Le « Passwordless » pour enfin en finir avec les mots de passe

Pour les entreprises comme pour les particuliers, les mots de passe sont encore présents partout, mais peut être plus pour longtemps.

Car l’authentification ‘passwordless’, c’est-à-dire ne nécessitant aucun mot de passe, est devenue un sujet d’actualité, d’autant qu’elle est ouvertement promue par des géants de l’industrie high tech tels qu’Apple, Microsoft ou Linux.

Le ‘passwordless’ offre en effet plusieurs avantages. Le premier d’entre eux est bien sûr une amélioration de la sécurité, conséquence des faiblesses inhérentes des mots de passe utilisateur dans ce domaine, largement connues. D’après une récente enquête menée par Verizon aux Etats Unis, les mots de passe restent le plus gros vecteur de cyber attaque et leur usurpation est responsable de 81 % des intrusions malveillantes dans les systèmes.

L’authentification ‘passwordless’ promet aussi une meilleure expérience utilisateur, car ce dernier n’a plus à mémoriser de mot de passe, et la procédure d’authentification est potentiellement plus simple.

L’absence de mot de passe génère aussi une réduction des frais de fonctionnement au sein des services informatiques dans les entreprises. Les mots de passe sont en effet lourds à gérer, et requièrent une maintenance constante.

Enfin, les services informatiques récupèrent ainsi la maîtrise complète de la gestion des identités et des accès, délivrés des failles incontrôlables des mots de passe (phishing, réutilisation, partage).

Pour toutes ces raisons, nombreux sont ceux qui prédisent à terme la fin du mot de passe comme procédure d’authentification. Mais par quoi le remplacer ? De grands acteurs de l’industrie, tels Microsoft et Apple, préconisent des méthodes biométriques, telles que la lecture d’empreinte digitale ou la reconnaissance faciale.

Toutefois ces méthodes, bien que plus sûres qu’un simple mot de passe, ne sont pas adaptées à tous les scénarios d’accès, car elles présentent elles aussi des failles. En vérité, quelle que soit la méthode utilisée, le risque provient surtout du choix d’un mode d’authentification unique, qui finira toujours par être usurpé par des acteurs malveillants.

C’est la raison pour laquelle les différents autorités nationales comme les récentes réglementations en matière de sécurité préconisent ou imposent désormais une authentification non pas à un mais à deux facteurs au moins.

L’authentification multifacteur ou MFA, déjà adoptée par de nombreux services web tels que Google et Facebook, impose une authentification avec au moins deux des trois facteurs suivants : quelque chose que l’utilisateur sait (mot de passe par exemple), quelque chose qu’il possède (ordinateur, smartphone) et ou quelque chose qui le caractérise en tant qu’individu (empreinte digitale, etc.).

L’authentification MFA représente un progrès majeur en matière de sécurité par rapport à un simple mot de passe, mais elle n’est pas forcément ‘passwordless’. Or il y a fort à parier qu’éliminer tout usage d’un mot de passe s’imposera à terme. Car une solution MFA mot de passe + second facteur conserve les défauts inhérents aux mots de passe (facilité d’usurpation, coûts de maintenance).

Mieux vaut dès lors s’en passer définitivement, en adoptant une combinaison de facteurs qui offre le meilleur équilibre entre garantie de sécurité et simplicité d’utilisation.

L’éventail des solutions possibles permet d’adapter la combinaison choisie en fonction du niveau de risque associé à la demande d’accès et de la typologie de l’utilisateur : consommateur, client, partenaire ou collaborateur en interne. La plupart des solutions mises en œuvre aujourd’hui utilisent le smartphone comme support, en raison de son taux d’adoption massif. Les principaux facteurs qui s’imposent sont l’envoi d’une notification en ‘push’, l’identification biométrique via empreinte digitale ou reconnaissance faciale, et la géolocalisation via la puce GPS du smartphone.

L’envoi d’un code par SMS, déjà largement popularisé pour les paiements par carte bancaire, doit toutefois être réservé à des demandes d’accès à faible niveau de risque, en raison de sa relative simplicité d’usurpation.