Un vestige devenu un incontournable

Les mots de passe sont un des piliers de la sécurité et tout particulièrement de l’authentification : utilisés par la garde romaine au moment de la relève, ils ont traversé les époques pour devenir aujourd’hui un outil indispensable à la sécurité numérique.

Si le spectre technologique a considérablement évolué depuis les joutes de gladiateurs, en dehors de quelques recommandations sur leur complexité, les règles d’utilisation des mots de passe n’ont guère changé.

Pour embrasser pleinement la quatrième révolution industrielle, il est temps de rendre à César ce qui est à César et de mettre en œuvre des solutions d’authentification dignes de notre époque.

Mots de passe en hausse, sécurité en baisse

L’explosion des services en ligne a engendré une explosion du nombre de comptes personnels et professionnels, en moyenne 191 selon une étude menée en 2017. La réutilisation de mots de passe d’un compte à l’autre, ou la création de mots de passe suivant des logiques plus ou moins simples, est une mauvaise pratique courante.

Comment, dès lors, sécuriser l’accès à un réseau d’entreprise, quand la moitié des employés s’authentifie sur leurs services d’entreprise avec le même mot de passe que pour leur compte Amazon ou Gmail ?

C’est compliqué, et déléguer la responsabilité aux utilisateurs en leur imposant des règles d’hygiène de mots de passe à la complexité et l’hétérogénéité grandissante, n’y aide pas. A titre d’exemple, en 2016, sur tous les mots de passe compromis, « 123456 » avait été choisi par près d’une victime sur cinq

Et même quand nous utilisateurs respectons les normes en vigueur, les entreprises qui gèrent nos données personnelles ne les respectent pas toujours, tout en étant elles-mêmes victimes de vulnérabilités dans des technologies qu’elles ne contrôlent pas.

Si en réponse à l’explosion du nombre de comptes à gérer, des entreprises proposent des services d’authentification intermédiaire ou des coffres à mots de passe, celles-ci introduisent ce faisant des points de défaillance uniques.

Les coffres sont des logiciels : ils peuvent présenter des vulnérabilités. Quant aux services d’authentification intermédiaires, la dernière compromission en date affectant Facebook est un exemple alarmant des conséquences de ces pratiques.

Gemalto estime que sur les six premiers mois de l’année 2018, ce sont plus de 4,5 milliards de données personnelles qui ont fuité, soit près de 300 par… seconde.

Image : https://breachlevelindex.com

Comment, dès lors, s’authentifier en sécurité ?

Peut-on réparer les mots de passe ?

Résumons : d’un côté, des utilisateurs qui ont trop de mots de passe à gérer, de l’autre, des mots de passe qui fuitent chaque jour des serveurs d’entreprise.

Côté utilisateurs, des campagnes de sensibilisation ciblées améliorent l’adoption de règles d’hygiène en matière de choix et gestion des mots de passe. Les coffres à mots de passe offrent également un début de réponse avec la possibilité de générer des mots de passe complexes, mais s’appuient toujours sur un mot de passe maître.

Pour parer aux problèmes d’interception et de compromission, une solution consiste à réaliser les opérations d’authentification côté utilisateur. FIDO, pour Fast Identity Online, est une alliance d’entreprises qui s’est structurée autour de ce concept pour simplifier l’authentification en ligne et permettre à plus de 1,5 milliards d’utilisateurs de s’authentifier sans qu’aucun mot de passe ne soit jamais transmis en ligne. Un dispositif physique se charge de gérer les codes d’accès et d’indiquer aux services compatibles que nous sommes bien qui nous prétendons être.

FIDO propose donc une solution qui permet de ne plus avoir à se rappeler de chacun de nos mots de passe, toutefois, la plupart des implémentations fonctionnent encore avec PIN. Et comme dans le cas des cartes bleues, un PIN peut être dérobé avec des attaques ciblées, même si la probabilité reste faible.

Peut-on néanmoins se prendre à rêver d’une authentification sans rien dont l’utilisateur n’aurait à se souvenir ? Peut-on vivre sans mots de passe ?

L’authentification multi-facteur, c’est quoi ?

Vivre sans mots de passe ou tout type d’information à mémoriser, c’est aujourd’hui possible. Le faire de manière suffisamment sécurisée requiert toutefois de mettre en œuvre le principe le plus fondamental de la sécurité moderne : la défense en profondeur.

Inventée au 17ème siècle par un ingénieur militaire du nom de Vauban, ce principe a protégé aussi bien les forteresses au moyen âge que les centrales nucléaires et réseaux informatiques aujourd’hui. En matière d’authentification, ce principe est mis en œuvre via les 3 catégories de facteurs suivantes :

*Catégorie 1 - La connaissance de quelque chose, comme un mot de passe ou un PIN.

*Catégorie 2 - La possession de quelque chose, comme une clé de porte ou une carte bleue.

*Catégorie 3 - Un attribut physique, comme des empreintes digitales ou de l’ADN.

Un système d’authentification est considéré suffisamment sûr pour un usage grand-public s’il s’appuie sur au moins deux facteurs de catégories distinctes. La combinaison mot de passe puis code envoyé par SMS en est l’exemple le plus connu.

Toutefois, s’il est vrai que contourner un tel système n’est pas simple, il est impératif que celui-ci repose sur une combinaison de systèmes d’authentification simple-facteur de qualité. Hors le SMS n’en est pas un et les mots de passe mal choisis non plus.

L’ajout d’un facteur de la troisième catégorie pourrait s’avérer être une solution, et c’est bel et bien le cas dans certains environnements très sécurisés, mais trop contraignant pour le grand public.

Dès lors, comment faire pour vivre sans mots de passe et en sécurité ?

#Passw0rdsNoMore ?

Une combinaison de facteurs des deuxièmes et troisièmes catégories offre une solution d’authentification ne nécessitant aucun effort de mémorisation.

Un exemple concret d’une telle solution serait une clé digitale compatible FIDO s’appuyant sur un capteur biométrique. Un tel dispositif vient d’être mis sur le marché.

Des solutions existent donc, mais une adoption à grande échelle ne se fera pas du jour au lendemain.

La sécurité est un processus continu, qui évolue de concert avec la menace. Les mots de passe sont l’objet quasi unique de la convoitise des attaquants aujourd’hui. Demain, ce seront les solutions biométriques, qui ne sont pas infaillibles.

Que ferons nous lorsque nos empreintes digitales feront partie du domaine public ?

D’autres solutions d’identification verront le jour, d’autre méthodes de contournement suivront, et ainsi de suite.

La sécurité est un processus continu.

D’ici là, résolvons déjà le problème du moment, et conjuguons nos mots de passe au passé.