Un monde sans mot de passe , ce n’est plus de l’utopie, mais une réalité qui pourrait bien devenir, d’ici quelques années, la norme en matière de protection et d’identification.
Dans notre rubrique cybersécurité nous vous parlons régulièrement, sur Clubic, des fameux mots de passe, de plus en plus difficiles à retenir aujourd’hui, avec un nombre de services croissant et une complexité du password nécessaire pour en renforcer la sécurité. Il existe bien certaines solutions de facilité qui s’avèrent ô combien pratiques, comme les désormais célèbres gestionnaires de mots de passe , mais ces dernières ont elles-mêmes leurs limites. Plusieurs alternatives sont doucement en train d’émerger (notamment auprès des entreprises) pour progressivement aboutir à un monde sans mot de passe.
Le mot de passe, encore roi, mais pour combien de temps ?
Jack Poller, analyste senior fort de 25 ans d’expérience dans l’IT, a publié au nom de l’entreprise de conseil Enterprise Strategy Group (ESG), un document dans lequel il émet l’hypothèse d’une fin des mots de passe, avec quelques chiffres à l’appui. De notre côté, nous avons aussi identifié des solutions – déjà adoptées – qui donnent du crédit à sa thèse.
Il est évident qu’en 2022, le mot de passe souffre de brèches difficiles à combler. Les mots de passe faibles sont une porte ouverte aux hackers, les plus compliqués sont parfois bien trop délicats à retenir. Et face à la professionnalisation et à la sophistication des pirates et des attaques, les mots de passe ne deviennent tout simplement… plus assez sécurisés. C’est ainsi que 17 % des entreprises avouent avoir déjà commencé à progressivement éliminer le password. 37 % testeraient actuellement des solutions alternatives à cet élément d’identification.
Pour les organisations qui ont déjà franchi le pas, le monde sans mot de passe semble aboutir à un vrai rapport gagnant-gagnant : 63 % d’entre elles estiment que l’absence de mot de passe a « considérablement amélioré la sécurité et l’efficacité informatique ». Et 57 % ajoutent que « l’absence de mot de passe a considérablement réduit les frictions, améliorant ainsi l’expérience utilisateur ». 56 % des entreprises font part d’une réduction significative du risque organisationnel. Pour obtenir ces résultats, le cabinet ESG a interrogé 488 professionnels de l’informatique et de la cybersécurité.
Le SSO et le MFA (ou AMF), alternatives crédibles ?
Alors sans mot de passe, comment assure-t-on une identification fiable et sécurisée ? La première des solutions, c’est celle du SSO, le Single Sign-On ou authentification unique. Ce système, idéal dans le cadre du travail hybride, permet aux utilisateurs ou employés d’une entreprise d’accéder à toute une série d’outils ou d’applications grâce à un seul jeu d’identifications de connexion, c’est-à-dire qu’il évite de procéder à de multiples authentifications, en se connectant une seule fois, pour de nombreuses applications.
Si le SSO offre un gain de temps, simplifie à l’extrême le processus d’ouverture d’une session et d’utilisation des applications, limite aussi les risques liés à la sécurité (comme le hameçonnage), il existe encore des inconvénients à utiliser cette solution. D’abord, toutes les applications SaaS (de type Gmail , Outlook et autres, hébergées dans le Cloud) ne sont pas forcément compatibles avec le système SSO. Mais surtout, il y a le cas extrême où un utilisateur, non autorisé, obtient l’accès au SSO : alors, l’individu malveillant n’a pas accès à une application mais à toutes celles connectées via l’identifiant unique. Il y a du bon et du moins bon donc.
L’autre solution qui émerge comme complément mais aussi maintenant comme recours à un mot de passe qui viendrait à disparaître, c’est le MFA (ou AMF), ou authentification multifacteur. Celui-ci permet à l’utilisateur de s’identifier en validant au moins deux éléments de preuve. On y retrouve des avantages comme l’amélioration de la sécurité (on protège l’utilisateur d’une attaque par force brute ou d’une attaque basée sur l’ingénierie sociale), et la protection d’informations sensibles. Si, à première vue, l’AMF semble rendre la connexion au compte plus longue et plus difficile, elle permet aux entreprises d’utiliser des options encore plus avancées, comme le SSO dont nous parlions. Le SSO vérifie alors l’identité de l’utilisateur en passant par l’authentification multifactorielle, et après cette authentification, l’utilisateur se connecte à son programme SSO. Il peut ainsi accéder aux applications prises en charge par le logiciel SSO, sans avoir à se connecter aux applications de façon individuelle, le tout en se connectant à l’aide d’un mécanisme de haute sécurité.
L’authentification multifactorielle a le vent en poupe, puisqu’on estime son taux de croissance annuel à hauteur de 15 % chaque année. L’utilisation massive du Cloud et les enjeux nouveaux de sécurité informatique contribuent à renforcer son adoption. À terme, celle-ci contribuera à écarter progressivement le mot du passe du jeu de l’identification et de la gestion des accès.*