La révolution de l'authentification sans mot de passe est vraiment en route
La connaissance, c'est le pouvoir. Sauf lorsqu'il s'agit d'accès et d'authentification.
En effet, les facteurs basés sur la connaissance, comme les mots de passe, rendent les organisations moins sûres et plus vulnérables. Voilà pourquoi beaucoup d’entre elles penchent vers un avenir sans mots de passe.
Les fuites de données se multiplient et avec elles des millions d’identifiants et mots de passe se retrouvent dans la nature... ou plutôt à vendre sur le darknet.
Pour se préserver de futures utilisations illicites de ces combinaisons précieuses, les entreprises réfléchissent à abandonner l'authentification basée sur les connaissances (mot de passe) au profit de facteurs fondés sur ce que possède l’utilisateur, ou sur son identité unique. Une approche judicieuse car en adoptant une approche d'authentification sans mot de passe, les organisations traitent la cause du problème en éliminant totalement les mots de passe de l’équation.
Mots de passe : quel est le problème ?
Selon le cabinet Deloitte, « un utilisateur moyen possède 22 comptes et réutilise ses mots de passe pour 16 d’entre eux. » Si un de ces 16 mots de passe est compromis, cela peut donner accès à 15 autres applications...
Avec un simple script de bourrage d’identifiants (« credential stuffing ») les criminels peuvent utiliser ces mots de passe sur plusieurs portails, exploitant ainsi des failles de sécurité en masse. C’est par exemple la technique utilisée par les pirates ayant récemment volé les informations de plus de 45 000 clients l’enseigne de surgelés française Picard.
La solution consiste à retirer cette capacité à la source, et c'est là que l'authentification sans mot de passe entre en jeu.
Voici les principales options pour faire oublier le mot de passe :
- L’authentification biométrique : les utilisateurs présentent leur empreinte digitale, voix, visage, ou un autre trait physique unique. Les comportements, difficiles à imiter pour l’IA, peuvent aussi être utilisés, comme la manière de taper ou de se déplacer. Les données biométriques peuvent être stockées localement sur le périphérique, limitant ainsi la surface d’attaque.
- L’authentification basée sur le matériel : les utilisateurs fournissent un objet qu’ils possèdent, par exemple une clé de sécurité ou un badge, qui prend en charge plusieurs protocoles de sécurité pour une meilleure évolutivité.
- Les codes à usage unique : Ils sont envoyés à un numéro de téléphone ou une adresse e-mail enregistrés. Les utilisateurs se connectent après avoir reçu le code ou un lien « magique » cliquable.
… Mais aussi l’infrastructure à clé publique (PKI) qui renforce davantage encore la sécurité en utilisant des certificats numériques et les jetons/tokens et l’authentification unique (communément appelée SSO pour Single-Sign On).
Les avantages de l'authentification sans mot de passe ?
Combinée avec l'authentification unique (SSO), l’authentification sans mot de passe permet aux utilisateurs de ne plus se soucier de leur sécurité en permanence. C’est là que le sans mot de passe prend tout son sens. En effet, aussi prudent que l’on soit avec un mot de passe, il faut constamment rester vigilant pour assurer sa sécurité. Un acteur malveillant, lui, n’a besoin que d’un seul moment d'inattention pour exploiter une faille.
Avec l'authentification sans mot de passe, cette opportunité n’existe pas, car il n’y a aucun mot de passe à voler. Cela crée une meilleure expérience utilisateur. Utiliser son empreinte digitale, son téléphone ou une clé matérielle est bien plus simple que de retenir un nom d'utilisateur et un mot de passe.
De plus, en intégrant des éléments biométriques, la sécurité peut reposer sur des caractéristiques physiques uniques. Cette facilité d’utilisation est cruciale pour introduire l'authentification sans mot de passe dans un environnement professionnel.
Comment mettre en œuvre l'authentification sans mot de passe ?
Les mots de passe sont la norme depuis très longtemps. Il est donc naturel d'anticiper une certaine résistance face à ce changement de comportement.
Cependant, l'authentification sans mot de passe est de plus en plus acceptée au niveau des utilisateurs, en partie grâce à la popularité croissante d'innovations telles qu'Apple ID et Microsoft Authenticator, ainsi qu'aux ordinateurs portables grand public, qui intègrent de plus en plus de lecteurs d'empreintes digitales et d'autres méthodes biométriques.
L'éducation autour du sans mot de passe encouragera également son adoption et réduira les préoccupations en matière de confidentialité, notamment en expliquant que les données biométriques sont stockées uniquement sur l'appareil de l'utilisateur et non dans la base de données de l'employeur.
Il est inévitable qu'il y ait des moments où des utilisateurs soient bloqués. Si un utilisateur ne peut pas réinitialiser son accès lui-même, l'organisation doit prévoir un plan de récupération solide. Il peut s'agir de trouver un juste équilibre entre diverses méthodes de récupération basées sur mot de passe, telles que les réinitialisations par email ou les OTP, pour que les utilisateurs restent motivés et autonomes.
Certaines applications héritées nécessitent toutefois de conserver les mots de passe, obligeant les entreprises à adopter une approche hybride dans leur transition vers le sans mot de passe. Le défi sera de gérer ces deux réalités dans un paysage de menaces en constante évolution.
Des nouvelles tendances et enjeux pour l'authentification sans mot de passe
L'émergence des échanges de cartes SIM permet aux attaquants de contourner l'authentification multifacteur (MFA) en interceptant les OTP pour obtenir un accès non autorisé. Le clonage vocal par IA représente également une menace pour l'authentification vocale.
Ces menaces soulignent le besoin d’une MFA avancée intégrant des éléments biométriques et des authentificateurs tiers, rendant les connexions sans mot de passe.
Les progrès comme Fast IDentity Online (FIDO2) et WebAuthn contribuent à atténuer ces risques et aident les organisations à rendre leurs réponses en matière de sécurité plus dynamiques et granulaires. Ces technologies vont au-delà des mots de passe et de l’authentification à deux facteurs en utilisant le chiffrement asymétrique pour générer une clé privée et une clé publique, en complément de l’infrastructure à clé publique (PKI). Ces protocoles sont ouverts et standardisés pour une adoption à grande échelle, soutenus par des entreprises internationales telles que Microsoft, Amazon, Apple, Visa et Google.
Vers un avenir sécurisé et accessible sans mot de passe !
L'authentification sans mot de passe est bénéfique pour les entreprises et les utilisateurs. La sécurité est renforcée et pérennisée. Les économies de coûts sont significatives (les problèmes de mots de passe coûtent aux entreprises environ 480 $ par an en productivité). L'authentification sans mot de passe aide à respecter les réglementations et à restreindre l'accès. Les clients et utilisateurs bénéficient d’une expérience rapide et pratique pour accéder aux ressources dont ils ont besoin.
Les mots de passe ont bien servi les entreprises, à une époque où les applications étaient moins nombreuses et les données moins précieuses. Cependant, la valeur – ainsi que le volume, la variété et la rapidité – des informations électroniques modernes ne cessent de croître, nécessitant une approche de sécurité « by design ». L'authentification sans mot de passe offre aux entreprises un moyen de rester en sécurité dans cette nouvelle réalité, apportant plus de protection avec moins de friction, et une meilleure expérience pour tous.