Un futur sans mot de passe n'est pas prêt d'arriver
Un avenir sans mot de passe peut être envisagé pour certains produits et services spécifiques, mais nous sommes encore loin d'un monde véritablement sans mot de passe.
De nos jours, il semble que tout le monde veuille se débarrasser des mots de passe. Google a permis aux utilisateurs des appareils Pixel et des appareils Android 7+ de déverrouiller le téléphone avec l'empreinte au lieu d'un mot de passe lorsqu'ils accèdent à certains services Google. Apple a introduit Passkeys dans iCloud Keychain avec iOS 15 et macOS Monterrey, qui remplace les connexions basées sur des mots de passe par la reconnaissance facilae. Et en septembre, Microsoft a déclaré que l'avenir sans mot de passe était arrivé pour les comptes Microsoft - les utilisateurs peuvent supprimer les mots de passe de leurs comptes Microsoft et utiliser l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à leur téléphone ou à leur e-mail pour se connecter aux services Microsoft à la place.
Un avenir sans mot de passe peut être envisagé pour certains produits et services spécifiques, mais nous sommes encore loin d'un monde véritablement sans mot de passe. Les entreprises sont de plus en plus nombreuses à explorer de nouvelles technologies d'authentification, telles que la biométrie, et des facteurs supplémentaires d'authentification multifacteurs (AMF), tels que les jetons d'authentification ou les applications d'authentification, mais il est clair que les professionnels sont impatients de connaître un monde sans mot de passe.
Comment en est-on arrivé là ?
Au cours des 60 dernières années, les mots de passe ont été un élément essentiel de la sécurité informatique. Pourtant, pour plusieurs raisons, les professionnels n'ont accepté qu'à contrecœur les mots de passe en tant que mécanisme de sécurité.
Premièrement, les mots de passe peuvent être fastidieux. Une personne moyenne utilise une centaine de mots de passe, et pour les travailleurs en entreprise, les mots de passe liés à leur travail ne sont qu'une autre série de combinaisons qu'ils doivent retenir. Alors que les gestionnaires de mots de passe permettent aux utilisateurs d'enregistrer leurs mots de passe dans un coffre-fort sécurisé plutôt que dans leur mémoire, une enquête réalisée en 2020 par YouGov et PasswordManager.com a révélé que 65% des consommateurs ne font pas confiance aux gestionnaires de mots de passe. Les utilisateurs sont donc contraints de mémoriser leurs mots de passe, et il n'est pas étonnant que les employés défient les recommandations en matière de mots de passe en créant des mots de passe faibles et faciles à retenir, souvent composés de mots et de phrases courants.
Une autre raison pour laquelle les mots de passe ne sont pas populaires est que, malgré leur capacité à sécuriser nos comptes, les mots de passe peuvent représenter un risque de sécurité majeur. Environ un million de mots de passe sont usurpés chaque semaine, et une enquête menée par PCMag en 2021 a révélé que 70% des personnes interrogées admettaient utiliser le même mot de passe pour plusieurs usages, ce qui les expose à de multiples violations. Si les mots de passe faibles sont faciles à deviner pour les pirates, les programmes de phishing et d'ingénierie sociale ont également permis aux pirates de voler des mots de passe auprès des services d'assistance des entreprises ou des employés eux-mêmes, simplement en les manipulant.
Enfin, les mots de passe faibles sont également coûteux pour les entreprises. Le vol d'un seul mot de passe peut permettre une violation des données, et une enquête IBM de 2021 a révélé que le coût moyen d'une violation des données pour les personnes interrogées était de 4,24 millions de dollars. Ainsi, l'aversion pour les mots de passe ne se limite pas au niveau personnel, mais s'étend également au niveau de l'entreprise.
Malgré cette aversion, les mots de passe sont trop ancrés dans notre société et trop utilisés pour disparaître du jour au lendemain. En fait, si une pléthore de nouvelles méthodes d'authentification ont vu le jour ces dernières années, les mots de passe restent sans conteste la méthode d'authentification la plus courante.
Où allons-nous ?
Les méthodes d'authentification alternatives les plus populaires proposées pour remplacer les mots de passe sont la biométrie et l'ajout de facteurs supplémentaires avec l'AMF. Si ces méthodes d'authentification peuvent ajouter une couche supplémentaire de sécurité aux comptes et aux appareils, les cybercriminels feront probablement évoluer leurs tactiques pour infiltrer les nouvelles techniques de sécurité au fur et à mesure de leur développement.
