Il est grand temps de nous débarrasser des mots de passe sur les sites Web. D’innombrables blogs et articles nous expliquent en quoi ce système d’identification est dépassé et en quoi les choses ne font qu’empirer. Pourtant, malgré un consensus extraordinairement marqué, le mot de passe est toujours là et n’est pas près de disparaître.

Les mots de passe ne sont pas en tant que tel la source du problème.  Les ordinateurs communiquent d’ailleurs de façon hautement sécurisée grâce à des systèmes similaires. Les problèmes apparaissent lorsque l’être humain intervient, en raison des limites de notre propre mémoire et de notre inclination à la paresse.

Lorsque nous devons choisir un mot de passe, nous avons tendance à faire des choix stupides et d’utiliser ainsi les mots de passe les plus courants, comme « 123456 » ou « AZERTY ».   Certains d’entre nous tentent de faire mieux en élaborant un « mot de passe fort », censé être difficile à deviner.  Du coup, selon un sondage de Harris Interactive, 73 % des adultes américains oublient régulièrement le mot de passe permettant d’accéder à l’un de leurs comptes en ligne.

Les internautes sont donc tentés de résoudre ce problème en « recyclant » leurs mots de passe sur plusieurs sites.  Ainsi, une étude Ifop montre que 42% des français réutilise le même mot de passe pour plusieurs comptes en ligne. C’est la raison pour laquelle les hackers piratent des sites Web à la recherche de bases de données de mots de passe. Le mot de passe, lorsqu’ il est réutilisé sur plusieurs sites, devient le vecteur principal des attaques des hackers.

Il est en effet impossible pour un être humain d’utiliser, sans outil, un mot de passe différent sur chaque site, tout en continuant à accéder à ses comptes de manière simple. L’analyse de notre propre base d’utilisateurs nous montre qu’en moyenne les Internautes possèdent des comptes internet  sur 50 sites différents.

Et pourtant, en dépit de ces problèmes, le mot de passe parvient à survivre en tant que norme de fait, parce que son coût de mise en place est nul, qu’il est simple à mettre en œuvre, ne peut pas être breveté, et parce qu’il bénéficie d’un immense effet de réseau le protégeant des alternatives.

L’exemple de norme de fait le plus célèbre est sans doute la disposition de clavier QWERTYY,  (adapté en France sous la forme Azerty) qui a été mise au point en 1867 afin d’éviter le blocage des touches et des marteaux en fonction de la fréquence des paires de lettres.  Bien que le problème de blocage mécanique ait été oublié de tous, la disposition a survécu jusque sur des terminaux comme les smartphones, qui n’ont pourtant même pas de clavier physique, tout cela en raison de l’absence d’un remplaçant crédible.

Si l’on se réfère à l’Histoire, au moins trois conditions devront être remplies pour qu’une norme de fait puisse être remplacée :

1.       le nouveau système doit posséder tous les avantages de l’ancien, ainsi que des atouts supplémentaires évidents pour la majorité les acteurs ;

2.       le remplacement de la norme de fait par une nouvelle norme doit procurer un avantage économique;

3.       un laps de temps suffisamment long doit s’écouler afin qu’une migration massive et universelle puisse avoir lieu.

 

Globalement, il existe 2 alternatives au système de mots de passe actuel :

–          Les solutions matérielles : Il s’agit de technologies telles que les YubiKey, les capteurs biométriques, voire de nos téléphones portables.

–          Les solutions logicielles : Des technologies telles que des solutions à authentification unique, ou Single-Sign On (SSO) comme Facebook Connect, Google et OpenID.

Les solutions matérielles ont un certain succès en entreprise, car les exigences en matière de sécurité y sont très élevées, et les problématiques de coûts et d’adoption y sont bien moins importantes. Mais pour le grand public, les changements culturels, les coûts et la complexité de la procédure d’identification forment une barrière de taille.

Pour pouvoir effectuer un remplacement massif du système des mots de passe sur Internet, il faudrait qu’ait lieu un changement culturel de grande ampleur en faveur de l’abandon de l’anonymat sur le Web.  Selon les résultats de travaux de recherche de Disqus, 96 % des commentaires sur le Web sont déposés soit de manière anonyme, soit sous des pseudonymes, et ces commentaires sont souvent de meilleures qualités.

Une norme claire devrait également émerger, qui soit implémentée sur tous les appareils que nous utilisons pour accéder aux centaines de millions de sites Web existants.  Mais même un site comme Facebook a du mal à exploiter son immense base d’utilisateurs pour imposer Facebook Connect comme un remplaçant crédible du fait des problématiques que sont la confiance et le respect de la vie privée. Facebook Connect ne sera probablement jamais disponible sur Google, Amazon, iTunes et eBay, simplement parce que ces géants n’accepteront jamais de permettre à Facebook d’accéder aux données de leurs utilisateurs. Le nouveau bouton d’identification Google+ indique d’ailleurs que la fragmentation va s’accroître pour ce type de service.  Et pour des raisons similaires, une authentification unique contrôlée par un des géants de l’Internet ne sera jamais mise en place afin de s’identifier sur les sites web des services bancaires, de santé ou administratifs, etc.

Étant donné que même des entreprises aussi puissantes que Facebook ou Google ne peuvent pas espérer surmonter l’effet de réseau immense que nous connaissons aujourd’hui, cet objectif est évidemment encore plus difficile à atteindre pour des acteurs de plus petite taille.

À l’heure où LinkedIn contient l’intégralité de notre vie professionnelle, où Facebook enregistre tout ce qui concerne nos relations personnelles, où Foursquare sait tout de nos déplacements, et où Twitter diffuse nos pensées les plus insignifiantes au monde entier (des éléments, pour la plupart, impossibles à supprimer complètement du Web), à l’heure où un simple vol de mots de passe peut faire plonger la bourse de New York de 150Mds de dollars le problème ne peut plus être ignoré.  Alors que faire ?

Il faut enlever l’être humain et sa mémoire faillible de l’équation. Car même si nous voulions utiliser le même mot de passe partout, les sites Web nous imposent souvent des règles différentes en matière de longueur ou de complexité et ne nous le permettent plus. Aujourd’hui, simplicité et sécurité sont impératives pour une solution grand public à ce problème. La sécurité sur Internet est un droit pour tous et ne doit pas être réservée aux seuls initiés. Les gestionnaires de mots de passe, en remplaçant l’être humain dans la génération et la saisie des mots de passes, répondent à ces deux impératifs. Dès aujourd’hui.

Bien que la menace représentée par les hackers augmente chaque jour, il faudra encore un temps considérable avant que le mot de passe ne soit remplacé. D’ici-là, les rumeurs concernant la mort du mot de passe sont très exagérées.