Qu'est-ce que l'authentification sans mot de passe ?

Les mots de passe étaient autrefois la seule méthode d'authentification disponible pour accéder à ses comptes en ligne. Même à cette époque où tout était plus simple, les mots de passe étaient problématiques. Pour s'en souvenir, les utilisateurs les rendaient trop simples, trop faciles à voler par les hackers. Qui plus est, ils utilisaient toujours les mêmes, si bien qu'une fois un mot de passe volé, les cybercriminels savaient qu'il y avait de fortes chances qu'ils puissent l'utiliser pour accéder à d'autres comptes. 

Face à la prolifération des comptes en ligne, les problèmes liés aux mots de passe se sont considérablement aggravés.

En moyenne aujourd'hui, les consommateurs possèdent des dizaines de comptes, tant pour un usage personnel que professionnel, et la plupart sont dépassés par le nombre de combinaisons de noms d'utilisateur et de mots de passe qu'ils sont censés retenir. Malgré les avertissements répétés, de nombreuses personnes continuent d'utiliser le même mot de passe pour différents comptes. Certains utilisent des mots de passe faibles, faciles à craquer par des hackers déterminés. D'autres encore les enregistrent dans un fichier intitulé « mots de passe ». Dans une étude de  PC Magazine , 65 % des personnes interrogées ont déclaré qu'elles finissent par oublier leurs mots de passe si elles ne les écrivent pas, et 57 % les oublient immédiatement après une réinitialisation.

Afin de résoudre le problème des mots de passe simples et de leur réutilisation, certaines entreprises exigent d'en changer à intervalles réguliers et de les complexifier en mélangeant lettres, chiffres et caractères spéciaux. Bien que ces exigences résolvent certains problèmes, elles en génèrent d'autres, notamment le verrouillage des comptes. La même étude de PC Magazine révèle que les Américains se font bloquer 10 comptes par mois en moyenne. Outre l'expérience utilisateur déplorable qui en découle, cela coûte également une fortune, dans la mesure où les services d'assistance sont harcelées de demandes de réinitialisation de mot de passe.

L'abolition des mots de passe fait disparaître toutes ces possibilités.

Avec l'authentification sans mot de passe, une personne peut se connecter à un compte en ligne sans avoir à saisir de mot de passe. À la place, l'authentification est assurée par des terminaux, tels que des appareils mobiles ou des ordinateurs, sur lesquels l'utilisateur peut utiliser la reconnaissance faciale ou d'empreintes digitales, connue sous le nom d'authentification « biométrique ». Il est également possible d'utiliser des applications d'authentification, des jetons et des cartes à puce, qui sont d'ailleurs de plus en plus populaires. Ainsi, l'utilisateur n'a pas à se soucier de retrouver son mot de passe et, comme aucun identifiant n'est « partagé » sur Internet, le risque d'interception devient nul. 

 

Authentification à deux facteurs et multifacteur

De nombreuses applications et services proposent une authentification à deux facteurs (2FA) ou une authentification multifacteur (MFA). Ces méthodes exigent que l'utilisateur s'authentifie avec au moins deux facteurs uniques. Le nom d'utilisateur et le mot de passe sont ce que l'on appelle des « facteurs de connaissance » (quelque chose que l'on sait). Les appareils mobiles, les jetons matériels ou les cartes à puce sont quant à eux des « facteurs de possession » (quelque chose que l'on possède). Enfin, les données biométriques, notamment les empreintes digitales ou le visage, forment la catégorie des « facteurs inhérents » (quelque chose que l'on est).

La 2FA impose à l'utilisateur de s'authentifier d'abord avec un nom d'utilisateur et un mot de passe, puis de recourir à un deuxième facteur pour obtenir un code à usage unique. Ces codes sont généralement transmis par une application d'authentification ou par SMS. Dans le cadre de la 2FA, le second facteur est sollicité à chaque tentative d'authentification. 

La 2FA et la MFA peuvent toutes deux intégrer des attributs contextuels, tels que l'appareil de l'utilisateur, son navigateur, son adresse IP, son emplacement ou l'heure de la journée, mais la MFA a tendance à aller plus loin et peut ajouter un troisième voire un quatrième facteur. Certains changements de contexte, par exemple l'emplacement de l'utilisateur ou son appareil, ou même la sensibilité de l'application à laquelle il accède, déclencheront une authentification supplémentaire connue sous le nom d'authentification renforcée. Si le contexte est en tout point conforme aux attentes, le système peut exiger une authentification allégée et faciliter l'accès pour l'utilisateur.