En fait, nous voyons déjà ces méthodes d'authentification se faire pirater. Ces dernières années, des célébrités comme Jack Dorsey, PDG de Twitter, et l'actrice Jessica Alba ont été victimes d'attaques par échange de cartes SIM, au cours desquelles des pirates trompent les compagnies de téléphone en faisant correspondre un numéro de téléphone à une carte SIM différente qu'ils peuvent utiliser pour recevoir des codes de vérification mobile et accéder illicitement à des comptes. Entre avril et mai 2021, de mauvais acteurs ont exploité une faille MFA dans le système de Coinbase qui leur a permis de recevoir les jetons d'authentification en deux étapes des clients. À partir de là, les cybercriminels ont pu accéder aux comptes des clients et leur voler des crypto-monnaies.
Par ailleurs, un rapport publié en 2021 par la bourse d'échange d'actifs numériques Kraken a montré que des matériaux d'une valeur de 5 dollars pouvaient être utilisés pour contourner l'authentification par empreinte digitale. Si l'utilisation de la biométrie se développe et se généralise, les attaques contre les méthodes d'authentification biométrique pourraient également augmenter - mais contrairement à votre mot de passe, il n'existe aucun moyen (agréable) de réinitialiser vos données biométriques. Certains pirates étant parrainés par des États, d'importantes ressources financières pourraient être consacrées à la mise au point de méthodes permettant de contourner les données biométriques et d'autres facteurs MFA.
Alors que de nouvelles cyberattaques se développent pour perturber les nouvelles méthodes d'authentification, les cyberattaques existantes persisteront. Les attaques par hameçonnage continueront d'augmenter, car les pirates peuvent inciter les utilisateurs à donner volontairement des mots de passe difficiles à deviner. Il en va de même pour les attaques par ingénierie sociale - une cyberattaque contre Electronic Arts montre que les services d'assistance sont encore facilement manipulables.
Que pouvons-nous faire aujourd'hui ?
À l'heure actuelle, trop d'entreprises dans le monde utilisent des mots de passe pour que la technologie sans mot de passe devienne rapidement omniprésente. Ainsi, la norme la plus susceptible d'émerger sera l'utilisation des mots de passe comme méthode de secours obligatoire pour les méthodes d'authentification sans mot de passe comme la biométrie ou comme premier facteur dans l'AMF.
Sans méthode pour se débarrasser complètement des mots de passe, les entreprises doivent continuer à travailler pour renforcer la sécurité de leurs mots de passe afin de se prémunir contre les cyberattaques. Il existe quelques mesures qu'elles peuvent prendre pour y parvenir :
- Instituez une politique de mot de passe solide et veillez à ce qu'elle soit respectée. Des organisations telles que le L’Agence nationale des système d’information (L’ANSSI) ont publié des bonnes pratiques pour créer des mots de passe forts auxquelles les organisations peuvent se référer pour leurs propres politiques. Les mots de passe forts peuvent empêcher les pirates de les deviner purement et simplement.
- Bloquez les mots de passe faibles et les mots de passe compromis en utilisant un dictionnaire de mots de passe sécurisé.
- Utilisez l'AMF comme couche de sécurité supplémentaire pour protéger le processus de réinitialisation du mot de passe et le processus de vérification de l'utilisateur.
Puisqu'un utilisateur est censé être la seule personne à connaître son mot de passe secret et à pouvoir le révéler, les mots de passe constituent intrinsèquement une méthode d'authentification et un mécanisme de sécurité efficaces. Le problème avec les mots de passe, ce sont les humains qui les créent : nous ne sommes pas enclins à utiliser la combinaison optimale de lettres, de chiffres et de caractères spéciaux qui composent un mot de passe hautement sécurisé. Heureusement, les entreprises peuvent résoudre ce problème en mettant en œuvre de meilleures politiques et pratiques en matière de mots de passe.
Bien que nous soyons tous impatients de voir l'avenir sans mot de passe, les entreprises ont encore un long chemin à parcourir avant de pouvoir cesser de compter sur les mots de passe pour sécuriser leurs actifs technologiques. En attendant, nous devrions les utiliser au mieux de leurs capacités.