Le mot de passe, trop sensible pour lui faire confiance ?

Cette édition 2021 du Cybermoi/s se concentre sur le mot de passe, avec une ligne directrice : « en octobre, j’apprends à mieux protéger mon mot de passe ». Mais justement, le mot de passe a-t-il fait son temps ? Peut-être convient-il de commencer à le penser.

Certes, le mot de passe reste très majoritairement au cœur des mécanismes d’authentification. Mais ses faiblesses sont bien connues de longue date. Et les risques associés à la compromission d’un compte utilisateur bénéficient d’une prise de conscience croissante. Les attaquants eux-mêmes recommandent de recourir à l’authentification à facteurs multiples (MFA) pour se protéger des ransomwares.

On peut bien sûr penser au vol de données personnelles, au détournement de services SaaS, mais il faut aussi compter avec la possibilité de l’espionnage informatique ou plus prosaïquement les cyberattaques avec ransomware.

Le sujet est en fait déjà au cœur de l’aventure vécue et racontée par Cliff Stoll dans The Cuckoo’s Egg (« le nid du coucou », dans sa traduction en français) : la clé de cette affaire de cyberespionnage réside dans la compromission de comptes utilisateurs. Et cela remonte au milieu des années 1980.

Face à cela, de nombreux acteurs – tels que Auth0, CyberArk, Duo, ForgeRock, IBM, Ivanti, Jamf, Microsoft, Okta, OneLogin, Ping Identity, Thales, ou encore Yubico, pour ne citer qu’eux – essaient de proposer des alternatives.

Il s’agit notamment de profiter de l’extension constante de l’écosystème d’équipements numériques personnels qui nous entoure : de fait, si l’utilisateur d’un smartphone peut s’authentifier auprès de lui par biométrie ou reconnaissance faciale, pourquoi ne pas déporter l’authentification auprès d’un service en ligne ou d’une application métier en la déléguant à l’appareil ? Cela n’a pas vocation à s’appliquer à tous les profils de risque, mais pour beaucoup, cela peut fluidifier l’expérience utilisateur et réduire le recours explicite au mot de passe, et surtout au mot de passe seul.

Une chose est sûre : les utilisateurs sont à la peine avec les mots de passe, leur multiplication, leurs impératifs de complexité et leur renouvellement régulier – encore largement pratiqué, même s’il n’est plus recommandé par le NIST américain.

Et quand bien même des gestionnaires de mots de passe peuvent aider considérablement, leur adoption n’est peut-être pas aussi triviale, pour certains, que d’autres approches. En tout cas, plus ou moins vite, la gestion de l’authentification semble bien en train de faire sa mue. Rien que pour cela, c’était une bonne raison de consacrer le numéro 19 de notre eZine Information Sécurité au mot de passe.