À chaque instant, des millions d’actes d’authentification sont réalisés à travers le monde. Le plus souvent, en saisissant un mot de passe. Mais de plus en plus aujourd’hui grâce à la biométrie ou à l’aide d’un objet unique, propre à l’utilisateur. Et puis, il n’y a pas que les humains qui s’authentifient : les machines s’y mettent massivement elles aussi !
Comment tout cela a-t-il commencé ? Et où cela nous amène-t-il ?
Dans sa plus simple expression, l’authentification doit permettre de prouver une identité déclarée. Et la méthode la plus simple pour cela, c’est évidemment de se mettre d’accord sur un « secret » partagé entre l’utilisateur et la machine. Il s’agit principe du bon vieux mot de passe, et la technique qui a été mise en œuvre par les premières machines multi-utilisateurs installées dans les universités (les premiers micro-ordinateurs, considérés comme mono-utilisateurs, n’avaient évidemment pas besoin de cela !)
Mais rapidement, le mot de passe a montré ses limites. Que se passe-t-il lorsqu’il est volé ? Comment s’assurer qu’il ne puisse être facilement deviné ? Pourquoi les utilisateurs choisissent-ils des mots de passe faibles ou les oublient-ils ?
Pour pallier ces limitations, tout un marché d’outils dédiés s’est développé, depuis le coffre-fort de mots de passe (qui permet de les stocker sur son poste de manière sécurisée) aux HSM (des boîtiers électroniques qui génèrent des mots de passe fortement aléatoire), en passant par le SSO (se connecter à différentes applications avec un seul mot de passe), et toutes les mesures organisationnelles possibles, avec notamment les fameuses politiques de mots de passe dans les entreprises.
Tant que cela restait limité aux murs de l’entreprise, il était encore possible de gérer à grand renfort de solutions d’accompagnement. Mais quand le Web est venu ouvrir grand les vannes, les choses se sont complexifiées : des millions d’utilisateurs ont pu accéder à des dizaines de milliers de services en ligne leur demandant un mot de passe. Des bases de données contenant plusieurs millions de sésames ont été volées et ainsi des identités peuvent être usurpées. Et les criminels ont vite compris que, par facilité, les internautes réutilisent parfois le même identifiant, ce qui accentue le problème…
Bref, Internet a clairement montré que le règne du mot de passe touchait à sa fin.
A sa fin, vraiment ? Pas exactement… car le mot de passe a pour lui la facilité d’utilisation et sa (relative, si l’on veut bien faire) facilité de mise en œuvre.
L’écosystème d’Internet a cependant commencé à chercher des alternatives. Avec l’avènement des réseaux sociaux, quelques géants du web ont notamment tenté de proposer un standard d’authentification commun, qui permettrait à quiconque dispose d’un compte sur un réseau social de s’authentifier auprès des sites qui voudraient le suivre (le principe de la fédération d’identités en utilisant des standards comme OAuth). On ne règle pas tout à fait le problème, mais on facilite un peu l’usage du mot de passe…
Dans le même temps, l’authentification multifacteur, aujourd’hui encore considérée comme l’un des moyens les plus efficaces de renforcer le mot de passe, a fait son apparition. En envoyant à l’utilisateur au moment de l’authentification un code de validation à durée de vie très courte(OTP :One time Password), par SMS par exemple, on s’assure que même si le mot de passe a été volé, l’attaquant n’aura — a priori — pas accès au téléphone associé (jusqu’à ce que l’on réalise que le SMS n’a jamais été conçu pour cela, et que l’industrie se tourne quasi exclusivement désormais vers des codes de validation basés sur une synchronisation du temps avec le serveur, générés sur un dispositif matériel de type RSA SecurID ou d’un dispositif software via une application smartphone).
Puis les fabricants de smartphones sont (enfin) parvenus à rendre la biométrie utilisable par n’importe qui (à travers la reconnaissance de l’empreinte digitale ou du visage). Cela a permis d’équiper une grande partie de la population d’un second facteur d’authentification réellement performant. Le mot de passe est ainsi toujours présent, mais solidement renforcé par une authentification biométrique ou un code de validation à usage unique. On a progressé…
Mais dans toute cette histoire, l’industrie s’est surtout adaptée au cas par cas, en tentant de pallier les faiblesses du mot de passe. Il manque encore un vrai standard moderne d’authentification, facile à utiliser, fiable et accessible à tous. Ce standard, ça pourrait bien être FIDO (Fast Identity Online), développé depuis 2012 par un consortium dans lequel on retrouve aussi bien Amazon, Google, Facebook ou Paypal que Visa ou Wells Fargo. FIDO a pour objectif non pas de faire disparaître le mot de passe (on a compris qu’il aura toujours son utilité) mais d’élever les autres moyens d’authentification au même niveau de simplicité de déploiement, afin de permettre de passer aisément de l’un à l’autre. FIDO supporte ainsi aussi bien le mot de passe que la biométrie (faciale et digitale), la reconnaissance de la voix ou les clés physiques. Ainsi, des solutions FIDO existent aujourd’hui qui permettent de s’authentifier de manière forte sur un site web ou une application en pressant un simple bouton sur une clé USB insérée sur l’ordinateur, tout en authentifiant en retour le service lui-même, afin de protéger les utilisateurs contre les attaques de type phishing.
Pourquoi est-il si important de rendre ainsi toutes les autres méthodes d’authentification aussi simples à déployer que le mot de passe ? Car pendant tout ce temps, les choses changeaient aussi rapidement dans les entreprises : les applications migraient de plus en plus dans le Cloud public, le périmètre disparaissait progressivement, les collaborateurs travaillaient de plus en plus depuis des réseaux ou avec des outils non maîtrisés… Il n’y a donc plus de sens de devoir choisir une seule méthode d’authentification. Les entreprises doivent pouvoir s’adapter de manière dynamique au contexte d’authentification (en prenant en compte notamment l’identité de l’utilisateur dans une analyse de risque plus large) afin de choisir la bonne méthode au bon moment.
Finalement, l’avenir de l’authentification n’est plus dans les méthodes elles-mêmes : l’industrie a fait la paix avec le bon vieux mot de passe et ne compte plus le faire disparaître à tout prix, à condition d’avoir le choix ! L’avenir est plutôt à la gestion dynamique des identités et des processus d’authentification à l’échelle de l’entreprise, de manière pragmatique (car oui, le mot de passe a encore son utilité).
Et ça, c’est une nouvelle frontière !
___________________
Par Hicham Bouali, Directeur Avant-Ventes EMEA de la société One Identity