La “Journée internationale du mot de passe”, qui se tient ce jeudi 7 mai, donne l’occasion de s’interroger avec des experts sur son avenir. Selon Gartner, 60 % des plus grandes entreprises mondiales et 90 % des entreprises de taille moyenne mettront en œuvre des méthodes de sécurité sans mot de passe dans plus de 50 % des cas d’utilisation d’ici à 2022. Mais il semble que le chemin soit encore long à parcourir.
“Les mots de passe sont la clé de la sécurité de notre vie numérique, et pourtant ils ne sont pas un moyen de défense très sûr. Il est relativement facile pour des pirates de déterminer les mots de passe des utilisateurs, notamment parce que « 123456 », « azerty » et « motdepasse » font toujours partie des mots de passe les plus couramment utilisés dans le monde, constate Benoit Grunemwald, cyber évangéliste chez Eset, éditeur en cybersécurité.
“Les mots de passe sont connus comme le maillon faible de la sécurité, que ce soit pour les particuliers ou les professionnels », renchérit Laurence Nezot, Sales Director France chez Yubico, société commercialisant un dispositif d’authentification électronique. ET de donner ces chiffres, issus de la dernière enquête de l’entreprise suédoise : “39 % des particuliers et 48 % des professionnels de l’IT en France définissent le même mot de passe pour plusieurs comptes. »
Loïc Guézo, directeur Stratégie Cybersécurité de Proofpoint, donne, lui, ce chiffre, dans les mêmes eaux, issu d’une enquête interne : “45 % des usagers continuent de réutiliser le même mot de passe pour plusieurs services. »
Infiltrer les base de données de l’entreprise
Conséquences : “Les cybercriminels savent que la majorité de la population réutilise des mots de passe identiques pour accéder à différents comptes en ligne, et ils cherchent à en tirer profit. Les pirates lancent également des attaques par force brute qui visent à craquer un mot de passe ou un nom d’utilisateur, en essayant toutes les combinaisons possibles une à une », explique Bastien Dubuc, Country Manager France d’Avast.
Aaron Zander, directeur IT chez HackerOne, une plateforme mondiale de sécurité collaborative, détaille : « Encore trop souvent, un même mot de passe est réutilisé pour plusieurs services. Cette pratique crée une très sérieuse menace, car en dérobant le mot de passe d’un collaborateur, un cybercriminel peut infiltrer les base de données de l’entreprise en utilisant les droits d’accès octroyés par ce compte interne. Et si l’utilisateur a réutilisé ce même mot de passe, le cybercriminel peut accéder à tous les comptes et appareils personnels et professionnels de sa victime. »
” Si l’utilisateur a réutilisé ce même mot de passe, le cybercriminel peut accéder à tous les comptes et appareils personnels et professionnels de sa victime », Aaron Zander, HackerOne
Ce constat s’impose donc pour bon nombre d’experts : il faut changer de méthode. Simon Marchand, Chief Fraud Prevention Officer au sein de la division Sécurité et Biométrie de Nuance, le dit : ” Les mots de passe sont non seulement une contrainte pour les utilisateurs, mais ils présentent par essence un degré de protection limité. Il est grand temps de repenser nos méthodes d’authentification. » Benoit Grunemwald chez Eset rapporte : “De nombreuses sommités dans le domaine de la technologie veulent complètement supprimer les mots de passe ». Loïc Guézo de Proofpoint avance : “À l’avenir, il est possible que les mots de passe ne soient plus aussi incontournables »
La biométrie comme alternative ?
“Avec la création de la norme FIDO2 (essentiellement un moyen d’authentifier des utilisateurs via un navigateur à l’aide de moyens plus robustes que des mots de passe), il est clair qu’il existe des technologies pouvant remplacer les mots de passe. Son adoption est cependant assez lente. Même si certaines entreprises, notamment Dropbox, ont adopté cette forme d’identification des utilisateurs, elle est utilisée comme seconde couche de sécurité après les mots de passe, alors qu’elle est réellement destinée à être la première ligne de défense », indique Benoit Grunemwald.
