Annoncée depuis de nombreuses années, la fin des mots de passe semble aujourd'hui se dessiner de plus en plus précisément. Début mai, Google, Apple et Microsoft ont en effet affirmé leur intention d'étendre l'intégration d'une norme pour accélérer la mise à disposition des connexions sans mot de passe.
Des mots de passe omniprésents
Le mot de passe numérique a été inventé par Fernando Corbató au début des années 60, dans le cadre d'un projet de recherche mené au Massachusetts Institute of Technology. Au fil des ans, il est devenu omniprésent. Actuellement, en entreprise, les collaborateurs saisissent en moyenne leurs mots de passe 12 fois par jour. En cas d'oubli, ces sésames peuvent occasionner une perte de temps et un coût non négligeable pour les organisations. Selon une étude commandée par Ping Identity et Yubico, 33 % des tickets du service informatique sont liés aux mots de passe. C'est pour cette raison que la principale préoccupation des responsables informatiques concerne les coûts d'assistance qui leur sont associés.
Par ailleurs, les mots de passe peuvent nuire à l'expérience client. Comme le souligne Laurent Szpirglas, Country Manager France chez Ping Identity, « ils ajoutent des frictions et des frustrations lors du parcours du client. Une expérience de connexion médiocre ou une politique de mot de passe trop compliquée peut conduire à une inscription ratée, un achat abandonné ou un client perdu ».
Toutefois, la principale difficulté que peuvent engendrer les mots de passe concerne la sécurité. Selon Apple, « l'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web ». Bon nombre d'utilisateurs font fi des recommandations et utilisent des mots de passe simples ou similaires. En 2021, NordPass a révélé par exemple que « 123456 » était le mot de passe le plus utilisé dans le monde, devant « 123456789 », « 12345 », « qwerty » ou encore « password ». Tous sont déchiffrables en moins d'une seconde.
Les entreprises ne sont évidemment pas épargnées par ces problèmes de cybersécurité. Selon Ping Identity et Yubico, les services informatiques connaissent une augmentation importante des incidents liés aux mots de passe. Là encore, le manque de complexité est souvent en cause. Par exemple, la cyberattaque Solarwinds qui a touché de nombreuses entreprises et administrations aux États-Unis aurait été causée par un mot de passe trop simple, dévoilé par un stagiaire : « solarwinds123 ».
Comment allier croissance de l'entreprise et respect de la vie privée ?
Maximisez vos performances marketing en regagnant la confiance de vos clients.
- Données zero-party
- Confiance client
- Gestion des données personnelles
- Outils à utiliser
Télécharger
Tous les champs sont obligatoires.
Merci d'avoir soumis le formulaire
Cliquez sur le lien pour accéder au contenu en tout temps
Quelles sont les alternatives aux mots de passe ?
Pour faire face aux difficultés que peuvent présenter les mots de passe, des solutions visant à simplifier et sécuriser leur utilisation ont évidemment été imaginées. C'est ainsi que des contraintes ont été imposées (utilisation d'un nombre de caractères minimum, de lettres majuscules et minuscules, de chiffres mais aussi de caractères spéciaux) et que des gestionnaires de mots de passe, permettant de stocker et chiffrer les données des internautes, ont vu le jour. Toutefois, en 2018, ces derniers n'étaient que 8 % à utiliser un tel outil.
L'authentification multifacteurs
Dans cette logique visant à assurer la sécurité de vos données, la double authentification, aussi appelée authentification multifacteurs ou MFA, s'est développée. Le mot de passe n'est alors plus utilisé seul : il est complété par un autre système d'authentification, généralement un code unique et éphémère généré par le téléphone. La sécurité s'en trouve indéniablement renforcée, l'identification reposant sur le savoir d'un utilisateur mais aussi sur un objet qu'il possède. Toutefois, l'authentification multifacteurs ne dispense pas de gérer un nombre toujours plus important de mots de passe et elle n'est pas infaillible. En effet, Microsoft a récemment révélé que des pirates ont réussi à contourner son mécanisme de double authentification et tenté de cibler plus de 10 000 entreprises.
L'authentification unique
Afin de limiter le nombre de mots de passe à protéger, le système d'authentification unique (Single Sign-On ou SSO) a été créé. L'objectif ? Permettre, grâce à une seule authentification, un accès à plusieurs applications. Selon Evidian, spécialiste de la gestion des identités et des accès, il existe trois raisons pour une entreprise, d'investir dans un système d'authentification unique :
- Augmenter la sécurité et obéir aux contraintes règlementaires.
- Réduire les coûts de fonctionnement de l'informatique.
- Ouvrir sans risque l'informatique au monde extérieur.
Toutefois, toutes les solutions SaaS ne sont pas compatibles avec l'authentification unique. Par ailleurs, certains pointent du doigt la menace que ce système peut représenter. En effet, il suffit d'un identifiant et d'un mot de passe pour avoir accès à une pléthore d'applications. Il est donc indispensable que l'authentification initiale soit forte.
