Un avenir sans mot de passe ?

Voyons comment Google, Microsoft et Apple travaillent ensemble pour éliminer les mots de passe.

Un avenir sans mot de passe ?

Cette année, la journée mondiale du mot de passe, qui a lieu en mai, a coïncidé avec une annonce faite par les trois géants de la tech. Google, Microsoft et Apple ont présenté une nouvelle technologie qui substituerait les mots de passe.

Cette norme est développée par l’Alliance FIDO et le World Wide Web Consortium (W3C) afin de définir à quoi va ressembler Internet et comment il va fonctionner. Il s’agit d’un effort réel pour abandonner les mots de passe en faveur des systèmes d’authentification des smartphones, ou c’est en tout cas ce que l’on pourrait croire en tant qu’utilisateur.

Il convient toutefois de souligner que la « fin des mots de passe » est un sujet récurrent depuis près d’une décennie. Les tentatives précédentes qui ont essayé de venir à bout de cette méthode d’authentification des utilisateurs désespérément peu fiable n’ont mené à rien. Les mots de passe sont toujours présents. Cet article aborde les avantages de la nouvelle norme FIDO/W3C. Mais commençons par analyser l’origine du problème : qu’est-ce qui ne va pas avec les mots de passe ?

Le problème avec les mots de passe

Le principal inconvénient des mots de passe est qu’ils sont assez faciles à voler. Au début d’Internet, lorsque presque toutes les communications entre les ordinateurs n’étaient pas chiffrées, les mots de passe étaient envoyés en texte clair. C’est devenu un vrai problème avec la prolifération des points d’accès au réseau public (cafés, bibliothèques et transport) : les cybercriminels pouvaient intercepter un mot de passe non chiffré sans que personne ne s’en rende compte.

Le problème des mots de passe volés a explosé au début des années 2010 après qu’une avalanche de profils très en vue ont été piratés sur d’importants services Internet, avec le vol de toutes les adresses e-mail et des mots de passe des utilisateurs. On peut dire, sans prendre trop de risques, que tous vos mots de passe d’il y a environ 10 ans sont sûrement disponibles quelque part sur un domaine public. Vous ne nous croyez pas ? Vérifiez-le avec notre service HaveIBeenPwned.

Vérifier un vieux mot de passe sur HaveIBeenPwned

HaveIBeenPwned vous permet de savoir si vos mots de passe ont été divulgués. Si un mot de passe a plus de 10 ans, il est fort probable que ce soit le cas.

Évidemment, de nos jours il est moins probable que les fuites de données contiennent des mots de passe en texte clair : de nombreux services Internet se sont rendu compte depuis longtemps que le stockage sans chiffrement d’informations sensibles sur les utilisateurs est synonyme de désastre. Le hachage des mots de passe est désormais la norme ; autrement dit, ils sont stockés en étant chiffrés.

Le problème est que si le mot de passe est simple, il peut être extrait d’une base de données chiffrée en lançant une attaque par force brute avec toutes les combinaisons possibles, ou grâce à une attaque par dictionnaire. C’est un jeu d’enfant de déchiffrer un mot de passe haché si l’original est  » secret  » ou  » 123123 « . C’est le second inconvénient des mots de passe : pour s’en souvenir, les gens utilisent des mots de passe très faibles qui peuvent facilement être extraits d’une base de données divulguée, même si elle est chiffrée.

Cette recherche de simplicité et de commodité nous amène directement au troisième problème : l’utilisation du même mot de passe pour plusieurs comptes et services. Ainsi, la fuite des données d’un vieux forum en ligne, même si vous ne vous en souvenez pas, peut entraîner la perte de votre adresse e-mail justement parce que vous avez utilisé le même mot de passe.

Un mot de passe et un petit plus

Ce problème n’est pas nouveau. D’ailleurs, la plupart des services n’utilisent plus un seul mot de passe mais une authentification à plusieurs facteurs. Lorsque vous vous connectez à des services sur Internet, aux réseaux sociaux, aux comptes bancaires ou autres, on vous demande généralement de saisir un code à usage unique après que vous avez entré vos identifiants. Ce message est envoyé par SMS, via l’application de la banque installée sur le smartphone ou via une application spécialement conçue pour une authentification à plusieurs facteurs, comme Google Authenticator. Les systèmes très complexes utilisent une clé électronique qui s’insère dans le port USB de l’ordinateur ou qui se connecte au smartphone par Bluetooth ou NFC.