Laurent Nezot est sur la même ligne : “La transition que doivent opérer les entreprises pour moderniser leurs solutions d’authentification et tendre vers un monde sans mot de passe est aujourd’hui possible, facilitée par des dispositifs compatibles avec les protocoles modernes et aboutis tels que FIDO2 ou WebAuthn ; deux standards qui permettent une authentification sans mots de passe via la biométrie, un terminal mobile ou encore des clés de sécurité, assurant un niveau de sécurité maximal. »
Simon Marchand de Nuance plaide aussi pour la biométrie, qui « a fait ses preuves pour aider à attraper des cybercriminels au moment-même où ils essayent de commettre une fraude, et pour permettre de prévenir cette situation. »
“La reconnaissance faciale ou biométrique commencent déjà à prendre la place du mot de passe traditionnel, constate Loïc Guézo de Proofpoint. Cette évolution pourrait être essentielle, car même si les vulnérabilités techniques deviennent encore plus difficiles à exploiter, l’humain restera la principale cible de cyberattaques, qui deviendront plus en plus personnalisées et complexes. Chercher à voler des mots de passe pourrait bientôt devenir dépassé ».
Mais avec la biométrie, pas moyen de revenir en arrière
Bastien Dubuc, d’Avast, émet toutefois une réserve sur la biométrie. “Dans ce modèle, l’utilisateur devient son propre mot de passe. Un problème pourrait toutefois survenir si ses données biométriques étaient reproduites par quelqu’un d’autre. Contrairement aux mots de passe, il n’y a aucun moyen de revenir en arrière et de “réinitialiser” son empreinte digitale. » Il liste l’’authentification unique (Single sign-on – SSO), une pratique qui utilise toujours un mot de passe, mais un seul et unique. Il s’agit d’un protocole d’authentification qui permet aux utilisateurs de saisir un nom et un mot de passe, et ainsi d’ouvrir plusieurs applications et programmes. “Bien qu’il puisse encore être techniquement attaqué par force brute, il réduit la surface d’attaque en n’ayant qu’un seul point d’entrée“, explique-t-il. Il met en avant l’authentification basée sur le risque. Elle fait également partie des méthodes qui offrent un niveau de sécurité supérieur. Dans ce cas, l’intelligence artificielle (IA) mesure le risque de la transaction en analysant le demandeur et sa demande. Si le risque est jugé faible, l’IA permet à la transaction de se poursuivre. S’il est moyen, le système demande un autre facteur d’identification. Et si le risque est élevé, le système bloque la transaction. »
” L’authentification basée sur le risque fait également partie des méthodes qui offrent un niveau de sécurité supérieur », Bastien Dubuc, Avast
Aaron Zander de HackerOne met en garde également contre la biométrie : “De nombreux experts soutiennent que la biométrie pourrait être une meilleure alternative. Toutefois, en cas de violation de données, il n’est pas possible de réinitialiser son empreinte digitale ! Un mot de passe a l’avantage de pouvoir être rapidement changé, et n’est pas lié à une information personnelle ni immuable comme une empreinte digitale. Chacun doit donc continuer à gérer ses propres mots de passe de la manière la plus consciencieuse possible, que ce soit via des algorithmes personnels ou en utilisant des gestionnaires de mots de passe. »
S’il précise que les organisations peuvent faire leur part “en encourageant, voire en rendant obligatoire l’authentification à deux facteurs, de manière à limiter les dommages en cas de compromission », à ses yeux, “il n’y pas de réelle alternative à l’horizon ! ».
“Il n’y pas de réelle alternative à l’horizon ! », Aaron Zander, HackerOne
Une sécurité au cœur du processus de développement logiciel
Nabil Bousselham, architecte solutions chez Veracode, plaide, de son côté, surtout pour une sécurité ” au cœur du processus de développement logiciel ». Selon lui, « au cours de cette nouvelle décennie axée sur les données, un simple mot de passe statique ne suffira pas. Bien que les entreprises sont conscientes du rôle que joue la sécurité applicative dans la protection des données, les banques et les autres secteurs doivent s’approprier davantage l’authentification des applications pour aider à détecter les accès frauduleux à un compte ». Il appelle donc les entreprises à responsabiliser les développeurs ” en les formant aux meilleures pratiques en matière de codage sécurisé et en fournissant les bons outils. L’objectif est d’éviter que les utilisateurs ne soient exposés davantage aux violations de données.»
Le partage des mots de passe à l’heure du télétravail
Selon une étude menée par Harris Poll pour Dashlane, environ un tiers des Américains (32%) ont vu leur famille ou leurs collègues de travail partager leurs mots de passe plus souvent qu’avant le Covid-19. Cette mauvaise pratique concerne par exemple les services de streaming audio et vidéo, des comptes pour effectuer des achats en ligne et des sites liés à l’activité professionnelle.
35-44 : 43%
45-54 : 30%
55-64 : 17%
65+ : 13%