Authentification sans mot de passe : Bientôt une réalité ?

Un futur sans mot de passe se dessine petit à petit. Cette perspective bien qu'attrayante nécessite de présenter les options et surtout les défis auxquels les entreprises peuvent être confrontées.

La gestion des mots de passe a toujours été un défi pour les entreprises et fait peser une grande responsabilité sur les utilisateurs, qui doivent gérer chaque jour des centaines de mots de passe dans leur vie numérique. Imaginez maintenant un futur sans mot de passe. Attrayant, n’est-ce pas ? Bien sûr ! Mais avant de se lancer et de se libérer totalement des mots de passe, il est important d’être concret, et de présenter les options et les défis auxquels les entreprises peuvent être confrontées.

Que signifie au juste "sans mot de passe" ?

Sur un appareil mobile, de nombreuses applications proposent une identification facultative utilisant l’empreinte digitale ; si l’utilisateur l’accepte, il se connecte avec une authentification sans mot de passe. S’il a activé Windows Hello sur son ordinateur portable, l’utilisateur pourrait trouver pratique de se connecter en utilisant la reconnaissance faciale. L’authentification sans mot de passe, c’est précisément cela. C’est une méthode alternative d’identification, de connexion, qui ne nécessite pas de saisir un mot de passe.

Cependant, il faut noter quelques observations intéressantes autour de ce concept :

• L’absence de mot de passe ne signifie pas nécessairement que l’on supprime le mot de passe, mais simplement que l’on bénéficie d’une expérience utilisateur sans mot de passe. Généralement, si la méthode d’authentification secondaire (comme la reconnaissance faciale) échoue, le système demandera toujours de saisir un mot de passe.
• Les méthodes sans mot de passe utilisées sur le téléphone et l’ordinateur portable ne sont pas interopérables. Si l’on se connecte à une application bancaire mobile à l’aide de son empreinte digitale et que l’on souhaite accéder par la suite à cette même appli via son ordinateur portable, cela nécessite inévitablement de saisir son mot de passe.

Disons-le, les mots de passe ne sont pas près de disparaître. Les sites web, les abonnements de streaming, l’ordinateur portable, la carte bancaire et le site web bancaire utilisent tous des mots de passe, avec pour chacun des exigences différentes comme le nombre de caractères ou une combinaison spécifique de caractères.

Je suis convaincu(e). Et maintenant, que dois-je faire ?

Si l’entreprise souhaite adopter l’expérience sans mot de passe, il existe différentes solutions, qui ne pourront toutefois couvrir qu’une partie de ses besoins.

La première option consiste à utiliser SAML (security assertion markup language), un protocole basé sur XML qui permet aux applications cloud de créer une relation de confiance avec un fournisseur d’identité (SAML IdP, pour identity provider). Dans le cadre de cette relation de confiance, l’application cloud (comme Salesforce) à laquelle on souhaite accéder redirigera vers l’interface d’un fournisseur d’identité, où l’utilisateur pourra être authentifié. Pour l’entreprise, les avantages sont considérables, mais la technologie permet aussi à ses collaborateurs d’utiliser une méthode d’ouverture de session unique dans ces applications cloud, via une expérience totalement sans mot de passe. Il sera toujours nécessaire de se connecter une fois au fournisseur d’identité, mais une fois que ce sera fait, l’utilisateur aura accès à toutes les applications configurées : plus besoin de mots de passe. Il suffira d’utiliser une méthode fiable d’authentification multifacteur (MFA) pour se connecter au fournisseur d’identité. La MFA, c’est en quelque sorte le maître des clés.

La deuxième option consiste à adopter un dispositif FIDO2 pour bénéficier d’une expérience sans mot de passe. L’Alliance FIDO a élaboré des spécifications pour créer une méthode de connexion sans mot de passe aux applications et sites web. Généralement, cela nécessitera un jeton (aussi appelé token) matériel qui correspond à une méthode de connexion donnée (USB, Bluetooth, NFC, etc.) pour s’authentifier dans une application compatible FIDO2. Comme la reconnaissance faciale Windows Hello par exemple, les dispositifs FIDO2 peuvent également être utilisés pour se connecter à un ordinateur sans avoir à saisir un mot de passe. C’est une excellente méthode, totalement sécurisée, mais qui rencontre des freins dans son développement : applications de support limitées, nécessité de disposer de méthodes d’authentification de secours en cas d’oubli ou de perte du jeton. Sans parler du coût car les dispositifs FIDO2 pouvant s’avérer relativement chers.

