Une sécurité informatique améliorée se profile à l’horizon, tant pour les entreprises que pour les utilisateurs individuels désireux d’adopter une alternative aux mots de passe. Pourtant, malgré le mépris croissant pour le processus fastidieux de création et de saisie de mots de passe, la transition vers un avenir sans ces mots de passe gagne du terrain à un rythme étonnamment lent.
Le consensus en matière de gestion des identités et des accès soutient solidement l’idée selon laquelle les mots de passe ne constituent pas le moyen le plus sûr de protéger les données. Ne cherchez pas plus loin que le rapport Verizon Data Investigations Breach Report de cette année pour en avoir la preuve. L’étude a révélé que 32 % des près de 42 000 incidents de sécurité impliquaient du phishing et 29 % des informations d’identification volées.
De plus, il existe de nombreux cas où les utilisateurs sont avertis de modifier leur mot de passe en raison d’une exposition à un incident de sécurité. Ces résultats soulignent la nécessité de méthodes d’authentification qui ne reposent pas sur des mots de passe.
Deux mots à la mode utilisés pour le concept d’élimination des mots de passe sont l’authentification sans mot de passe et l’authentification sans mot de passe. Ces deux termes, bien que similaires, ne sont pas la même chose. Ils suggèrent cependant tous deux d’accéder au contenu numérique sans saisir de mot de passe. La principale différence réside dans la technologie invoquée pour éliminer l’utilisation de mots de passe.
Plus que la simple amélioration de l’expérience utilisateur, plusieurs exigences organisationnelles conduisent à la transition vers l’élimination des mots de passe, selon Mesh Bolutiwi, directeur du Cyber GRC (gouvernance, risque et conformité) chez CyberCX.
« Celles-ci incluent un fort accent sur la réduction des violations de données, l’amélioration de la sécurité globale et la réduction des coûts de support à long terme liés à la gestion des mots de passe », a-t-il déclaré à TechNewsWorld.
La sécurité est plus essentielle que la commodité
Les solutions sans mot de passe améliorent également l’authentification des utilisateurs et l’évolutivité pour les entreprises en offrant un moyen plus efficace de répondre aux exigences réglementaires et de conformité applicables.
Il a ajouté que la croissance rapide et la sophistication des appareils informatiques mobiles ont également joué un rôle important dans la suppression des mots de passe. Les méthodes d’authentification traditionnelles sont souvent insuffisantes sur ces appareils.
Ironiquement, ce facteur incite à une utilisation accrue des appareils mobiles pour faciliter l’authentification sans mot de passe. Alors que les entreprises deviennent de plus en plus vulnérables aux attaques basées sur les mots de passe, seules quelques-unes disposent des moyens de s’en défendre.
Les mots de passe sont très vulnérables aux cyberattaques qui sont trompeusement subtiles et prennent diverses formes. L’utilisation de l’authentification sans mot de passe minimise ce risque.
Les grandes technologies proposent des solutions sans mot de passe
Google et Microsoft ouvrent la voie à des alternatives aux mots de passe.
Google a lancé une version bêta ouverte pour les mots de passe sur les comptes Workspace en juin. Il permet aux organisations d’autoriser leurs utilisateurs à se connecter à un compte Google Workspace ou Google Cloud à l’aide d’un mot de passe au lieu de leurs mots de passe habituels.
Les clés d’accès sont des informations d’identification numériques liées aux comptes d’utilisateurs, aux sites Web ou aux applications. Les utilisateurs peuvent s’authentifier sans saisir de nom d’utilisateur ou de mot de passe ni fournir de facteur d’authentification supplémentaire.
La technologie Authenticator de Microsoft permet aux utilisateurs de se connecter à n’importe quel compte Azure Active Directory sans mot de passe. Il utilise l’authentification par clé pour activer un identifiant utilisateur lié à un appareil. L’appareil utilise un code PIN ou biométrique. Windows Hello Entreprise utilise une technologie similaire.
Mieux mais pas parfait
L’authentification sans mot de passe n’est pas à l’abri des logiciels malveillants, de l’homme dans le navigateur et d’autres attaques. Les pirates peuvent installer des logiciels malveillants spécialement conçus pour intercepter les codes d’accès à usage unique (OTP), par exemple, en utilisant des solutions de contournement.
« Même si l’authentification sans mot de passe offre une solution d’authentification robuste, elle n’est pas totalement insensible aux attaques. Les risques dépendent souvent de la méthode utilisée, qu’il s’agisse de biométrie ou de jetons matériels », a déclaré Bolutiwi.
Il évite efficacement les pièges du vol d’informations d’identification. Néanmoins, cela n’est pas sans risques, tels que le vol potentiel de périphériques matériels, de jetons ou l’usurpation d’identité de données biométriques, a-t-il ajouté.