Dans certains cas, vous n’avez pas besoin d’un mot de passe. Par exemple, lorsque vous vous connectez à un compte Microsoft vous recevez un code à usage unique par e-mail. L’application de messagerie Telegram utilise par défaut une authentification qui repose sur des codes à usage unique envoyés par SMS, sans avoir besoin de saisir un mot de passe ; même si on vous recommande d’en choisir un pour renforcer la sécurité du compte.

Dans la plupart des cas, les mots de passe sont encore utilisés comme méthode d’authentification de secours. Il n’est pourtant pas recommandé d’utiliser une authentification qui dépend exclusivement de codes à usage unique reçus par message, de loin la solution 2FA la plus courante et la plus facile à utiliser. En résumé, on sait depuis longtemps que les mots de passe ne sont pas l’avenir. Aujourd’hui, il semblerait que ce futur soit enfin à notre portée.

L’authentification sans mot de passe de FIDO/W3C

Si nous la décortiquons au maximum, cette nouvelle norme d’authentification sans mot de passe fait que ce dernier n’est qu’un simple élément technique que l’utilisateur ne voit plus. D’ailleurs, il s’agit plutôt d’un passe-partout qui est une paire de clés de chiffrement, une publique et une privée. Cela permet d’avoir des clés fortes et uniques ainsi qu’une cryptographie puissante. Cela complique la tâche des cybercriminels et garantit que si un compte est piraté, rien d’autre ne sera perdu, et que les hackers ne pourront pas divulguer vos  » secrets « .

Les utilisateurs auront l’impression de confirmer la connexion à un réseau social, à une adresse e-mail ou à un service bancaire en ligne depuis leur smartphone. Ça ressemblera à ce que l’on fait actuellement pour payer avec notre smartphone : vous débloquez le dispositif en saisissant votre code PIN, ou grâce à l’authentification faciale ou par empreinte digitale, et vous confirmez la  » transaction « . La seule différence est qu’au lieu de payer vous vous connectez à un compte. Ainsi, ce déverrouillage réussi vérifie qu’il s’agit bien de vous. Plutôt intéressant !

De plus, cette norme développée par FIDO a une fonctionnalité supplémentaire qui se présente sous la forme d’une authentification Bluetooth sur plusieurs appareils. Par exemple, la connexion à un compte depuis un ordinateur portable est plus rapide si le dispositif  » voit  » qu’un smartphone de confiance se trouve à proximité. Cet encourageant système d’authentification va fonctionner pour la plupart des utilisateurs, sauf ceux qui utilisent encore un téléphone basique avec clavier. Grâce à l’aide de ces trois géants d’Internet, cette fonctionnalité va devenir universelle à court terme. Est-ce une bonne nouvelle en termes sécurité ? Voyons les avantages et les inconvénients de cette nouvelle technologie.

Les avantages de l’authentification sans mot de passe

Le soutien de Google, Apple et Microsoft laisse croire que les principaux services (Gmail, YouTube, iCloud, Xbox) et tous les dispositifs iOS, Android et Windows vont très rapidement commencer à utiliser l’authentification sans mot de passe. Étant donné que cette norme est unifiée et ouverte, l’authentification devrait fonctionner de la même façon sur tous les dispositifs. L’option de passer d’un appareil à l’autre est une autre des promesses faites. Vous avez remplacé votre iPhone par un Samsung Galaxy ? Aucun problème. Vous pouvez désigner votre nouveau smartphone comme étant votre principal dispositif de vérification.

Le principal avantage de cette nouvelle méthode est que l’hameçonnage sera beaucoup plus difficile. Le vol des mots de passe traditionnels consiste à créer un faux site bancaire, ou tout autre page, et de tromper la victime pour qu’elle l’ouvre. L’utilisateur doit ensuite saisir ses identifiants de connexion, la 2FA est parfois prise en compte, et le tour est joué. Les cybercriminels ont accès aux comptes. En plus d’authentifier l’utilisateur, cette nouvelle norme vérifie l’authenticité du service. L’envoi d’une simple requête d’identification sur une ressource Web différente ne fonctionnera pas. Les mots de passe divulgués ne seront plus une menace pour les utilisateurs.