L'authentification sans mot de passe, qui gagne en popularité, peut être utilisée seule ou dans le cadre d'une stratégie 2FA ou MFA.

 

Les avantages de l'authentification sans mot de passe

Selon une  étude récente   d'ESG, 54 % des entreprises mettent en œuvre, testent ou évaluent l'authentification sans mot de passe et 31 % d'entre elles la classent en tête des priorités de leur stratégie d'identité.¹ 

Les raisons pour lesquelles les entreprises étudient les solutions d'authentification sans mot de passe sont très diverses :

Pour renforcer la sécurité :  les mots de passe constituent une vulnérabilité importante en raison de leur réutilisation et de leur partage avec d'autres personnes, ce qui les rend incontrôlables. Les mots de passe sont à l'origine de 81 % des violations, selon le  rapport Consumer Identity Breach 2021 de ForgeRock. Avec l'authentification sans mot de passe, les identifiants de connexion sont uniques pour chaque site Web et ne quittent jamais l'appareil de l'utilisateur. Contrairement au duo nom d'utilisateur et mot de passe, les identifiants ne sont jamais transmis sur Internet, ce qui élimine les attaques de type « man-in-the-middle ».

Pour améliorer l'expérience utilisateur :  les mots de passe génèrent toute une série de problèmes qui se traduisent par de mauvaises expériences, et la plupart d'entre nous savent de quoi il retourne. Or les problèmes de convivialité ont des conséquences réelles qui pèsent sur les résultats financiers. Par exemple, si un client de votre site ne se souvient pas de son mot de passe, il est fort probable qu'il abandonne son panier d'achat plutôt que d'effectuer la procédure de réinitialisation. En proposant aux clients la possibilité de s'authentifier sans mot de passe, vous éliminez cette frustration. Vos clients peuvent compter sur des dispositifs de connexion pratiques, tels que les notifications push sur leurs appareils mobiles et la reconnaissance faciale, ce qui simplifie le processus.

Pour sa rentabilité :  Les mots de passe font augmenter le volume d'appels au service d'assistance et nécessitent une maintenance constante de la part des équipes informatiques. L'abolition des mots de passe permet de réduire le nombre de tickets d'assistance et de laisser le service informatique se consacrer à des questions plus importantes. Et surtout, en simplifiant les processus de connexion et de paiement, l'authentification sans mot de passe réduit les risques d'abandon du panier d'achat.

L'authentification sans mot de passe est-elle sécurisée ?

Si les mots de passe étaient sûrs, nous ne verrions pas apparaître constamment des rapports sur les violations de données. Les hackers parviennent à injecter du code malveillant dans des logiciels pour s'infiltrer dans des réseaux ou créer des botnets qui déclenchent des attaques par déni de service (DoS). Cependant, il est beaucoup plus facile de craquer un identifiant faible ou d'utiliser des stratagèmes d'ingénierie sociale pour obtenir les identifiants d'un utilisateur final.

Le problème vient en partie du fait que les individus ne réalisent pas que leurs identifiants faibles ne sont généralement pas la cible des cyberattaques. Ils se considèrent comme présentant un faible risque car ils n'ont rien à cacher ou à voler. C'est sans doute vrai dans de nombreux cas. Néanmoins, une fois volés, leurs identifiants peuvent être utilisés pour accéder à un réseau beaucoup plus vaste, sur lequel les hackers peuvent diffuser des malwares et voler des données précieuses. Le destinataire d'un e-mail de phishing n'est qu'un tremplin, rarement la cible finale.

Comment les mots de passe sont-ils volés et exploités ?

Selon  LastPass, un célèbre gestionnaire de mots de passe, les hackers disposent de toute une panoplie d'outils pour récupérer des identifiants.

Le phishing :  un cas classique de vol d'identifiants est celui où le destinataire d'un e-mail clique sur un lien menant à un site (qui semble légitime) et saisit son nom d'utilisateur et son mot de passe, que le hacker recueille. Certains e-mails de phishing contiennent des liens malveillants ou des pièces jointes contenant des malwares. Le téléchargement d'un malware peut infecter un ordinateur avec un logiciel espion ou un enregistreur de frappe, qui peut enregistrer la saisie au clavier, dont les identifiants de connexion, et les envoyer au hacker. 

Le credential stuffing :  cette méthode fait appel à des bots pour tester automatiquement différentes combinaisons de nom d'utilisateur et de mot de passe provenant d'une base de données (volée) afin de voir si l'une d'entre elles permet d'accéder à un site Web. Dans son rapport  State of the Internet (SOTI) – Phishing for Finance, Akamai a dénombré pas moins de 193 milliards d'attaques de credential stuffing dans le monde en 2020. 