Néanmoins, l’authentification sans mot de passe crée un revers important pour les mauvais acteurs. Selon les experts en cybersécurité, cela rend le piratage des systèmes plus difficile que les mots de passe traditionnels et est moins sujet à la plupart des cyberattaques.
Entrée sans fenêtre rassurante
Les véritables méthodes d’authentification sans mot de passe n’ont pas de champ de saisie pour saisir les mots de passe. Au lieu de cela, cela nécessite une autre forme d’authentification, telle que la biométrie ou des appareils secondaires, pour valider l’identité des utilisateurs.
Cette solution transmet un certificat pour permettre la vérification, augmentant ainsi la sécurité en éliminant les attaques de phishing et les informations d’identification volées.
D’autres méthodes d’authentification alternatives pourraient éventuellement devenir plus populaires. Ceux-ci incluent des liens de courrier électronique, des mots de passe à usage unique envoyés par courrier électronique ou SMS, la reconnaissance faciale et la numérisation d’empreintes digitales.
« Les solutions sans mot de passe introduisent cependant une approche transformatrice en éliminant complètement le concept de mot de passe, faisant passer la responsabilité des utilisateurs gérant des informations d’identification complexes à des méthodes d’authentification plus intuitives et transparentes, offrant ainsi un paradigme plus sécurisé », a proposé Bolutiwi.
Questions et réponses explorant les avantages et les inconvénients de l’absence de mot de passe
TechNewsWorld a demandé à Mesh Bolutiwi de discuter de ses points de vue les plus urgents sur l’évolution vers un avenir sans mot de passe.
TechNewsWorld : Que pensez-vous de l’amélioration globale de la sécurité offerte par les stratégies de remplacement de mots de passe ?
Bolutiwi en maille : Le sans mot de passe représente toujours une amélioration de la sécurité par rapport aux mots de passe conventionnels.
Il est essentiel de reconnaître qu’aucun système d’authentification n’est totalement à l’abri des attaques.
Alors que les méthodes sans mot de passe deviennent de plus en plus répandues, ce n’est qu’une question de temps avant que de nouvelles techniques d’attaque n’apparaissent, ciblant des points faibles potentiels ou tentant de voler des données biométriques.
De plus, la tendance croissante à utiliser des appareils personnels pour l’authentification sans mot de passe amplifie le risque, car la compromission de l’appareil mobile d’un individu échappe au contrôle de l’organisation, ce qui rend l’atténuation difficile.
Faire campagne auprès des utilisateurs pour qu’ils définissent des mots de passe plus rigoureux contribuerait-il à résoudre le problème et à réduire le besoin de connexions sans mot de passe ?
Bolutiwi : Tout simplement non. Même si promouvoir l’adoption de mots de passe complexes peut améliorer la sécurité, ce n’est pas une solution infaillible. Même avec les efforts visant à renforcer l’utilisation complexe des mots de passe, des problèmes tels que l’erreur humaine, la fatigue des mots de passe, les risques de phishing et les erreurs de gestion persistent.
S’agirait-il d’un processus différent pour les utilisateurs d’ordinateurs non professionnels ? Si oui, pourquoi?
Bolutiwi : La technologie de base resterait la même, mais la mise en œuvre pourrait différer. Les utilisateurs non professionnels peuvent avoir des besoins plus simples sans nécessiter d’intégration avec des applications d’entreprise à grande échelle.
Le taux d’adoption peut également être influencé par différents facteurs tels que la facilité d’utilisation plutôt que par un strict respect des règles de sécurité. Cette dernière préoccupation concernerait bien davantage les entreprises que les consommateurs.
Quel impact le changement des méthodes de connexion aura-t-il pour surmonter les vulnérabilités logicielles ?
Bolutiwi : La seule amélioration de la formation des utilisateurs et des politiques strictes en matière de mots de passe ne diminue pas les vulnérabilités associées à l’authentification par mot de passe.
Malgré leur nature complexe, les mots de passe complexes peuvent être réutilisés sur toutes les plateformes, oubliés ou écrits de manière non sécurisée et restent vulnérables à diverses attaques. Il peut s’agir de méthodes de bourrage d’informations d’identification, de phishing et d’attaque par force brute.
Comment fonctionnerait réellement un monde informatique sans mot de passe ?
Bolutiwi : Dans un monde sans mot de passe, les utilisateurs s’authentifieraient à l’aide de méthodes telles que la biométrie : empreintes digitales, reconnaissance faciale, scans de la rétine ou reconnaissance de formes vocales.
