Accueil Passwordless, pour un futur sans mot de passe

Passwordless, pour un futur sans mot de passe

L’ouverture des systèmes d’information et l’essor du Cloud ont fait de l’identité numérique le dernier rempart pour protéger les données des entreprises. Or sécuriser les identités via un simple mot de passe est désormais bien insuffisant face à la menace.

 

Le 5 mai 2022, Apple, Google et Microsoft se réunissaient afin d’annoncer un futur sans mot de passe avec l’extension dans l’adoption des protocoles de l’Alliance FIDO et du W3C dans leurs offres produits. Si les efforts de FIDO pour aller vers un futur “passwordless” n’ont rien de nouveau, cette agitation médiatique traduit l’urgence de la situation : Selon une étude réalisée par Digital Shadows Research en 2022, il y a plus de 24 milliards de mots de passe actuellement en vente sur le Darknet.

Au-delà du MFA

Bon nombre de DSI et de RSSI ont bien compris le péril que pouvait causer une politique trop laxiste vis-à-vis des mots de passe. Outre la mise en place de solutions de PAM (Privileged Access Management) pour les comptes les plus critiques, les solutions d’IAM (Identity and Access Management) ont permis de cadrer un peu plus les pratiques vis-à-vis des mots de passe. En parallèle, beaucoup d’entreprises ont lancé des projets de mise en place d’une authentification multifacteurs (MFA) qui va compléter l’authentification classique d’un autre facteur comme le SMS, une vérification sur application mobile avec ou sans identification biométrique. L’ANSSI déconseille fortement l’usage d’une vérification SMS, le SMS Spoofing étant une technique d’attaque bien connue.

Bien connu des éditeurs de sites Web pour ses certificats SSL, Sectigo propose d’exploiter ses certificats numériques pour hausser le niveau de sécurité des accès. « On peut tout à fait imaginer un portail Wi-Fi qui, plutôt que de réclamer un login/mot de passe pour se connecter, va demander un certificat numérique installé sur chaque terminal qui souhaite se connecter » explique François Marien, directeur commercial de Sectigo en France. « Nous observons de plus en plus de demandes pour des scénarios passwordless de ce type. Le certificat vient souvent en complément du mot de passe, dans une approche de type authentification multifacteurs. Demander un certificat va accroitre le niveau de sécurité au moment de la connexion. » Les certificats restent néanmoins principalement utilisés dans le cadre des communications chiffrées entre serveurs, même si le fournisseur de services propose aussi sa technologie pour signer des emails.

>Avec sa fonctionnalité SafePass, Bank of America propose aux possesseurs d’une clé de sécurité compatible FIDO un mode d’accès sécurisé grâce auquel ils bénéficient de plafonds de transferts de fonds supérieurs. Ce moyen d’authentification est présenté comme une alternative à la double authentification par SMS dont on connait désormais la vulnérabilité aux attaques de type Spoofing. La banque propose à ses clients d’utiliser la clé USB de leur choix, la compatibilité FIDO 2 étant la seule contrainte fixée pour bénéficier de ce service sécurisé.

FIDO, la clé d’un monde sans mot de passe ?

Le cœur de la nouvelle approche “passwordless” des Gafam s’appuie sur les standards développés dans le cadre de l’alliance FIDO, en particulier le protocole FIDO2 qui a été approuvé par le W3C. FIDO2 regroupe le protocole d’authentification WebAuthn du W3C ainsi que CTAP (Client-to-Authenticator Protocol). Ce dernier permet l’authentification via une API Web intégrée au navigateur Web. L’utilisateur peut s’authentifier par un dispositif biométrique, un code PIN ou des authentificateurs FIDO externes. On trouve notamment sur le marché des “Hard Token”, des petites clés USB ou NFC compatibles FIDO, notamment celles de l’américain Yubico, les YubiKey. Karim Smaili, Sales Manager chez Yubico souligne : « La YubiKey embarque le protocole FIDO U2F que nous avons co-rédigé en 2014 avec Google. En 2018, nous avons co-rédigé FIDO 2 avec Microsoft et nous sommes parmi les fondateurs de l’alliance FIDO avec Microsoft, Google, Apple. » Le responsable argumente que sa clé YubiKey 5 NFC embarque tous les protocoles du marché : quel que soit votre système d’information, même les applicatifs en ETP ou des cartes à puce, un autre en FIDO, il est possible d’utiliser la YubiKey et faire évoluer le système d’information sans devoir renouveler les clés.

> Parmi les fournisseurs de “Hard Token” compatibles FIDO figure Google qui propose sa clé de sécurité Titan à partir de 35 € pièce.

Pour les entreprises qui souhaiteraient une alternative souveraine, le français Neowave commercialise lui aussi des clés FIDO. Fabriquées en France, ses solutions Winkeo-C et Winkeo FIDO2, Neowave ont obtenu le visa de sécurité de l’ANSSI. Celles-ci embarquent le protocole FIDO U2F, ce qui permet l’authentification à double facteur et FIDO2 qui permet une authentification sans mot de passe. « En termes d’authentification forte, beaucoup d’entreprises sont allées vers le MFA et ce type d’approche n’est pas encore généralisé dans les entreprises » explique Corinne Joachin, Responsable marketing et communication de Neowave, « les solutions hardware permettent d’aller plus loin, c’est une étape de plus vers des transactions plus sécurisées. »

MFA, clés de sécurité ou smartphone, les entreprises doivent rapidement abandonner l’usage du login/mot de passe pour des raisons de sécurité évidentes. Il sera ensuite temps de songer à un avenir sans mot de passe gagnant pour les entreprises mais aussi gagnant pour les utilisateurs qui seront enfin débarrassés de cette contrainte d’un autre âge de l’informatique.