Les mots de passe sont un casse-tête du quotidien et, du fait du facteur humain, représentent une source de vulnérabilité majeure pour les entreprises. Alors, régulièrement, des voix s’élèvent pour annoncer leur fin prochaine. Mais les alternatives proposées sont-elles fiables ? Peut-on réellement se passer de mots de passe ?
L’usurpation de mot de passe demeure le principal vecteur de piratages. L’enquête annuelle menée par l’opérateur télécom américain Verizon soulignait récemment que 29% des intrusions malveillantes proviennent de mots de passe volés et que dans 80% des cas, des mots de passe faibles en étaient la raison. Chaque année, les classements des « pires mots de passe » fleurissent et ne manquent pas de susciter le sourire… ou la détresse des DSI.
Du grand classique « 123456 » au plus mnémotechnique « incorrect » en passant par l'audacieux « p/q2-q4!a », la question du mot de passe est épineuse, car l’impératif de sécurité se heurte souvent à la réalité des usages quotidiens. La double nécessité de se rappeler d’une combinaison chiffre-lettre-majuscule plus ou moins complexe et de renouveler cette combinaison à intervalle régulier est souvent un casse-tête pour l’utilisateur. Et la tentation de noter son mot de passe sur un post-it, voire de le répliquer pour tous les contextes est grande (cela concerne 78% des employés, d’après une étude Harris Interactive pour CaptainCyber). Au manque général de maturité des individus et collaborateurs s’ajoute donc ce besoin de « praticité ».
Dans ce contexte, des voix s’élèvent pour annoncer « la fin des mots de passe » et l’avènement du « passwordless », quand d’autres célèbrent la biométrie comme une solution prometteuse. Pour d’autres encore, c’est la double-authentification qui serait un complément efficace aux mots de passe. Alors, que penser de ces différentes alternatives ? Dans les semaines/mois/années à venir, aura-t-on encore besoin d’un mot de passe ? Puisque sécurité et contrainte vont de pair, faudrait-il moins de mots de passe mais de meilleurs ?
Biométrie : pratique mais pas infaillible
Les identifications biométriques (scan des empreintes digitales, contours du visage, motifs de notre œil) sont vite apparus comme des alternatives aux mots de passe traditionnels. De fait, ouvrir son téléphone grâce à son empreinte est plus rapide et moins pénible que saisir un code à plusieurs chiffres. Et il est vrai que les caractéristiques physiques individuelles, celles qui par essence sont uniques et propres aux utilisateurs, sont des pistes intéressantes pour générer des signatures. Après l’authentification rétinienne, si chère à l’univers hollywoodien, le reste du corps humain est mis à contribution. Amazon a récemment déposé un brevet pour analyser le tracé des veines et des rides de la peau, à des fins d’authentification. Le géant japonais Hitachi planche quant à lui sur un procédé qui permet d’analyser les vaisseaux sanguins, les réseaux veineux formant des structures uniques.
Pour ces entreprises, ces autres identifications biométriques s’avèrent plus fiables que les empreintes ou que la reconnaissance faciale qui a elle aussi des limites. Récemment, une équipe de chercheurs de l’université de New York a réussi à mettre au point une technique permettant de générer des empreintes « universelles », et donc de berner les capteurs présents sur 70% des téléphones. Et quand elles ne sont pas falsifiées, les empreintes peuvent être volées (comme ce fut le cas en 2015 lors d’une attaque contre la réserve fédérale américaine – FED) et finir sur des market places spécialisées dans la revente de données biométriques. En 2019, les empreintes de plus de 60 000 utilisateurs avaient ainsi servi à alimenter GenesisStore, une place de marché du darknet. Quant à la reconnaissance faciale, le journaliste Thomas Brewster de Forbes a démontré qu’il était possible de berner les téléphones grâce à une impression en 3D de son visage… Et tout récemment, une faille de sécurité a exposé le code source de l'outil de reconnaissance faciale Clearview AI. Difficile de ne pas penser également à la technologie deepfake, qui permet de concevoir des vidéos très réalistes, et donc de berner potentiellement les capteurs. Vous l’aurez donc compris, en matière de biométrie, les expérimentations fleurissent mais les risques d’usurpation demeurent.
À la rigueur, une combinaison de deux facteurs biométriques, par exemple une empreinte et un circuit veineux ou bien une empreinte et une analyse du visage, permettrait de limiter les risques. Mais cette solution se heurte à la question du coût ; les capteurs coûtent cher et il est difficile d’imaginer une généralisation des appareils à double-capteur biométrique sans que ceux-ci n’atteignent des sommes faramineuses. Moralité : les procédés biométriques ne sont pas suffisamment fiables seuls.
