Bientôt la fin des mots de passe ?

20 mars 2022 à 17h55
40
mot de passe

Un monde sans mot de passe , ce n'est plus de l'utopie, mais une réalité qui pourrait bien devenir, d'ici quelques années, la norme en matière de protection et d'identification.

Dans notre rubrique cybersécurité nous vous parlons régulièrement, sur Clubic, des fameux mots de passe, de plus en plus difficiles à retenir aujourd'hui, avec un nombre de services croissant et une complexité du password nécessaire pour en renforcer la sécurité. Il existe bien certaines solutions de facilité qui s'avèrent ô combien pratiques, comme les désormais célèbres gestionnaires de mots de passe , mais ces dernières ont elles-mêmes leurs limites. Plusieurs alternatives sont doucement en train d'émerger (notamment auprès des entreprises) pour progressivement aboutir à un monde sans mot de passe.

Le mot de passe, encore roi, mais pour combien de temps ?

Jack Poller, analyste senior fort de 25 ans d'expérience dans l'IT, a publié au nom de l'entreprise de conseil Enterprise Strategy Group (ESG), un document dans lequel il émet l'hypothèse d'une fin des mots de passe, avec quelques chiffres à l'appui. De notre côté, nous avons aussi identifié des solutions – déjà adoptées – qui donnent du crédit à sa thèse.

Il est évident qu'en 2022, le mot de passe souffre de brèches difficiles à combler. Les mots de passe faibles sont une porte ouverte aux hackers, les plus compliqués sont parfois bien trop délicats à retenir. Et face à la professionnalisation et à la sophistication des pirates et des attaques, les mots de passe ne deviennent tout simplement… plus assez sécurisés. C'est ainsi que 17 % des entreprises avouent avoir déjà commencé à progressivement éliminer le password. 37 % testeraient actuellement des solutions alternatives à cet élément d'identification.

Pour les organisations qui ont déjà franchi le pas, le monde sans mot de passe semble aboutir à un vrai rapport gagnant-gagnant : 63 % d'entre elles estiment que l'absence de mot de passe a « considérablement amélioré la sécurité et l'efficacité informatique ». Et 57 % ajoutent que « l'absence de mot de passe a considérablement réduit les frictions, améliorant ainsi l'expérience utilisateur ». 56 % des entreprises font part d'une réduction significative du risque organisationnel. Pour obtenir ces résultats, le cabinet ESG a interrogé 488 professionnels de l'informatique et de la cybersécurité.

Le SSO et le MFA (ou AMF), alternatives crédibles ?

Alors sans mot de passe, comment assure-t-on une identification fiable et sécurisée ? La première des solutions, c'est celle du SSO, le Single Sign-On ou authentification unique. Ce système, idéal dans le cadre du travail hybride, permet aux utilisateurs ou employés d'une entreprise d'accéder à toute une série d'outils ou d'applications grâce à un seul jeu d'identifiants de connexion, c'est-à-dire qu'il évite de procéder à de multiples authentifications, en se connectant une seule fois, pour de nombreuses applications.

Si le SSO offre un gain de temps, simplifie à l'extrême le processus d'ouverture d'une session et d'utilisation des applications, limite aussi les risques liés à la sécurité (comme le hameçonnage), il existe encore des inconvénients à utiliser cette solution. D'abord, toutes les applications SaaS (de type Gmail , Outlook et autres, hébergées dans le Cloud) ne sont pas forcément compatibles avec le système SSO. Mais surtout, il y a le cas extrême où un utilisateur, non autorisé, obtient l'accès au SSO : alors, l'individu malveillant n'a pas accès à une application mais à toutes celles connectées via l'identifiant unique. Il y a du bon et du moins bon donc.

L'autre solution qui émerge comme complément mais aussi maintenant comme recours à un mot de passe qui viendrait à disparaître, c'est le MFA (ou AMF), ou authentification multifacteur. Celui-ci permet à l'utilisateur de s'identifier en validant au moins deux éléments de preuve. On y retrouve des avantages comme l'amélioration de la sécurité (on protège l'utilisateur d'une attaque par force brute ou d'une attaque basée sur l'ingénierie sociale), et la protection d'informations sensibles. Si, à première vue, l'AMF semble rendre la connexion au compte plus longue et plus difficile, elle permet aux entreprises d'utiliser des options encore plus avancées, comme le SSO dont nous parlions. Le SSO vérifie alors l'identité de l'utilisateur en passant par l'authentification multifactorielle, et après cette authentification, l'utilisateur se connecte à son programme SSO. Il peut ainsi accéder aux applications prises en charge par le logiciel SSO, sans avoir à se connecter aux applications de façon individuelle, le tout en se connectant à l'aide d'un mécanisme de haute sécurité.

