de passe à usage unique (OTP) et par carte intelligente, pendant que la biométrie gagne lentement du terrain.
Ainsi, la bonne réponse à cette question est peut-être que l'authentification forte va rapidement devenir la norme et que la biométrie sera incorporée à une petite portion des cas d'usage... tout du moins dans un avenir prévisible.
Comment faire pour que les mots de passe fonctionnent dans mon cas ?
Les technologies d'authentification, qu'il s'agisse de mots de passe ou de biométrie, existent pour une seule raison : sécuriser l'accès aux systèmes et aux données. Alors que la mort du mot de passe est largement exagérée, il y a un besoin urgent de trouver comment mieux les utiliser. En d'autres termes, il faut trouver des moyens d'assurer que les mots de passe servent à leur finalité et aux processus de sécurité de votre entreprise. De récentes directives du NIST livrent des alternatives intéressantes aux règles strictes auxquelles il faut se conformer pour définir un mot de passe fort. Par exemple, utiliser une longue phrase plutôt qu'une version remaniée du nom de son animal familier. Toutefois, de nombreux systèmes hérités n'offrent tout simplement pas la souplesse pour implémenter ces règles de mot de passe complètement différentes. Mais il y a de l'espoir. Voici quelques suggestions :
- Ajouter une authentification forte. Il existe beaucoup d'options d'authentification à deux ou trois facteurs. Vérifier qu'elles correspondent à la culture de l’entreprise est le meilleur moyen d'assurer que les utilisateurs seront en mesure d'accéder sans problème à leur travail sans devoir en interrompre le flux.
- Réduire le nombre de mots de passe utilisés - mais les changer fréquemment. Le plus gros problème avec les mots de passe piratés tient à la facilité à laquelle ils ont été découverts. Ce peut être dû à de mauvaises pratiques, par exemple ne jamais les changer, ou résulter d'une ingénierie sociale pour les deviner. Cependant, un mot de passe unique, difficile à deviner, souvent modifié, qui s'applique partout est le remède idéal aux faiblesses classiques des mots de passe. L'identification unique et la consolidation des répertoires sont des technologies plutôt simples et courantes pour y parvenir.
- Tirer parti de toutes les options. Quand on implémente de nouveaux systèmes, il est important de vérifier qu'ils sont compatibles avec les nouvelles normes requises pour ajouter une authentification forte à l'ensemble et que les règles que l’on applique pour accéder à ces systèmes utilisent toutes les options à sa disposition.
Ainsi, la mort du mot de passe est sans doute largement exagérée pour le moment, l'authentification évolue et la biométrie va peu à peu devenir la nouvelle norme à l'avenir. Il est donc essentiel de se mettre à jour dés maintenant pour passer en douceur et en sécurité à un monde sans mot de passe qui va finir par arriver.