Le déploiement du "sans mot de passe" doit prendre en compte l’expérience de l’utilisateur, et la sécurité. Par exemple, l’utilisateur ne devra pas supprimer le mot de passe s’il est prévu de conserver une méthode d’authentification simple pour la connexion. Les OTP (mot de passe à usage unique) par SMS, par exemple, sont notoirement peu sûrs ; en faire sa seule forme d’authentification serait une énorme erreur. Lorsque l’on utilise uniquement l’authentification push, sans méthode complémentaire, les attaquants peuvent toujours recourir au bombardement MFA pour forcer l’utilisateur à accepter un push si le processus MFA n’est pas lui-même protégé.

Enfin, nous constatons que beaucoup de personnes s’interrogent sur la nécessité d’avoir un gestionnaire de mots de passe, si la tendance est plutôt à la suppression des mots de passe. Les mots de passe ne sont pas près de disparaître, et il est pratiquement impossible d’avoir des mots de passe différents et complexes pour chaque application. Le gestionnaire de mots de passe est un excellent moyen d’éduquer les utilisateurs et d’atténuer les problèmes liés aux bases de données du Dark Web difficiles à pirater, tout en permettant aux utilisateurs de bénéficier d’une expérience sans mot de passe. L’idéal est de se connecter à son gestionnaire de mots de passe par authentification MFA et de le laisser lancer le site web et gérer la connexion automatiquement.

En résumé...

Voici quelques points à retenir et quelques suggestions, qui s’appuient sur l’état actuel de l’authentification sans mot de passe :

• "Sans mot de passe" signifie que l’utilisateur ne saisit pas de mot de passe ; cela ne signifie pas que le mot de passe n’existe plus.
• Les mots de passe ne sont pas près de disparaître. Il faudra donc trouver de meilleurs moyens de gérer et d’atténuer les problèmes qui surviennent en cours de route.
• Pour les applications cloud professionnelles, le protocole SAML est un excellent moyen de fournir un accès SSO sans mot de passe aux applications cloud protégées.
• Pour les connexions informatiques, le jeton FIDO2 permet une expérience utilisateur et une sécurité de haut niveau, mais généralement à un prix plus élevé.
• Un gestionnaire de mots de passe peut offrir aux utilisateurs une expérience sans mot de passe pour les applications qui ne prennent pas en charge l’authentification multifacteurs en natif, tout en atténuant les nombreux problèmes associés à la vérification d’identité.

Il est donc possible que l’authentification totalement sans mot de passe soit la meilleure solution pour l’entreprise, selon les objectifs qu’elle se fixe…

Le fait est qu’il n’existe toujours aucun standard d’authentification sans mot de passe qui puisse interagir avec de multiples dispositifs et applications. Il y aura donc toujours une obligation de recourir à des jetons matériel très coûteux, sorte de couteau suisse, pour bénéficier d’expériences similaires sur les ordinateurs portables et appareils mobiles, mais les possibilités existent pour un nombre très limité d’applications seulement. Supposons qu’un utilisateur se connecte tous les jours à son ordinateur en utilisant la reconnaissance faciale avec Windows Hello ; le login Windows Hello ne peut pas être utilisé pour accéder à la plupart des sites web auxquels l’on accède tous les jours : chaque site Web a sa propre méthode d’identification. Dans quelques années, FIDO2 pourrait de fait s’imposer comme la norme du "sans mot de passe", mais pour l’instant, son utilisation est encore très limitée.

Comme toujours, nous ne pouvons que conseiller d’identifier les applications les plus critiques à protéger et les méthodes sans mot de passe qui pourraient s’appliquer à chacune de ces applications. Il ne faut évidemment pas oublier de tenir compte de l’expérience utilisateur, mais ne surtout pas négliger la sécurité ni les coûts de gestion.