Le mot de passe n’est pas mort : pourquoi faut-il arrêter de rêver de biométrie ?

On prédit la mort du mot de passe pratiquement depuis que celui-ci existe. Bill Gates prophétisait sa disparition dès 2004. Aujourd’hui des voix s’élèvent pour réclamer sa mise au rebut chaque fois qu’une faille de sécurité fait les gros titres.

Et effectivement les mots de passe présentent des failles. Ou, plus exactement, la façon dont nous les utilisons. Nous en choisissons de trop simples, oublions les plus complexes, les partageons avec nos collègues ou nos subordonnés, ou avec quiconque exerce une forme d’autorité. Une étude d'IS Decisions révèle que pas moins de 23 % des utilisateurs américains et britanniques partagent leurs mots de passe professionnels avec un ou plusieurs collègues.

Biométrie : le rêve

Il n’est donc pas étonnant que les technologies de nouvelle génération en matière de sécurité informatique paraissent séduisantes, en particulier la biométrie dont les avantages peuvent apparaître comme intéressants.
Impossible en effet d’oublier notre empreinte digitale ou rétinienne. Tout utilisateur d’un iPhone récent sait combien il est facile de déverrouiller son portable ou de payer une application au moyen de son empreinte digitale. La procédure est à la fois sécurisée et très simple, rendant l’authentification facile et fluide.

Biométrie : la réalité

Mais cette fluidité ne constitue pas nécessairement un avantage réel dans le domaine de la sécurité des réseaux. Fondamentalement, la biométrie constitue une approche différente de celle des mots de passe. Alors qu’un mot de passe est un élément que l’utilisateur connaît, un marqueur biométrique est un élément qui le caractérise. On peut également évoquer les tokens (« jetons ») physiques, ou les clés, des éléments que l’utilisateur possède.
Chaque méthode possède ses propres avantages et inconvénients et, s’il est certes difficile de partager une empreinte digitale, il est étonnamment facile de leurrer un lecteur d’empreintes digitales ou de reconnaissance rétinienne, comme l’ont récemment démontré les hackers du Chaos Computer Club.
Se pose alors le problème de la pérennité : si un mot de passe est compromis, il est possible d’en changer, ce qui n’est bien sûr pas le cas d’une empreinte digitale.
La réalité est que la biométrie peut difficilement être utilisée comme mesure de sécurité isolée. Même Apple, dans sa mise en œuvre de la lecture d’empreintes digitales, associe cette technologie à l’emploi de mots de passe. Dès lors que l’utilisateur veut rallumer son téléphone ou faire un achat via iTunes pour la première fois, il a besoin de saisir un mot de passe. Dans l’application Apple Pay, des mesures sont prises pour protéger la confidentialité des informations de carte de crédit de sorte que, même si un voleur parvenait d’une manière ou d’une autre à reproduire l’empreinte digitale de l’utilisateur, il rencontrerait des difficultés pour effectuer un achat par carte sans disposer des autres données de sécurité.
La technologie biométrique est donc utilisée en conjonction avec le bon vieux mot de passe, car la combinaison de deux facteurs d’authentification semble a priori plus robuste que l’utilisation d’un seul. Mais la réalité est plus complexe. Une authentification à deux facteurs peut en effet amener les utilisateurs à se contenter de mots de passe plus simples, de sorte que si le premier facteur est contourné, le second facteur devient vulnérable.

Vitesse d’adoption

L’autre inconvénient de la biométrie est la lourdeur, et donc la lenteur prévisible, de son déploiement en entreprise. Les entreprises sont aujourd’hui beaucoup plus réticentes à adopter les nouvelles technologies que le grand public, et il n’y a aucune raison de penser qu’il en sera différemment pour la biométrie.
Et de fait, les entreprises les plus préoccupées par la sécurité sont souvent parmi les plus lentes à évoluer. Nombre d’entre elles, dans les secteurs pourtant sensibles des services financiers, de la défense ou de la santé ne migrent que depuis peu de Windows XP, un système d’exploitation vieux de 13 ans, vers Windows 7. Et encore n’abandonnent-elles XP que parce que Microsoft en a arrêté le support. Les entreprises sont logiquement prudentes et veulent très légitimement avoir un minimum de garanties sur la fiabilité d’une technologie avant de se risquer à l’adopter.
Les technologies de sécurité biométrique ont été encore relativement peu testées à grande échelle et seront coûteuses à mettre en œuvre. Il coulera donc beaucoup d’eau sous les ponts avant que même les entreprises les plus soucieuses de sécurité n’envisagent de les déployer massivement.

Renforcer les mots de passe

Et cela ne constitue pas un réel problème. La biométrie a peut-être de beaux jours, bien que lointains, devant elle mais, pour l’instant, il reste beaucoup à faire pour renforcer la sécurité offerte par les mots de passe.
Les mots de passe, comme la biométrie, ne sont qu’une mesure de sécurité parmi d’autres et aucune d’entre elles n’assure la sécurité à 100 %. La bonne approche dans ce domaine consiste toujours à prendre l’ensemble des mesures appropriées pour atténuer tous les risques possibles. Cela peut signifier une approche au cas par cas, de la même manière qu’un niveau de sécurité différent s’applique à votre porte d’entrée et à la salle des coffres de votre banque.
Le recours à une seule mesure de sécurité aboutit inévitablement à des vulnérabilités, c’est pourquoi nous entrons dans l’ère des couches de sécurité, et non de la disparition du mot de passe, qui ne constitue que l’une de ces couches. Un jour peut-être la technologie biométrique sera-t-elle suffisamment éprouvée pour que les entreprises l’adoptent comme couche supplémentaire mais, pour l’heure, les solutions choisies en matière de sécurité doivent être opérationnelles et pragmatiques, ce qui est très précisément le cas aujourd’hui du renforcement des mots de passe.
Comme je l’ai rappelé en introduction, la faiblesse relative des mots de passe n’est pas intrinsèque, mais réside dans les erreurs humaines qui émaillent leur utilisation. C’est donc en remédiant à certains comportements des utilisateurs que nous pourrons renforcer l’efficacité des mots de passe.
Des technologies fiables permettent aujourd’hui de restreindre l’accès des utilisateurs en fonction du lieu et/ou de l’heure, d’interdire les connexions simultanées (même identifiant, même mot de passe) et de réduire ainsi drastiquement la tentation de partager les mots de passe. L’entreprise peut sensibiliser ses utilisateurs en les alertant lorsque leurs identifiants sont utilisés à partir d’un nouveau lieu et surveiller étroitement l’activité sur le réseau en temps réel à la recherche de comportements d’accès inhabituels ou suspects.
Toutes ces précautions ont pour effet d’atténuer le facteur « erreur humaine » du mot de passe traditionnel et contribuent à diminuer la surface d’attaque de votre réseau. Et même si arrive le jour d’une généralisation de la sécurité biométrique, un renforcement des contrôles d’accès des utilisateurs et de la sécurité des mots de passe continuera d’être indispensable.