Le mot de passe est mort, vive l’authentification sans mot de passe. Peut-être pas tout de suite mais pour améliorer votre cybersécurité, il vous faudra trouver des modalités d’authentification alternatives. Et il en existe diverses, avec leurs avantages et leurs inconvénients. Au fur et à mesure que ces technologies gagnent en maturité, il s’agit pour vous de les déployer progressivement dans vos applications. On vous en parle sur ce blog.
L’authentification sans mot de passe, la solution à tous vos problèmes ?
Il existe de nombreuses méthodes pour sécuriser l’accès à une application informatique interne ou à un compte utilisateur en ligne. Le mot de passe reste à ce jour la référence, ce qui est le plus communément utilisé.
Et pourtant, depuis les années 2010 notamment, cette approche ne cesse d’être critiquée :
- pour son impact négatif sur l’expérience utilisateur. Bien des internautes abandonnent en cours de route la création d’un compte utilisateur, découragés par la complexité de la politique de sécurité appliquée aux mots de passe.
- Pour les contraintes de gestion et de stockage qu’elle fait peser sur les équipes techniques. Sans parler des efforts nécessaires pour former les équipes en interne et les faire adhérer aux protocoles de sécurité à respecter.
Le gros des critiques se concentre sur la cybersécurité.
- Un mot de passe est considéré comme sécurisé s’il respecte des caractéristiques que la CNIL a identifié dans une recommandation. Elle en contrôle d’ailleurs régulièrement le respect, notamment sur les sites web. Or, paradoxalement, trop de complexité nuit à la sécurité. Elle amène les utilisateurs à multiplier les comportements dangereux. Laisser un post-it sur son bureau avec une liste de mots de passe, par exemple.
- Globalement, personne ne comprend l’utilité d’un mot de passe complexe. Pas étonnant qu’une fois de plus, les pires mots de passe (123456, password…) soient aussi les plus utilisés, selon le rapport publié par Nordpass ;
- Ces dernières années, de très nombreuses attaques informatiques ont entraîné le vol de mots de passe. D’autant plus profitable que nous sommes nombreux à utiliser le même mot de passe pour sécuriser plusieurs comptes en ligne…
L’heure est donc à rechercher des alternatives valables, tant pour améliorer l’ergonomie et l’expérience utilisateur que la sécurité informatique.
En 2020, un rapport du World Economic Forum, rédigé avec l’Alliance FIDO, pointe à ce sujet l’authentification sans mot de passe comme « la prochaine avancée majeure en matière de transformation numérique ».
Qu’est-ce que l’authentification sans mot de passe ?
On demande à l’utilisateur (un client, un salarié) de s’authentifier pour accéder à son compte utilisateur ou à tel outil informatique interne. Jusqu’ici, concrètement, il devait saisir un identifiant et un mot de passe.
Il existe de nombreuses méthodes alternatives qui vont s’appuyer sur l’utilisation de clés de sécurité ou sur une reconnaissance biométrique du terminal. Par exemple, l’utilisateur peut :
- renseigner son adresse e-mail ou son SMS, recevoir un lien d’accès via lequel il sera authentifié sans fournir d’informations complémentaires ;
- recevoir un code à usage unique qu’il saisira sur un champ dédié à cet effet lors de son parcours d’authentification ;
- utiliser une carte d’accès. Il s’authentifie en insérant cette carte dans un lecteur dédié et moyennant la saisie d’un code Pin ;
- recourir à un dispositif biométrique. Il sera alors reconnu par son empreinte digitale, celle de son réseau de veines ou la reconnaissance faciale.
Toutes ces méthodes présentent de réels avantages mais aussi des inconvénients non négligeables. Les méthodes d’envoi d’éléments par e-mail ou SMS sont vulnérables face aux attaques de phishing. L’utilisation d’une carte d’accès est complexe et coûteuse, elle est difficile à généraliser.
Comment mettre en place un mécanisme d’authentification sans mot de passe ?
Il serait illusoire de penser que vous allez pouvoir basculer votre entreprise ou votre collectivité territoriale dans une démarche d’authentification sans mot de passe.
- Parce que les technologies utilisées doivent encore pour certaines d’entre elles faire leurs preuves, tant en matière de sécurité informatique que pour l’amélioration du parcours utilisateur ;
- Parce que le mot de passe est profondément ancré dans les habitudes de votre entreprise. Déshabituer tout le monde nécessitera un processus long et patient.
Votre objectif cible sera par conséquent plutôt de commencer à mettre en place de manière ponctuelle des méthodes d’authentification sans mot de passe. Et donc de l’imposer pour certaines solutions tierces, fournies par des sous-traitants.
En ce qui concerne l’existant, l’important est de s’assurer du niveau de sécurité des pratiques en place et de les améliorer, dans la mesure du possible :
- En vous assurant que la politique de mots de passe respecte les exigences de la CNIL ;
- En installant des solutions de type SSO (Single Sign-On) afin que les collaborateurs de l’entreprise utilisent les mêmes identifiants et mots de passe pour s’authentifier aux diverses applications qu’ils utilisent.
- En prévoyant lorsque possible une authentification à deux facteurs. La saisie d’un mot de passe s’accompagnera d’une action à partir d’un autre terminal (recevoir un code par SMS et le saisir par exemple).
L’authentification sans mot de passe est une tendance lourde portée par les grandes entreprises américaines. Après le rachat de Duo Security en 2018 pour intégrer l’authentification multi-facteurs à ses outils de sécurité, Cisco a ainsi annoncé intégrer une fonctionnalité d’authentification sans mot de passe dans Duo. Microsoft également a annoncé travailler à abandonner le mot de passe en 2021. Et il y a bien d’autres exemples.
Conclusion : Et si vous vous intéressiez à l’authentification sans mot de passe ?
Si abandonner les mots de passe est vite apparu comme une nécessité, c’est souvent resté un vœu pieux dans les entreprises.
Cela pourrait progressivement changer, notamment grâce à l’émergence de standards ouverts et grâce aux investissements des grands acteurs.
Pour votre entreprise, c’est une manière d’améliorer la sécurité informatique et notamment l’accès aux applications internes, l’authentification des clients et des utilisateurs en ligne. L’abandon du mot de passe a aussi un vrai intérêt pour améliorer les parcours utilisateurs. En interne, cela facilitera le quotidien des salariés utilisant les applications métiers.
Alors ? Etes-vous prêt à vous lancer ?
Article rédigé par Maxime Jaillet