Les dirigeants de 1Password décrivent le passage à l'authentification sans mot de passe

Il peut sembler étrange que l'un des plus grands gestionnaires de mots de passe adopte l'authentification sans mot de passe, en plein essor, mais c'est exactement ce que fait l'entreprise de Jeff Shiner.

Ce dernier, Pdg de 1Password, et Anna Pobletts, responsable de l'authentification sans mot de passe, se sont entretenus avec la rédaction de TechTarget lors de l’édition 2023 de RSA Conference sur les défis de l'adoption de l'authentification sans mot de passe, aussi dite passwordless.

Les fournisseurs et les experts en cybersécurité ont longtemps encouragé l’authentification à facteurs multiples (MFA) pour réduire le risque de vol d'informations d'identification. Mais aujourd'hui, l'accent est mis sur l'authentification sans mot de passe. Les clés d’identification – ou clés de passe, et passkeys en anglais – jouent un rôle important dans la transition visant à éliminer le besoin de noms d'utilisateur et de mots de passe que les attaquants ciblent pour compromettre les environnements d'entreprise.

Dans cette optique, 1Password a développé un outil permettant de sauvegarder et de gérer toutes les clés d’identification sur sa plateforme, qui sera lancé en version bêta à partir de juin. Jeff Shiner et Anna Pobletts ont discuté de l'évolution vers l'authentification sans mot de passe, de la menace des attaques aidées par l’IA générative et de l'impact de la brèche de LastPass sur le marché.

Pouvez-vous nous décrire l'évolution vers les clés d’identification ?

Jeff Shiner : Il y a d'abord eu les mots de passe et les noms d'utilisateur, puis sont apparus les annuaires Active Directory (AD), qui allaient résoudre tous les problèmes du monde. Puis, tout d'un coup, les entreprises ont eu 50 AD, et les fournisseurs d'authentification unique (SSO) sont arrivés et ont fait deux choses très intelligentes. Ils ont dit : « nous pouvons être votre AD, mais nous pouvons aussi être une vue d'ensemble de vos AD si vous en avez plusieurs ». 

Nous avions les mots de passe, l'AD et le SSO, puis est arrivé le SSO social – se connecter avec Google, Facebook. Là encore, cela allait résoudre le problème. 

Ensuite, il y a eu des choses bizarres comme les mots de passe à usage unique et les liens magiques bizarres qui envoyaient un code à six chiffres à votre courrier électronique. 

Nous avons toujours cherché une solution. Le problème, c'est qu'il en faut une qui soit utilisable et sûre. C'est ce qu'offrent les clés d’identification.

Anna Pobletts : Les passkeys, sous leur forme actuelle, ont été annoncés il y a tout juste un an. De nombreuses grandes entreprises en ont déployé depuis lors, comme Shopify, Ebay, Best Buy et Kayak.

Comment les passkeys peuvent-ils protéger contre les ransomwares et les attaques de phishing ?

Jeff Shiner : Ce qui est formidable avec les passkeys, c'est que si vous n'avez pas de mot de passe, il n'y a rien que les acteurs de la menace puissent hameçonner. Vous supprimez toute la cible. 

Nous pouvons essayer de lutter contre le phishing en nous défendant contre lui. Mais je pense que ce que nous devons vraiment faire, c'est faire en sorte qu'il n'y ait pas de cible à atteindre. 

Nous avons lu le rapport Verizon DBIR [Data Breach Investigations Report], qui indique que 82 % des violations impliquent un élément humain. 

Nous sommes loin d'en faire assez sur le plan humain. Soyons honnêtes, nous sommes nuls en matière de sécurité, mais nous voulons que ce soit facile.

Anna Pobletts : Il y a des problèmes lorsqu'un site web peut être violé et qu'il stocke tous les condensats (hash) de mots de passe. Mais je pense que le cœur du problème se situe au niveau de l’humain. 

Nous rendons la sécurité difficile dans le monde des mots de passe. C'est à vous de penser aux mots de passe et de ne pas les réutiliser. Avec les clés d’identification, ce n'est pas le cas. En tant qu'être humain, je n'ai aucune marge de manœuvre pour faire des erreurs.

La manière dont nous nous protégeons actuellement contre le phishing est la sensibilisation et la formation. Mais avec l'apparition de l'IA, les escroqueries par hameçonnage deviennent plus complexes et il est facile de tromper les gens.

