Pour les lecteurs de Solutions Numériques et Cybersécurité, Jérôme Colleu, Ingénieur Avant-Vente chez CyberArk, détaille le fonctionnement, les enjeux, les avantages et les défauts du « passwordless ».
Dans le monde des mots de passe, si les recommandations de sécurité continuent d’être martelées, les années se suivent et se ressemblent du côté de nombreux utilisateurs. En effet, comme en témoigne depuis cinq ans le rapport annuel de l’entreprise NordPass sur les « pires mots de passe », les utilisateurs non équipés d’outils de gestion ou de système d’authentification forte restent sur des pratiques qui vulnérabilisent leurs machines, leurs données personnelles et par extension les données de tiers auxquels ils sont connectés. Or, ces pratiques sortent de la sphère privée, puisque sans une surveillance accrue, elles peuvent se répéter en entreprise et générer des risques à plus grande échelle.
C’est dans ce contexte que des programmes de gestion des accès à privilèges (PAM) sont en place afin de sécuriser les accès présentant le plus haut niveau de risque dans une entreprise. Ceci inclut l’utilisation d’informations d’identification à privilèges telles que les mots de passe, les clés SSH et les secrets d’applications. Alors que de nombreuses conversations tournent autour d’un potentiel avenir sans mot de passe, il convient de se demander comment les équipes responsables des programmes PAM et de la sécurité des identités peuvent s’y préparer. Cela dépend de ce qui se cache derrière l’expression « sans mot de passe » et des capacités de modernisation des PAM pour assurer la protection des nouvelles identités et des nouveaux environnements.
Comprendre l’authentification sans mot de passe
Le concept d’authentification sans mot de passe n’est pas nouveau, mais son adoption généralisée ne date que de quelques années. Cette approche existe sous des formes diverses, dont certaines ont déjà conquis de nombreux utilisateurs, qu’il s’agisse de facteurs d’authentification physiques, tels que les clés USB, de systèmes biométriques ou encore de facteurs de type numérique (QR codes, passkeys ou SMS avec codes à usage unique, par exemple). Chaque méthode peut contribuer à valider efficacement l’accès d’un utilisateur, ce qui est au cœur du concept de Zero Trust (confiance zéro). Cependant, malgré tous les avantages que présentent ces formes d’authentification, des méthodes spécifiques restent nécessaires pour sécuriser les accès à haut risque, avec ou sans mots de passe.
Ainsi, les facteurs d’authentification permettant à une identité d’entreprise de se connecter à une ressource sont généralement divisés en trois catégories : les facteurs de connaissance (une chose que l’utilisateur sait), les facteurs de possession (une chose que l’utilisateur possède) et les facteurs d’inhérence (une chose propre à la personne physique).
Les systèmes sans mot de passe s’éloignent du premier de ces trois paradigmes pour lui préférer les deux autres, à savoir les facteurs de possession (comme une clé Yubikey ou un passkey) et les facteurs d’inhérence (comme la biométrie). Au lieu d’éliminer totalement les mots de passe en tant que tels, ces paradigmes les éloignent de l’utilisateur final, tout comme cela se fait aujourd’hui couramment pour la gestion des sessions à privilèges. Ces facteurs de possession et d’inhérence peuvent rendre les connexions des utilisateurs plus rapides et plus simples, conformément aux pratiques largement établies pour l’accès sans mot de passe, telles que la norme FIDO2 d’authentification Web (WebAuthN).
Le retrait des mots de passe n’élimine pas tous les risques
Les facteurs d’authentification sans mot de passe représentent un progrès indéniable, mais les systèmes biométriques peuvent tout de même être compromis par des attaques de biohacking, par exemple, tandis que les autres modes de protection le seront par le vol d’authentificateurs matériels. Les passkeys résistants au phishing sont notamment plus difficiles à s’approprier que les mots de passe, mais un hacker ayant réussi à accéder à la réserve de passkeys d’un appareil pourra les utiliser à des fins malveillantes. C’est pourquoi les entreprises doivent s’inspirer de l’approche Zero Trust et partir du principe que des intrusions sont inévitables, car aucun mode de protection n’est sûr à 100 %.
