Les mots de passe constituent la forme la plus courante d’authentification, mais ils offrent une sécurité et une expérience utilisateur peu satisfaisantes. Un mot de passe est par définition un secret partagé, connu de l’utilisateur et du service de validation, souvent stocké sur divers appareils, voire pire, noté dans des messages ou sur un post-it. Cependant, chaque service, appareil ou utilisateur qui connaît ce secret peut être la cible d’une cyberattaque. 

Afin de renforcer la sécurité, les meilleures pratiques imposent que les mots de passe soient uniques et complexes ; mais cela se révèle de plus en plus inefficace contre les attaques de phishing modernes. Pour éviter les mots de passe oubliés, il est en outre tentant de partager ces identifiants entre les services ; ce qui accroît les risques. La sécurité et la facilité d’utilisation ne font en effet également pas bon ménage avec les mots de passe. Une sécurité accrue se traduit par une expérience utilisateur moins agréable, et vice versa. Néanmoins, les mots de passe sont toujours très largement utilisés pour plusieurs raisons :

La portabilité – un mot de passe peut être utilisé pour presque tous les cas d’usage : l’accès à des appareils, des documents, des comptes, ou encore des services. Ses besoins sont relativement limités en termes d’infrastructures et de dépendances, si bien qu’il permet d’accéder très facilement à un service.

La compatibilité  à quelques exceptions près, chaque application et service utilisé en entreprise comporte un mot de passe. Un deuxième facteur supplémentaire est parfois requis pour s’authentifier, mais le mot de passe reste fondamental et universel. La saisie de mots de passe est l’activité par défaut réalisée tous les jours par les employés.

L’interopérabilité – que ce soit sur un ordinateur, un smartphone, ou une tablette, il est toujours facile de saisir un mot de passe. En effet, ils sont pris en charge de manière universelle, et il n’est pas nécessaire de se procurer le dernier appareil mobile, ou d’installer un logiciel, pour utiliser un mot de passe.

À la vue de ces avantages, toute autre solution d’authentification ne recourant pas aux mots de passe doit offrir des améliorations notables en matière de sécurité et d’ergonomie, sans compromettre les besoins de portabilité, de compatibilité et d’interopérabilité. Une alternative sans mot de passe a gagné en popularité chez de nombreux fournisseurs de solutions de sécurité, d’authentification et d’identité – chacun lui appliquant sa propre nuance. L’authentification sans mot de passe peut être en effet mise en œuvre de différentes manières, qui présentent toutes des avantages et des inconvénients.

Des implémentations sont ainsi spécifiquement conçues pour résoudre les problèmes d’ergonomie. Ainsi, l’utilisateur peut recevoir un code OTP par SMS, valable pour une courte période, qu’il peut utiliser pour s’authentifier. Ou encore, un lien unique accompagné d’un jeton est créé et envoyé par email, ou SMS, à l’utilisateur. Ce dernier est soumis, en cliquant sur le lien, à une vérification aux fins de ce service particulier. Cependant, si ces deux flux d’authentification sont plus faciles à utiliser que les mots de passe, ils sont tous deux très vulnérables aux attaques de phishing.

D’autres implémentations du « sans mot de passe » sont à l’inverse spécifiquement conçues pour résoudre les problèmes de sécurité. C’est le cas notamment des smart cards. Elles représentent l’un des moyens les plus efficaces de se protéger contre le phishing. L’utilisateur doit insérer sa smart card dans un lecteur, et la valider au moyen d’un code PIN unique. C’est un moyen sûr de mettre en échec les attaques de phishing à distance. Mais les smart cards classiques ne sont pas très portables, compatibles ou interopérables. Il peut donc se révéler complexe et coûteux de les déployer à grande échelle.

Qui plus est, les ordinateurs portables disposant de lecteurs de smart cards intégrés deviennent rarissimes, et le recours à un lecteur externe USB compromet fortement l’ergonomie du poste de travail.

Le rôle des normes ouvertes et des plateformes d’identité

Un riche écosystème de normes ouvertes est nécessaire pour garantir la sécurité et la facilité d’utilisation, tout en répondant aux besoins de portabilité, de compatibilité et d’interopérabilité à grande échelle. Ces normes garantissent une authentification forte sur les appareils, les applications et les services, sans aucun logiciel propriétaire supplémentaire. Les solutions de gestion des identités et des accès (IAM) ont par conséquent adopté des normes ouvertes en se superposant aux géants des plateformes pour offrir les fonctionnalités et les capacités dont les entreprises ont besoin pour adopter une authentification forte sans mot de passe pour leurs applications et services critiques. La plupart des IAM disposent d’une application d’authentification mobile pour améliorer l’expérience des utilisateurs sur les différents systèmes traditionnels, offrant ainsi une alternative sans mot de passe autre que WEBAuthn/FIDO, dénommée “push notification”. Hélas, les applications d’authentification mobile sont elles aussi vulnérables au phishing. C’est pourquoi toutes les grandes plateformes IAM prennent en charge en natif des clés de sécurité matérielles FIDO2, hermétiques par design à l’interception.

Le passage au sans mot de passe

L’adoption massive du « sans mot de passe » constitue un projet sur le long terme. Dans cette période de transition, les clés de sécurité matérielles représentent l’allié idéal. Elles suivent l’utilisateur dans ses déplacements, ainsi que l’évolution de l’infrastructure de sécurité. Certaines ne nécessitent en outre ni logiciel, ni périphériques – à l’inverse d’une smart card – et peuvent prendre en charge un large éventail de protocoles de sécurité. Par conséquent, il est possible de mettre un terme aux prises de contrôle de compte via phishing, car la clé agit comme un deuxième facteur en complément d’un mot de passe. Et, progressivement, la migration vers des environnements sans mot de passe prendra le pas, sans aucun compromis en termes d’expérience utilisateur ou de sécurité.
___________________

Par Laurent Nezot, Directeur des ventes France chez Yubico