FIDO2 : avantages et limites du passwordless
En février dernier, un communiqué de Microsoft réveillait le débat sur la fin annoncée des mots de passe en annonçant l’intégration du passwordless dans leur environnement AzureAD. La technologie FIDO2 permet en effet de vérifier l’identité d’un utilisateur en s’appuyant sur une clé d’authentification forte, implantée sur un support physique. Le Token FIDO pourrait donc s’utiliser comme un autre facteur d’authentification. L’avantage de la technologie FIDO2 : son faible coût, ce qui la rend accessible aux particuliers et aux entreprises.
Double authentification : promesses et limites
D’après Microsoft toujours, la double authentification permettrait même de stopper 99% des tentatives d’intrusion. Néanmoins, la clé FIDO reste avant tout un support physique, ce qui ne supprime pas toutes les contraintes. Passwordless mais pas encore painless. Que faire par exemple en cas de vol, de perte ou d’oubli ? Souvent, le téléphone sert de back-up pour recevoir un « token » de courte durée, transmis par sms ou email. Or de récentes enquêtes ont permis de mettre en évidence que des attaquants peuvent dépasser ce second facteur d’authentification, à l’image du malware Cerberus.
Cette solution n’est donc pas infaillible, notamment si l’on n’a pas la clé FIDO en permanence sur soi, mais elle permet tout de même d’élever le niveau de sécurité, notamment auprès des réseaux ou infrastructures critiques.
Des mots de passe vs. une phrase de passe
On le voit, les récentes évolutions apportent du confort aux utilisateurs, mais elles ne signent pas pour autant l’arrêt de mort du mot de passe, notamment dans les contextes de double authentification. Mais c’est quoi un bon mot de passe au juste ? Les standards relatifs au bon niveau de complexité mentionnent généralement le fait de combiner majuscules, chiffres et caractères spéciaux, puis de changer régulièrement de combinaison.
Un récent papier du NIST (National Institute of Standards and Technology, aux États-Unis) a pourtant jeté le trouble sur ces certitudes, suivi par un autre papier, signé du BSI, l'Office fédéral de la sécurité des technologies de l'information en Allemagne. D’après les chercheurs interrogés par le NIST, la grande complexité de certains mots de passe n’est pas viable dans un contexte d’usage quotidien, où il s’agit de taper une combinaison plusieurs fois par jour. Ils recommandent alors de choisir une phrase, plus facile à mémoriser et tout aussi complexe à contourner pour d’éventuels attaquants, les combinaisons possibles entre les mots étant nombreuses. Question subsidiaire : jusqu’où aller en termes de nombre de mots ? Le papier ne le mentionne pas. Quant au BSI, l’agence est revenue sur ses recommandations par rapport au changement régulier de combinaison. « Vous pouvez utiliser le même mot de passe, avec sécurité, pendant des années », souligne même l’un des chercheurs allemands. La position de l’agence allemande est simple : les changements de mot de passe réguliers seraient davantage nuisibles qu'utiles, car cela signifierait que les individus auraient recours à des mots de passe faibles et créés selon un certain schéma – facile à imaginer dès lors pour un cyber attaquant.
Moins mais mieux
Dans l’impossibilité d’avoir recours ni à la biométrie ou à une clé FIDO2, il est toujours possible de suivre une règle simple : choisir moins de mots de passe, mais de meilleurs. En partant des recommandations du BSI, il serait par exemple possible de sélectionner 5 mots de passe complexes et les attribuer à des groupements de sites web, que l’on aura au préalable classés en fonction de leur importance. Une technique qui a l’avantage d’être accessible à tous.
Vous l’aurez compris, nous avons encore besoin de mots de passe, même dans le cas d’une authentification forte. Les combinaisons pour une sécurité optimale sont néanmoins multiples. Une recommandation serait de réussir à s’appuyer systématiquement sur :
- quelque chose que je connais (type mot de passe),
- quelque chose que je possède (type clé FIDO2),
- quelque chose que je suis (un élément biométrique).
L’enjeu pour les DSI est de faire en sorte que chacun parvienne à trouver le bon compromis de sécurité, la méthode qui permettra de se prévenir le mieux possible des intrusions, tout en restant viable au quotidien. Car, on le voit avec le phénomène du shadow IT, plus on rajoute de la contrainte, plus la tentation de contournement est grande pour les utilisateurs.