L'authentification multifactorielle a le vent en poupe, puisqu'on estime son taux de croissance annuel à hauteur de 15 % chaque année. L'utilisation massive du Cloud et les enjeux nouveaux de sécurité informatique contribuent à renforcer son adoption. À terme, celle-ci contribuera à écarter progressivement le mot du passe du jeu de l'identification et de la gestion des accès.

Source : ESG

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
40
28
WhyPok
Un mot de passe au final n’est qu’une suite de chiffres binaires détenue que par un ou plusieurs propriétaire.<br /> Cela se traduit par des frappes au clavier, la photographie d’un oeil ou l’organisation d’un brin d’ADN.<br /> La fin du mot de passe serait la fin de la vie privée…
Mister_Georges
Ça correspond à quoi une authentification multifactorielle sans se servir d’un clavier?<br /> Une carte à puce biométrique plus un scan oculaire?<br /> Un implant Nfc sous cutané plus une reconnaissance vocale?<br /> C’est flou enfin en ce qui me concerne…
zoup01
Il faut suivre l’exemple intelligent de nos amis belges: pour se connecter à un service, la carte d’identité dans un lecteur …<br /> En France, nous avons 20 ans de retard.
WhyPok
Flou et pourtant tu es dans le juste à mon avis, c’est grossièrement plusieurs sources d’information servant à l’authentification et plus elles sont secrète plus elles seront difficiles à trouver.
WhyPok
Question de volonté d’anonymat entre soi et la plateforme qui traite l’information, mais en effet une API d’authentification gérée par le pouvoir public serait probablement viable
ovancantfort
On peut déjà se connecter aux sites Microsoft via une authentification multifactorielle sans mot de passe. Cela passe via leur app « Microsoft Authenticator ». Le site envoie une notification à approuver sur l’app et l’app s’ouvre avec FaceId. Cela fait bien deux facteurs:<br /> quelque chose que je possède : mon téléphone,<br /> quelque chose que je suis : mon visage.<br /> Pas besoin de clavier dans cette configuration.<br />
avandoorine
Je peux me tromper mais je ne vois nulle part dans l’article ce qui remplace le mot de passe.<br /> Le SSO ou le MFA requiert toujours de s’authentifier, du coup quel est le moyen d’authentification si ce n’est pas le mot de passe. Un SSO ne remplace pas les mots de passe, il permet simplement de n’avoir qu’une seule authentification.<br /> Et les MFA nécessite de combiner plusieurs moyen d’authentification password et SMS/application d’authentification/… Ce qui requiert de reconnaître l’utilisateur avant de procéder à la seconde étape de validation sans quoi on ne sait pas à quel numéro envoyer le SMS …
Mister_Georges
J’utilise ce mode d’authentification à deux facteurs couramment et par biométrie, mais si l’on me vole mon téléphone?
tfpsly
Ça correspond à quoi une authentification multifactorielle sans se servir d’un clavier?<br /> Code dans un SMS reçu sur tel, app sur le tél (comme Google Authentificator), clef token USB, carte avec une bande magnétique à scanner… MFA = prouver qu’en plus du mot de passe (ou de ce qui le remplace), on possède quelque chose de physique.
ovancantfort
La connexion par un lecteur de carte est même déjà dépassée en Belgique. Devoir posséder un lecteur de carte était un obstacle en soi. Le gouvernement a développé une application d’authentification en collaboration avec le secteur bancaire belge. La validation de l’identité sur l’application passe soit par lecteur de carte d’identité, soit par par ton pc banking, les banques ayant déjà l’obligation de collecter et vérifier les données d’identité. Ensuite, on peut se connecter sur un tas de sites (gouvernement, communes, mutuelles, banques, assurances, etc.) en validant une notification avec un code ou FaceId/TouchId ou équivalent.
ovancantfort
Les systèmes de récupération sont souvent le talon d’Achille de tous ces systèmes multifacteurs. Dans le cas de Microsoft, on retombe sur le mot de passe du compte Microsoft. Donc, si Kevin a mis 12345678 comme mot de passe sur son compte, cela ne sert évidemment à rien d’activer le passwordless