La biométrie
Auparavant réservée à certains secteurs d'activité, la biométrie concerne désormais le grand public. L'empreinte digitale mais aussi la reconnaissance faciale et de l'iris sont ainsi régulièrement utilisées pour permettre une authentification plus sécurisée. Dans un article paru en 2021, Thales évoquait une technologie qui « s'est rapidement distinguée comme la plus pertinente pour identifier et authentifier les personnes de manière fiable et rapide, en fonction de caractéristiques biologiques uniques ».
De manière générale, il semble que les entreprises n'ont jamais véritablement cessé de chercher des alternatives innovantes aux mots de passe. Ainsi, il y a plusieurs années, Microsoft s'est rapproché du fabricant de dispositifs biométriques Token afin de permettre à ses utilisateurs de se connecter à Windows 10 à l'aide d'un anneau biométrique. En 2018, c'est Google qui a lancé une clé de sécurité baptisée « Titan Security Key ». Si le dispositif existait déjà, c'était alors la première fois qu'un acteur majeur du secteur des nouvelles technologies le proposait à la vente. Intégrant un micrologiciel et « agissant comme un second verrou en plus de votre mot de passe, les clés de sécurité Titan aident à prévenir les tentatives d'hameçonnage et à empêcher quiconque d'accéder à vos comptes en ligne (dont Gmail) sans autorisation », avance le leader mondial des moteurs de recherche.
L'intérêt pour ces technologies est aujourd'hui bien réel. Selon l'étude commandée par Ping Identity et Yubico, tous les responsables informatiques considèrent que l'authentification sans mot de passe a des avantages. Plus de la moitié d'entre eux évoque une réduction des coûts ainsi qu'une amélioration de la sécurité et ils sont quasiment aussi nombreux à mentionner une réduction du besoin d'assistance. Par ailleurs, ils reconnaissent majoritairement que l'authentification sans mot de passe pourrait améliorer l'expérience collaborateur et l'expérience client. Mais qu'est-ce qui empêche donc l'adoption de ces technologies ? Selon les professionnels sondés, le manque d'urgence de la part des responsables informatiques ou commerciaux est la première cause. Viennent ensuite les limites technologiques des applications ainsi que le manque d'expertise.
Vers un monde sans mot de passe
Depuis plusieurs années, de nombreux acteurs du numérique annoncent la fin des mots de passe. En 2004, Bill Gates déclarait déjà : « il ne fait aucun doute qu'avec le temps les gens se reposeront de moins en moins sur les mots de passe ». En 2011, IBM annonçait que d'ici 5 ans, « vous n'aurez plus jamais besoin d'utiliser un mot de passe ». En 2015, le journal Le Monde titrait « le mot de passe, espèce en voie de disparition ». Si le précieux sésame est encore largement utilisé aujourd'hui, force est de constater qu'un monde sans mot de passe se dessine de plus en plus précisément. En effet, l'alliance FIDO, fondée en 2012 et dont la mission est de « changer la nature de l'authentification en ligne », a publié un livre blanc en mars 2022. Elle y explique avoir découvert comment stocker des clés cryptographiques synchronisées entre les appareils des utilisateurs, autrement dit comment résoudre les problèmes qui empêchaient les fonctionnalités sans mot de passe d'être adoptées par le grand public. « La technologie d'authentification sécurisée basée sur FIDO pourra pour la première fois remplacer les mots de passe en tant que forme dominante d'authentification sur Internet » a déclaré l'alliance.
Apple a illustré ce qu'elle décrit dans son livre blanc en présentant les Passkeys lors de sa Worldwide Developers Conference (WWDC). Cette nouvelle technologie repose sur la création de clés numériques à l'aide de « Touch ID » ou « Face ID ». Chiffrées de bout en bout et pouvant être utilisées à la place du mot de passe pour créer un compte sur tout type de site web ou d'application, ces clés sont synchronisées à l'aide d'iCloud Keychain entre les appareils.
Outre cette annonce, Google et Microsoft se sont engagés aux côtés d'Apple début mai à « étendre l'intégration de la norme FIDO pour accélérer la mise à disposition des connexions sans mot de passe ». L'objectif ? « Permettre aux sites web et aux apps de proposer des procédures de connexion sans mot de passe uniformisées, sécurisées et simples sur divers appareils et plateformes », et ce, dès 2023. « Cette étape cruciale témoigne du travail collaboratif effectué dans l'ensemble du secteur pour accroître la protection et faire disparaître l'authentification par mot de passe désormais obsolète », a déclaré Mark Risher, le directeur principal de la gestion des produits chez Google.
En attendant de voir la place que réserve le futur aux mots de passe, il semble nécessaire de rappeler quelques règles élémentaires pour préserver la confidentialité de ses données. Tout d'abord, il est important d'utiliser des mots de passe différents pour chacun de ses comptes en ligne sensibles. Le ministère de l'Économie, des Finances et de la Souveraineté Industrielle et Numérique recommande d'utiliser un mot d'au moins 12 caractères, anonyme – c'est-à-dire ne comportant pas d'éléments personnels – et comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Par ailleurs, il conseille d'accepter la double authentification lorsque celle-ci est proposée et, enfin, de renouveler ses mots de passe tous les trois mois.
Pour aller plus loin, téléchargez ce guide gratuit sur la confidentialité et découvrez comment allier croissance de l'entreprise et respect de la vie privée.