Le mot de passe fête ses 60 ans : mais est-il amené à disparaître ?

Saviez-vous que le mot de passe fêtait ses 60 ans cette année ? Personne ne vous en tiendra rigueur si vous ne le saviez pas. Après tout, la plupart d'entre nous ont une relation complexe - pour ne pas dire compliquée - avec les mots de passe. Mais est-il vraiment en voie de disparition ?

Nous dépendons des mots de passe pour sécuriser la plupart des technologies numériques que nous utilisons. Pourtant, ils sont la cible de 80 % des cyberattaques. Bien que nécessaires, les mots de passe sont malheureusement très sensibles à la compromission. 

De nos jours, les mots de passe sont omniprésents - une entreprise de cybersécurité a estimé en 2017 que plus de 300 milliards de mots de passe seraient utilisés d'ici 2020. Pourtant le mot de passe a été peu utilisé pendant les 30 années qui ont suivi sa création. Cette tendance s’est inversée avec l'essor du World Wide Web dans les années 90, qui a généré de grandes quantités d'informations sensibles nécessitant une protection par mot de passe. C'est également dans les années 90 que les attaques par force brute sont devenues une méthode populaire pour casser les cryptages : il s'agit de deviner de manière répétée différents chiffres et clés d'un compte sécurisé jusqu'à ce que la bonne combinaison soit trouvée.

Ces attaques se sont avérées tout aussi utiles pour la cybercriminalité que pour la cryptographie. En 2016, une attaque par force brute sur la plateforme de commerce électronique chinoise TaoBao a ainsi compromis environ 20,6 millions de comptes sur la plateforme. Les attaques par force brute réussissent en partie car beaucoup d’utilisateurs ne savent pas choisir des mots de passe solides : 23,2 millions de victimes de cyberattaques dans le monde ont utilisé "123456" comme mot de passe. L

es gens continuent à choisir des mots de passe faibles et de plus, à les réutiliser pour de nombreux services différents. Des stratagèmes comme les attaques par bourrage d’identifiant, « credential stuffing » en anglais, et par pulvérisation de mots de passe, « password spraying », se sont développés à partir des attaques traditionnelles par force brute pour tirer parti des habitudes négligentes des utilisateurs. 

Manipulation du système & ingénierie sociale

À un moment donné, les pirates ont compris une vérité fondamentale sur la plupart des gens : ils sont facilement manipulables. Cette simple idée a donné naissance à un type de cyberattaque plus subversif : l'ingénierie sociale. Il s'agit de manipuler des personnes, et non des machines, pour les amener à divulguer des informations confidentielles, comme leurs mots de passe. 

En 2020, des pirates se faisant passer pour des professionnels de l'assistance informatique de Twitter ont incité les employés de Twitter à se connecter à un faux site informatique et ont utilisé les informations d'identification volées pour accéder aux systèmes internes de Twitter. 

Bien que les mauvais acteurs utilisent toujours les attaques par force brute, les cyberattaques telles que l'ingénierie sociale, le bourrage d’identifiants et la pulvérisation de mots de passe sont des schémas de piratage plus séduisants pour trois raisons :

  • Ces stratagèmes s'attaquent aux vulnérabilités humaines plutôt qu'à celles d'une machine. Les hackers d'EA ont contacté le professionnel de l'assistance technique en déclarant qu'ils avaient perdu leur téléphone à une fête - sans aucune mesure d'authentification secondaire en place, pourquoi le professionnel de l'assistance ne les aurait-il pas crus ? 
  • Ils sont efficaces : les pirates peuvent envoyer de nombreuses attaques d'ingénierie sociale en même temps. L'attaque par force brute de Taobao a duré de la mi-octobre à novembre 2016, mais le piratage d'EA n'a pris que quelques heures. Une attaque par pulvérisation de mots de passe peut utiliser une courte liste des 100 mots de passe à 10 caractères les plus courants et attendre une réponse positive. 
  • Les schémas d'ingénierie sociale contournent facilement les défenses traditionnelles. Aussi efficaces que soient la plupart des logiciels de cybersécurité, ils ne peuvent pas détecter un mensonge bien raconté. 

Des alternatives possibles

Avec environ un million de mots de passe volés chaque semaine, il n'est pas étonnant que les entreprises cherchent des alternatives. 

Après avoir affirmé au cours des dernières années que l'avenir serait sans mot de passe, Microsoft a annoncé le lancement de la connexion sans mot de passe pour les comptes Microsoft le 15 septembre dernier. Les utilisateurs peuvent désormais se connecter aux applications et services Microsoft en utilisant Microsoft Authenticator, Windows Hello, un code de vérification envoyé sur le téléphone ou l'e-mail de l'utilisateur ou une clé de sécurité. 

D'autres entreprises technologiques ont également exploré des alternatives aux mots de passe. Apple a intégré l'identification faciale et l'identification par empreinte digitale dans ses iPhones. En mai, Google a prédit un avenir sans mots de passe et a annoncé son utilisation de l'Authentification MultiFacteur (AMF) pour remplacer les mots de passe. 

La biométrie et l'AMF sont certainement en passe d'innover dans le secteur de la cybersécurité. Leur utilisation signifie-t-elle que la mort du mot de passe est imminente ? Pas du tout. 

Alors que la technologie biométrique devient de plus en plus sophistiquée, les pirates ont déjà commencé à développer des méthodes pour compromettre les données d'empreintes digitales, faciales ou rétiniennes. Une société de logiciels de reconnaissance faciale a subi une violation de données en 2020, prouvant que les bases de données qui stockent ces données critiques sont vulnérables. 

Comment une personne pourrait-elle accéder à des services sécurisés si ses données biométriques ou ses données MFA étaient compromises ? Ou si elle perdait simplement son appareil mobile lié à l'AMF ? Il est fort probable qu'elle doive utiliser un mot de passe comme moyen d'authentification de secours. 

Prévoir l'avenir

La transition de l'authentification par mot de passe à l'authentification sans mot de passe ne se fera pas du jour au lendemain. Trop de réseaux, de dispositifs, de systèmes et de personnes dépendent actuellement des mots de passe pour que cette technologie disparaisse rapidement. Ainsi, le scénario le plus probable serait de combiner quelque chose que vous savez (mots de passe) avec une partie de vous-même (biométrie). Mais une chose est sûre : les mots de passe ne sont pas près de disparaître.