Enfin, ce nouveau système promet d’être simple et intuitif. S’il est correctement mis en place, la substitution des mots de passe, même pour les comptes existants, devrait être directe, et le support promis au niveau du système d’exploitation ne devrait pas exiger l’installation d’une application. Il vous suffira d’ouvrir le site, de saisir votre identifiant et de confirmer la requête reçue sur votre smartphone. C’est tout !

Les problèmes qui vont persister

Ça ne devrait pas être considéré comme un problème au sens strict du terme, mais beaucoup risquent de poser la question : et si quelqu’un obtient le smartphone  » de confiance  » et valide la connexion à tous les comptes ? La réponse est très simple : dans un modèle de sécurité réaliste, aucune solution n’est infaillible. Tout peut être piraté. La vraie question est de savoir quelles ressources l’intrus est prêt à y consacrer. Après tout, même si vous arrivez à vous souvenir de vos mots de passe de 128 caractères vraiment aléatoires,  certaines méthodes se sont révélées efficaces et pourraient être utilisées pour vous soutirer les informations.

Il y aura certainement des tentatives pour pirater les smartphones des utilisateurs et pour avoir accès aux comptes. Ces piratages seront individuels et les cibles seront des profils très en vue, une attaque de boutique. Lorsqu’il s’agit du marché de masse, autrement dit des menaces quotidiennes dans la vie réelle, le vol de mots de passe est de plusieurs ordres de grandeur beaucoup plus répandu que le vol de smartphones et l’utilisation du contenu. Cette technologie cherche à résoudre ce problème précis.

Souvenez-nous que des problèmes similaires ont été soulevés lorsque la biométrie a été introduite en masse. À cette époque, de nombreux utilisateurs craignaient que quelqu’un ne puisse voler leur empreinte digitale (en leur coupant un doigt dans le pire des cas) pour déverrouiller leur smartphone. Troy Hunt, le créateur du service HaveIBeenPwned mentionné ci-dessus, a publié l’an dernier un article sur un sujet similaire : dans un modèle de sécurité réaliste, la biométrie est plus forte que les mots de passe.

Les conséquences en cas de perte du smartphone sont le vrai problème que les accès sans mot de passe ne vont pas résoudre. Il est vrai que la nouvelle norme permet de transférer le système d’authentification d’un dispositif à l’autre. La méthode la plus facile est d’avoir deux appareils ; par exemple, un vieux téléphone et un nouveau. Si vous perdez votre ancien téléphone, vous devrez avoir recours à une méthode de récupération pour prouver qui vous êtes. Mais nous ne savons pas vraiment quelle méthode sera utilisée. Il semblerait que cela dépende principalement des paramètres du service en question.

Pour conclure, il convient de se poser la question : ce nouveau système ne va-t-il pas rendre les utilisateurs plus dépendants de la fonctionnalité des comptes qu’ils ont avec Google ou Apple ? Si un compte Google est bloqué, est-ce que cela va empêcher l’accès à toutes les autres ressources en ligne ? Même si nous partons du principe que cette norme est ouverte, le système d’exploitation et la structure des smartphones le sont beaucoup moins.

Un avenir (plutôt) brillant

Même un sceptique serait en peine de trouver des arguments qui prouvent que les mots de passe sont meilleurs que les accès sans mot de passe. Le concept obsolète du mot de passe a besoin d’un nouveau souffle depuis longtemps. La norme sans mot de passe de FIDO promet de mettre beaucoup de choses au clair mais certaines dépendent ce ceux qui vont les mettre en œuvre : Google, Apple, Microsoft et autres. S’ils agissent correctement, nos vies numériques seront plus faciles et plus sûres. Pourtant, il est peu probable que cela ne se fasse du jour au lendemain : les mots de passe sont tellement ancrés dans Internet qu’il faudra plusieurs années pour complètement les éradiquer, même si un nouveau système amélioré est mis en place.

Conseils