Néanmoins, l’authentification sans mot de passe ne pourra empêcher complètement le risque posé par les menaces internes. En effet, bien que le changement des facteurs d’authentification améliore l’expérience utilisateur, il n’élimine pas pour autant la possibilité d’initiatives malintentionnées de la part d’employés ou de tiers : en d’autres termes, la suppression des mots de passe ne garantit pas une sécurité absolue.
Quel que soit le paradigme retenu, les entreprises doivent par conséquent conserver des systèmes de défense en profondeur pour limiter ces risques. Les concepts PAM éprouvés, tels que le principe du moindre privilège, l’isolation des sessions, l’audit des sessions à privilèges et l’ITDR (détection et réaction pour les menaces touchant aux identités) restent des lignes de défense essentielles qui réduisent le risque de compromission des identités et de mouvement latéral.
Pourquoi est-il impossible de se passer totalement des mots de passe ?
Aujourd’hui, plusieurs aspects opérationnels clés empêchent l’abandon total des mots de passe. Ainsi, les entreprises hébergent aujourd’hui, pour la plupart, de nombreux systèmes nécessitant des mots de passe par défaut. C’est le cas des ordinateurs portables, des serveurs et des terminaux en réseau disposant de mots de passe intégrés d’administrateur local. De tels identifiants sont des cibles de premier choix pour les attaques par ransomware, qui exploitent généralement des droits d’administrateur local pour exécuter des malwares sur un terminal, puis se propager. Les programmes de gestion des accès à privilèges visent à supprimer ces identifiants sur les postes de travail afin de les gérer en toute sécurité dans un coffre-fort. Les équipes de sécurité actuelles ne disposent pas de solutions fiables pour remplacer ces mots de passe d’administrateur local par des facteurs d’authentification sans mot de passe. Il en va de même pour les comptes de service et les autres identités machines, dont la plupart utilisent des secrets pour authentifier les communications entre différents éléments.
Pour réduire leur surface d’attaque ou satisfaire aux exigences d’audits, de nombreuses entreprises s’efforcent de limiter le nombre de comptes ayant accès à leurs ressources les plus sensibles. Une stratégie courante consiste à créer un petit groupe de comptes au niveau de privilèges élevés partagés par différents membres des services IT et des opérations cloud. Les PAM modernes appliquent ensuite plusieurs couches de contrôles pour sécuriser ces comptes partagés avec des identifiants de connexion, par exemple. Ils visent également à réduire le nombre d’identifiants et à éviter de les exposer aux utilisateurs finaux, souvent en les masquant, la réduction du nombre de mots de passe étant aussi importante que leur élimination.
Par ailleurs, la mise en conformité des entreprises aux normes réglementaires en vigueur exige souvent une défense en profondeur de la sécurité des identités. Certaines réglementations imposent l’utilisation de mots de passe assortie de systèmes de contrôle complets pouvant inclure la mise en œuvre du moindre privilège, de l’authentification à plusieurs facteurs (MFA), d’une politique établie de rotation des identifiants et d’une visibilité élargie sur l’utilisation des mots de passe à des fins de contrôle. Une élimination pure et simple des mots de passe pourrait ainsi compliquer et retarder les processus d’audit et nuire au bon déroulement des opérations.
Enfin, en cas d’urgence et d’échec des autres options d’authentification, les mots de passe constituent une méthode d’authentification de secours fiable, garantissant que les utilisateurs peuvent accéder à leurs comptes, ce qui rend peu probable leur fin annoncée.
Si celle-ci devait néanmoins arriver un jour, des contrôles renforcés seront toujours nécessaires pour les accès à privilèges les plus critiques. Les experts en sécurité des identités concentrent aujourd’hui leurs efforts sur leur problème principal, c’est-à-dire la compromission des identifiants, en privilégiant des approches modernes qui réduisent le nombre de mots de passe en circulation, comme l’accès « juste à temps ». Pour l’heure, aucune entreprise ne peut fonctionner sans dépendre d’une pluralité d’identités humaines et machines nécessitant des mots de passe pour s’authentifier. Une solution de défense en profondeur est donc indispensable à tout système de sécurisation des identités.