Quels sont les défis liés à la transition vers les passkeys ? L'authentification sans mot de passe est-elle réalisable ?

Jeff Shiner : On s'inquiète toujours du fait que si c'est trop facile, les gens ne croiront pas que c'est sûr. Il est intéressant de constater que 75 % des gens sont prêts à utiliser des passkeys [selon une étude 1Password, NDLR], mais l'adoption de l'authentification sans mot de passe prendra un certain nombre d'années. 

Nous serons encore dans un environnement hybride dans les années à venir, mais il y a une chance légitime. Et pas seulement une chance – je pense que cela va se produire avec le soutien des plateformes et des entreprises comme la nôtre. 

Les plateformes seront le porte-voix. Si Gmail et YouTube arrivent et disent que votre compte est sans mot de passe, vous allez rapidement attirer des milliards d'utilisateurs.

Craignez-vous que votre plateforme soit vulnérable aux attaques mettant à profit l'IA générative ?

Jeff Shiner : Nous détenons des blocs de données chiffrés, de sorte qu'aucune donnée n'a de valeur, même pour nous-mêmes. Nous n'avons pas la capacité de déchiffrer ces données. 

Cela fait de nous une cible moins alléchante. Que se passera-t-il si, dans six mois, il y a un appel Zoom et que la personne me ressemble, qu'elle a la même voix que moi ? 

Il serait tellement facile de tromper les gens. Nous devons supprimer la récompense à la fin. 

De nos jours, la MFA est une exigence primordiale pour les entreprises, même pour obtenir des polices d'assurance cyber. Pensez-vous que cela pourrait évoluer pour inclure des méthodes d'authentification telles que les passkeys ?

Jeff Shiner : Je pense que l'absence de mot de passe peut supprimer la nécessité de la MFA. Dans le monde d'aujourd'hui, la MFA est très importante. Mais je crains que les gens ne soient devenus trop blasés. 

Si vous regardez les formulaires de consentement pour les cookies, les premières fois, il y a quelques années, vous regardiez et vous disiez : « quels cookies est-ce que je veux ? Aujourd'hui, on clique simplement sur "ok" ». 

Nous devons veiller à ce que les utilisateurs ne deviennent pas blasés, c'est-à-dire que l'on m'envoie un code à six chiffres et que je suive le lien. 

Il y a un certain nombre de cas où je pense que nous pouvons éviter ces vecteurs d'attaque qui sont, dans l'ensemble, des vecteurs d'attaque humains. 

Il n'y a rien de mal à la technologie. En tant qu'humains, nous sommes parfois paresseux, et les clés d’identification nous aident.

La faille de LastPass s'est produite il y a seulement quelques mois. A-t-elle changé quelque chose dans le secteur ? Qu'est-ce qui distingue 1Password des autres gestionnaires de mots de passe ?

Jeff Shiner : Je dirais les choses comme ça : nous avons connu un trimestre record. La fonction Secret Key, qui génère un code de 128 bits, est ce que j'appelle une différence significative. 

En 2014, alors que nous étions en train de créer une application de type "software-as-a-service", je voulais accomplir deux choses. Si nos données étaient dérobées, nous pourrions dire à nos clients que leurs données sont toujours protégées. Deuxièmement, rendre cette information aussi publique que possible, afin que nous ne devenions pas une cible. 

Le fait que nous soyons au départ une application grand public était également important. Plus nous simplifions les choses pour l'utilisateur final, plus l'application sera adoptée.

Comment l'évolution rapide vers un travail hybride, avec des appareils personnels et professionnels interconnectés, a-t-elle influé sur les besoins en matière d'authentification ?

Jeff Shiner : C'est un changement intéressant qui s'est produit au cours des deux dernières années pour 1Password. Il y a dix ou quinze ans, j'aime à dire que les logiciels étaient vendus sur les terrains de golf. 

Il y avait un vendeur qui apportait le logiciel et des consultants qui le mettaient en œuvre. Par conséquent, le service informatique était au courant. 

Aujourd'hui, les logiciels sont tous apportés par des humains en marge de la société, et le pauvre service informatique a du mal à suivre. Des choses comme le Shadow IT sont devenues un problème. 

Comme vous l'avez dit, le travail et la vie privée se sont mélangés, ce qui ajoute un risque supplémentaire à l'entreprise. Mais quel est le point commun de tout cela ? L'être humain. Si nous pouvons protéger l'être humain, nous pouvons protéger l'entreprise.