Le mot de passe : bientôt la fin ou une nouvelle étape d'ajustement ?

Aujourd’hui, 7 Mai 2020, c'est la Journée mondiale du mot de passe (ou World Password Day), une journée de réflexion sur la vulnérabilité qu’un mauvais mot de passe peut vous laisser. Comme de plus en plus de processus et d’outils que nous utilisons dans notre vie quotidienne passent au monde en ligne, le nombre de mots de passe que nous devons créer et mémoriser augmente. La création de mots de passe pour chaque compte en ligne que vous ouvrez peut sembler épuisante, mais les conséquences d’opter pour des mots de passe faciles à deviner ou qui sont réutilisés sur plusieurs comptes peuvent être désastreuses. Comme les atteintes à la protection des données et les vols massifs de données personnelles sont de plus en plus fréquents, il est plus que jamais essentiel de bien connaître les mots de passe pour éviter que vos données personnelles ne soient compromises.

Pour gagner du temps pendant le processus de connexion et réduire la difficulté de devoir rappeler plusieurs ensembles d'informations d'identification de connexion, les individus ont succombé à la faute de recycler les mots de passe sur leurs comptes. Bien que cela puisse être une pratique de gain de temps, ils s'ouvrent à un risque monumental : la triste vérité est que les cybercriminels ayant accès à l'ensemble des informations d'identification violées d'un utilisateur peuvent utiliser aussi ces mots de passe afin d'obtenir un accès non autorisé aux comptes avec des données beaucoup plus sensibles.

On note ici donc une grande contrainte à l'utilisation du mot de passe. Face à cela, de nombreuses alternatives ont vu le jour. On a en premier l'authentification biométrique. C'est la mesure biologique ou des caractéristiques physiques qui peuvent être utilisées pour identifier les individus. Le mappage des empreintes digitales, la reconnaissance faciale et les empreintes rétiniennes sont ses formes les plus connues. Elle offre des avantages certains comme la vitesse et la précision, une utilisation simple et ergonomique. Des systèmes comme Face ID et Windows Hello ont fait leurs preuves.

En second, vient le Web Authentication plus connu sous le nom de WebAuthn : un moyen de faciliter l’authentification de l’utilisateur tout en répondant aux problématiques de sécurité en ligne. WebAuthn, lors de l’enregistrement de l’utilisateur, associe le compte utilisateur à une clé publique. Pour s’authentifier, il suffit alors de résoudre un challenge de l’application : signer un message avec la clé privée. L’authentificateur peut être tout élément permettant de stocker une clé privée, ou de déchiffrer une clé privée stockée à un autre endroit, de manière chiffrée : clés FIDO, smartphone, etc. Elle met à disposition de tous les sites web et répond aux exigences d’aujourd’hui : délivrer une sécurité renforcée, tout en facilitant le quotidien de l’utilisateur grâce à l’éviction du mot de passe.

 

Alors, dirons-nous bientôt au revoir aux mots de passe ? Non.

 

Certes, la spécification Web Authn sera de plus en plus utilisée. Mais elle est propre au web. Comment procéder si on veut tout simplement accéder à son laptop ? Les systèmes biométriques ont montré des limites : empreintes récupérées sur des objets et utilisées ensuite pour compromission d'informations, une trop grande ressemblance avec un membre de votre famille met à mal votre accès unique à vos données...

Pour ces raisons, malgré toutes les évolutions technologiques et en dépits des défauts qu’ils peuvent comporter, les mots de passe ne disparaitront pas de si tôt, principalement parce que tout le monde comprend facilement comment cela fonctionne. Tout le monde sait utiliser les mots de passe. Les créateurs des nouveaux systèmes d'authentification l'ont compris puisque leurs systèmes sont toujours accompagnés d'un mot de passe que l'utilisateur définit en plus. On observe d'ailleurs la mise en place de système appelés «Risk based authentication» qui permettent d’adapter la force de l’authentification demandée en fonction de la sensibilité de ce qui est accédé.

Vous devrez toujours maintenir la sensibilisation et faire évoluer les moyens techniques autour des mots de passe. Pour cela, il y a des mesures à prendre : privilégier des mots de passe long, ne pas bloquer la fonction « copie » du mot de passe, interdire le choix de mots de passe sur des dictionnaires et des règles plutôt que sur des règles de composition, parmi plein d’autres.

Vous pouvez également tester si vos mots de passe se sont retrouvés dans la nature en utilisant les outils du site web have i been pownd ou le plus récent Firefox Monitor. Et si tel est le cas, n’oubliez pas de changer vos mots de passe bien sûr !

Lieben AHOUANSOU,
Analyste en Sécurité Informatique