Ils pourraient également utiliser des jetons matériels tels que des clés de sécurité physiques ou des touches programmables, des authentificateurs basés sur un smartphone ou même des modèles comportementaux. Ils seraient identifiés et vérifiés sans entrer de secrets mémorisés en utilisant quelque chose qu’ils possèdent ou quelque chose qu’ils sont.
Ces appareils physiques génèrent et stockent des clés cryptographiques, garantissant que seule la personne autorisée disposant du bon jeton peut y accéder. Ceux-ci exploitent le même concept que les certificats numériques.
Dites-nous comment ce processus sans mot de passe fonctionne en coulisses.
Bolutiwi : Les utilisateurs tentant de se connecter à une ressource en ligne peuvent être invités à scanner leurs empreintes digitales via leurs appareils mobiles ou biométriques. En coulisses, la clé publique d’un utilisateur est partagée lors de son inscription à la ressource en ligne.
Cependant, l’accès à la clé privée, qui est stockée sur l’appareil de l’utilisateur, nécessiterait que ce dernier effectue une action biométrique pour déverrouiller la clé privée. La clé privée est ensuite mise en correspondance avec la clé publique et l’accès est accordé si les clés correspondent.
Que faut-il faire pour mettre en œuvre l’accès sans mot de passe pour les réseaux d’entreprise ?
Bolutiwi : Les organisations qui envisagent de passer à l’authentification sans mot de passe doivent prendre en compte une multitude de considérations. L’amélioration des infrastructures est primordiale. Les systèmes actuels nécessiteraient soit des mises à niveau, soit des remplacements pour s’adapter aux systèmes sans mot de passe.
L’intégration est cruciale au cours de cette phase, garantissant une compatibilité transparente entre les solutions sans mot de passe et les systèmes et applications existants, associée à des tests rigoureux. De plus, les organisations doivent évaluer les défis liés à la prise en charge et à l’intégration des systèmes existants, qui pourraient être incompatibles avec les normes d’authentification sans mot de passe.
Les organisations doivent également évaluer leur paysage technologique existant pour vérifier leur compatibilité avec les systèmes sans mot de passe potentiels, prendre en compte les coûts associés aux nouvelles installations, modifications ou mises à niveau du système, et évaluer leur niveau d’adoption du cloud.
Quel rôle l’élément humain pourrait-il jouer une fois le matériel mis en place ?
Bolutiwi : L’élément humain ne peut être négligé. La formation des utilisateurs est essentielle, car elle aborde à la fois l’importance et le fonctionnement des nouveaux outils d’authentification.
En outre, les organisations doivent être conscientes de la résistance potentielle des utilisateurs, en particulier lorsque les méthodes sans mot de passe reposent sur des appareils personnels, en raison d’un manque de compréhension ou d’une réticence à l’égard de cette nouvelle approche.
Quel serait l’impact de plusieurs facteurs d’authentification dans la transition vers un environnement informatique sans mot de passe ?
Bolutiwi : La combinaison de l’authentification multifacteur (MFA) avec des systèmes sans mot de passe crée un processus d’authentification fortifié, élevant considérablement le niveau de sécurité.
Même sans saisir de mot de passe, fusionner quelque chose qu’un utilisateur possède, comme un téléphone ou un jeton, avec un attribut inhérent tel qu’une fonctionnalité biométrique présente de formidables défis pour les pirates qui tentent de reproduire les deux.
L’intégration de la MFA avec des techniques sans mot de passe réduit les risques associés à un point de vulnérabilité unique. En fin de compte, cela améliore la protection des systèmes et des données et facilite une transition plus fluide vers un avenir sans mot de passe.
Quel est l’avantage de l’authentification multifacteur par rapport au recours uniquement à la biométrie ou au cryptage ?
Bolutiwi : La biométrie seule peut potentiellement être imitée et les clés cryptographiques déchiffrées. Ainsi, l’introduction de plusieurs couches d’authentification diminue considérablement les chances de réussite des failles de sécurité.
Cette stratégie à multiples facettes fait écho au modèle de sécurité Zero Trust, qui met l’accent sur une évaluation continue des accès basée sur une multitude de facteurs plutôt que sur une dépendance solitaire aux mots de passe.
Quels sont les principaux obstacles à l’adoption d’un système sans mot de passe ?
Bolutiwi : La compatibilité avec les systèmes existants, la résistance des utilisateurs au changement et les contraintes financières sont les principaux obstacles à la transition vers l’authentification sans mot de passe.
De plus, l’aspect monétaire de cette transition lié au matériel pourrait mettre à rude épreuve le budget d’une organisation. En outre, remédier à l’inconscience ou à l’hésitation potentielle des utilisateurs lorsqu’ils utilisent leurs appareils personnels pour l’authentification pourrait constituer un obstacle à l’adoption.