Mister_Georges
Oui c’est assez courant, mais en lisant l’article j’ai comme l’impression que le niveau de sécurité sera encore plus élevé.
3615Buck
Tu aurais pu donner le nom. <br /> « Itsme »
dimebag
Seulement la France ?<br /> On a 50 ans de retard dans l’estime de soi en France par contre des centaines d’années d’avance dans le pessimisme et la negativité
Mister_Georges
Je suis bien d’accord et il faut surtout brouiller les pistes en cas de tentative de récupération du mot de passe sur les questions du style « Quel est le prénom de votre premier animal de compagnie? »
Werehog
OK pour accéder aux impôts, mais qu’est-ce qui se passe le jour où le gouvernement impose la même identification pour les réseaux sociaux, pour laisser un commentaire en général, pour imposer la fin de l’anonymat en général ? On n’est pas passés loin plusieurs fois, il y a déjà eu des propositions par des députés. C’est un chemin dangereux.
zoup01
Oui, c’est dans ce sens que je vois ça…<br /> La carte d’identité pour ce qui est important et officiel ( impôts, banque , caisses maladie-retraite, EDF, eau, ants, etc….).<br /> Les réseaux sociaux, aucune importance…mon mot de passe sur clubic peut être piraté, cela ne va pas m’empêcher de dormir.
Francis7
C’est sûr que l’on va aller de plus en plus dans ce sens avec l’identification biométrique.<br /> Elle n’exclue pas non plus le mot de passe pour autant, pour l’instant.
Antonickel
Je suis entièrement d’accord avec @avandoorine !<br /> L’article annonce la « fin des mots de passe » et leur remplacement par le SSO et/ou le MFA !<br /> Euh …<br /> Le SSO et le MFA se basent sur quoi dans ce cas ?<br /> Par exemple, le SSO c’est le Single Sign-On ou authentification unique : cette authentification se fait comment ?<br /> MFA = authentification multi-facteurs : quelles seraient alors ces multiples facteurs d’authentification ?<br /> Ou alors, je n’ai rien compris à l’article, avec mon QI à 2 chiffres !!!
AlexLex14
Antonickel:<br /> L’article annonce la « fin des mots de passe »<br /> Non, l’article n’annonce rien. Il pose la question : « bientôt la fin des mots de passe ? »<br /> Donc on essaie d’y répondre, en disant oui, non et/ou comment.<br /> Tout simplement
louchi
Bah oui, le SSO est basé sur…un mot de passe…sauf qu’il est centralisé et donne accès à toute appli qui utilise ce SSO, donc…ça change rien au problème du mot de passe…<br /> Il faut bien entendu aussi du MFA.
cirdan
Un des marronniers les plus populaires d’internet…<br /> Pour ma part, je pense que les mots de passe ont encore de longues années de vie devant eux
clockover
Bref le mot de passe sera toujours là…<br /> Et clairement, très mauvaise idée de dépendre d’une authentification externe car on repose alors sur la disponibilité de celle-ci mais également ses failles…<br /> (je parle en tant qu’éditeur de logiciel médical)
Comcom1
En gros c’est demander à l’utilisateur une sorte de confirmation d’authentification, l’exemple le plus courant c’est de t’authentifier puis tu reçois un code de validation à entrer pour s’assurer que c’est bien toi, si un pirate tente de d’authentifier à ta place, tu vas recevoir un code dont tu n’auras pas fait la demande forcément ça devrait te mettre la puce à l’oreille.<br /> Tu as aussi les applications bancaires qui utilisent ce principe, tu payes sur internet et le système d’authentification te demande de te connecter sur ton application bancaire pour valider la transaction.<br /> En espérant t’avoir aidé
gaadek
ça peut-être très simple! Dans le cas d’Amazon par exemple, quand je me connecte depuis le VPN de mon entreprise (en Irlande), Amazon détecte une connexion « suspecte » et me demande de confirmer (via une notification sur mon portable) l’accès à mon compte.<br /> Idem dans mon entreprise, si je me connecte à mon réseau d’entreprise depuis mon PC perso (qui n’est pas un PC professionnel), je dois valider l’accès via Symantec VIP access depuis mon smartphone