Le credential spraying :  Également appelé « password spraying », il consiste à essayer des mots de passe courants (par exemple  motdepasse123) en association avec l'adresse e-mail d'un compte en ligne qui est connue. L'utilisation de bots permet aux hackers de tester rapidement plusieurs milliers d'adresses e-mail dans une base de données.

Les attaques par force brute :  Elles se rapprochent du credential spraying, mais au lieu de tester les mots de passe sur de nombreuses adresses e-mail, elles consistent généralement à tester un grand nombre de mots de passe sur un même compte. Malheureusement, les attaques par force brute font souvent mouche car de nombreuses personnes utilisent des mots de passe simples et faciles à deviner. (Découvrez  nos conseils  pour éviter les attaques par force brute.)

Dans son rapport  Data Breach Investigations 2021, Verizon affirme que les identifiants compromis sont impliqués dans 60 % des violations, précisant que « les identifiants restent l'un des types de données les plus recherchés ».

Comment fonctionne l'authentification sans mot de passe ?

Tout a commencé avec la norme Fast Identity Online 2 (FIDO2) WebAuthn, qui a été approuvée en mars 2019 par le World Wide Web Consortium (W3C). Jouissant d'une prise en charge croissante par les principaux navigateurs et systèmes d'exploitation, la norme WebAuthn permet aux entreprises de proposer une authentification sans mot de passe. Elle délègue l'authentification aux terminaux, par exemple les appareils mobiles ou les ordinateurs, éliminant ainsi tout risque d'interception par une personne malveillante, de même que la nécessité pour les utilisateurs de se souvenir de leurs identifiants.

Lorsqu'un utilisateur enregistre un appareil, il reçoit l'instruction de créer une paire unique de clés publique-privée pour communiquer. Lors de l'authentification, la clé privée, qui est stockée en toute sécurité dans la mémoire persistante et ne quitte jamais l'appareil de l'utilisateur, s'active pour permettre de signer les demandes d'authentification au moyen de la clé de chiffrement publique.

L'utilisation de la norme WebAuthn grimpe en flèche. Au-delà des navigateurs les plus populaires, elle est intégrée aux systèmes d'exploitation tels que Microsoft Windows 10 équipé de l'authentificateur Windows Hello. Ces plateformes permettent de stocker les clés sur ordinateur portable, clé USB et dispositif NFC et Bluetooth, de sorte que les utilisateurs peuvent transporter leur méthode d'authentification avec eux sur différents appareils.

L'authentification sans mot de passe pour les consommateurs

Les chiffres varient selon les enquêtes, mais il apparaît clairement que le nombre de comptes en ligne progresse depuis le début de la pandémie. TechRadar rapporte que les comptes en ligne ont augmenté de 25 % et que les consommateurs en possèdent une centaine en moyenne.

Étant donné que les consommateurs passent plus de temps à acheter des biens et des services en ligne, les entreprises se sont attachées à créer des expériences (également appelées « parcours ») qui soient aussi satisfaisantes que sécurisées pour les clients. En cas de difficulté à se connecter à leur compte ou à effectuer une transaction, les clients iront voir ailleurs. L'authentification sans mot de passe leur évite bon nombre d'inconvénients, par exemple la réinitialisation de leur mot de passe ou le verrouillage de leur compte.

La sécurité des clients dans un monde numérique où la fraude est omniprésente pousse les entreprises à moderniser leur approche en matière de gestion des identités et des accès (IAM) et à mettre en œuvre des solutions basées sur l'intelligence artificielle et le machine learning (IA/ML). Dotées d'une vitesse et d'une précision incroyables, ces solutions, telles que ForgeRock Autonomous Access, appliquent le bon dosage de contraintes pour garantir que les utilisateurs légitimes puissent facilement accéder à leurs ressources et que les tentatives de piratage et autres activités frauduleuses soient instantanément neutralisées.

L'authentification sans mot de passe pour le personnel

À mesure que les applications professionnelles se déplacent vers le cloud, les entreprises déploient des solutions de gestion des identités et des accès dotées d'un système d'authentification unique afin de maintenir une productivité élevée et de limiter les contraintes pour les utilisateurs. Les solutions d'authentification unique modernes, notamment l'ouverture de session sans mot de passe, simplifient l'accès sans sacrifier la sécurité.

Les options d'authentification plus pratiques et plus sûres permettent aux utilisateurs professionnels d'accéder plus rapidement et plus facilement aux ressources. En même temps, l'authentification sans mot de passe soulage votre personnel informatique en minimisant ou en éliminant les demandes de réinitialisation de mot de passe.