Nymoi
Moi j’ai réussi à bricoler mon lecteur de glycémie à mon PC, quand j’ai plus de 300 à l’analyse du sucre dans le sang, je peux accéder, ce qui m’oblige à manger beaucoup de barres chocolatées, etc.
WhyPok
Tu t’es déjà fait pirater par un diabolo fraise ? xD
Polo1
Exactement en retard !
PHIL34300
Et la solution, sinon d’une carte personnelle dans un capteur supplémentaire, d’une clé de sécurite type UBIKEY comme en utilise google ? pourquoi cela ne se généralise pas ?
Than
Professionnellement, c’est ok.<br /> Personnellement, c’est pas ok. Encore le sujet de l’anonymat. J’ai pas envie d’utiliser ma CNI pour me connecter sur des sites d’intérêts personnels… sinon c’est la fête du slip sur le démarchage relou et les possibilités de se faire harceler et/ou pirater justement.
zoup01
c’est aussi ce que j’ai écrit un peu plus bas…
WhyPok
Pour nuancer mon premier commentaire, je dirais que oui il serait possible pour un utilisateur de ne pas avoir à entrer manuellement mot de passe pour s’authentifier à ses divers comptes.<br /> Pour cela il faut, constituer un fichier dont son contenu provient de plusieurs sources.<br /> Vérifier la véracité de ce fichier par plusieurs sources.<br /> Attribuer ou non un accès adéquat à l’individu si les réponses concordes.<br /> On va donc te demander une multitude de preuves de diverses natures à divers endroits qui seront vérifiées par plusieurs acteurs pour qu’enfin un accès te soit promulgué.<br /> Tu n’aura tapé aucun mot de passe pour un accès sécurisé à tes comptes <br /> Cela pourrait se faire de manière plus ou moins fluide et instrusive selon les méthodes et les techniques employées…
luck61
Tu as l’authentification avec le téléphone, microsoft de montre un nombre et tu cliques dessus pour valider la connexion MAIS si tu n’as pas ton téléphone ou si tu le perds on fait comment
liebogregor
Hâte que la folie des mots de passe finisse. En plus du nom d’utilisateur, du mot de passe et de la réponse à mes questions secrètes (que moi seul connaît!), les deux Revenu Quėbec et Canada exigent un code de vérification… fou braque!
Marc_Couture
Mieux encore, remplacer les mots de passe par un système d’authentification fédéré tel que SQRL (proposé par Steve Gibson)…
youhouhou
L’article commençait bien, mais il est inquiétant de constater ce méli-mélo-mélange entre identification et authentification dans un article qui se veut être professionnel…<br /> Ma phrase préférée : « …un seul jeu d’identifications de connexion, c’est-à-dire qu’il évite de procéder à de multiples authentifications… »
Cappu
Je pense que dans le futur lorsque le web3 sera bien implanté, on pourras se connecter sur tout les sites grâce à des wallets electronique type Metamask qui permettent de se connecter en 1clic de manière très sécurisée, la fin des mots de passes est proches en effet
Breizhoo
« Code dans un SMS reçu sur tel »…<br /> Cela implique donc de le saisir sur son PC… via son clavier.
tfpsly
Breizhoo:<br /> Cela implique donc de le saisir sur son PC… via son clavier.<br /> Non, ma banque, ma mutelle etc. connaissent déjà mon numéro de tél.<br /> Personne ne retape son numéro de tél à chaque login pour de la MFA, ce serait complètement con vu et ne prouverait pas que l’on possède le machin qui a été enregistré initialement.
Jordan83
Après il a aussi les Two-Authentificator, qui sécurise plus le compte, avec Google Authentification, via un SMS, des codes de sécurité, ou comme utilise Microsoft et Google, je crois une Clé USB Sécurité.
Voir tous les messages sur le forum

Lectures liées

Profitez de Netflix, Prime, à l'étranger grâce à ce VPN à prix réduit
Une visiteuse de Disney World se fait extorquer 40 000 dollars via son Apple Watch
Bon plan VPN : préservez votre anonymat en ligne avec ces 3 offres à prix fou !
Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Attention à ce malware qui se propage et menace votre navigateur
Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Haut de page