Un Futur Sans Mot de Passe, est-ce Possible ?

Que serait le numérique sans ses utilisateurs ? Rien ! Le numérique est aujourd’hui partout, il est incontournable. Les utilisateurs ont besoin des technologies numériques et le numérique a besoin de ses utilisateurs. Cela explique que ces derniers exigent une expérience utilisateur la plus optimale possible. Cela doit même être la priorité de tout fournisseur de services. Afin que les utilisateurs se sentent en confort, toute fonction sur un site web ou au sein d’une application doit être réfléchie, fluide et compréhensible par le plus grand nombre. Parmi toutes celles que l’on peut accomplir, il en est certaines qui sont plus irritantes que d’autres et qui sont vécues comme des contraintes : sans conteste, tout ce qui a trait à l’identification et à l’authentification est loin de terminer sur le podium des fonctions préférées !

Dans la quête de rapidité et d’efficacité à l’œuvre aujourd’hui autour des technologies numériques, il n’y a pas de doute que la gestion de l’identité du client, premier contact entre un utilisateur et un service, a un rôle primordial. En effet, un utilisateur ne se sentant pas à l’aise avec les étapes d’identification et d’authentification va facilement se détourner du service pour aller à la concurrence. Dans un cadre professionnel, où l’utilisateur doit utiliser ce service quoiqu’il arrive, cela a pour effet d’accroitre son agacement ou sa frustration.

Les mots de passe existent depuis bien avant l’aube de l’Internet. C’est simple, efficace. Les utilisateurs s’inscrivent, choisissent un identifiant ainsi qu’un mot ou une phrase connue d’eux seuls, et le tour est joué, ils sont connectés à leur environnement personnalisé.

Depuis très longtemps, la sécurité repose sur un renforcement de la politique de mots de passe en imposant un nombre de caractères minimum ou l’usage de différentes classes de caractères (majuscules, minuscules, chiffres, spéciaux). Néanmoins, la hausse des enjeux et l’accroissement des puissances de calcul ont conduit à une surenchère dans les politiques de mots de passe en imposant une complexité de plus en plus élevée.

Parallèlement à cela, les politiques de mots de passe ne sont pas homogènes entre elles, la bonne politique n’existant pas réellement ; par conséquent, un mot de passe considéré sécurisé pour une application ne l’est pas pour une autre, ce qui a de quoi perdre les utilisateurs. De plus, une politique de mots de passe n’est pas infaillible. En effet, il suffit que le même couple identifiant/mot de passe soit identique entre deux services et que l’un des deux soit victime de piratage (phishing, vol, etc.) et toute la stratégie de sécurité du second vole en éclats.

Cette solution qui consiste en une relation de confiance entre un service et un opérateur tiers tel Facebook, Google, ou autre, a l’avantage de s’appuyer sur des protocoles aujourd’hui réputés robustes : OpenID Connect et OAuth2. Néanmoins, en règle générale, les réseaux sociaux utilisent, in fine, un mot de passe en bout de chaine. Les réseaux sociaux deviennent des fournisseurs d’identité avec des contraintes de sécurité lourdes qui pèsent sur eux vu leur nombre d’utilisateurs, et par voie de fait, des cibles de choix pour des pirates. Les conséquences d’une fuite des données d’identification et/ou d’authentification deviennent alors potentiellement dramatiques.

Cependant, attention… Bien que séduisante car on délègue l’authentification à des entreprises ayant les moyens d’en assurer la sécurité maximale, il est impossible de baser l’ensemble de sa stratégie d’authentification sur une fédération avec les réseaux sociaux, tout le monde ne possédant pas de compte chez un de ces opérateurs. Cette solution doit être vue comme un complément en raison de sa praticité mais ne peut pas être la seule proposée aux utilisateurs.

Par ailleurs, l’authentification via les réseaux sociaux peut être un plus dans certains cas pour une utilisation dans un contexte B2C car cela apporte un confort d’utilisation, mais dans le contexte du B2B et des utilisateurs internes à une entreprise, les nombreuses questions qui se posent autour de l’intégrité de ces opérateurs ainsi que de leur utilisation des données personnelles font que cette solution est difficilement envisageable.

Quel que soit le nom qu’on lui donne, il s’agit d’un des moyens les plus simples pour augmenter la sécurité de son site ou de son application. De plus, elle commence à faire son chemin dans les esprits des utilisateurs.

Il existe différentes méthodes d’authentification forte. Nous pouvons citer par exemple les plus connues :

• L’utilisation d’une carte à puce et d’un certificat, d’un token physique… : ces méthodes sont robustes mais nécessitent le déploiement d’un matériel et entrainent donc des coûts de fabrication et de logistique. Ceux-ci peuvent avoir un sens, en interne au sein d’une entreprise mais dans le cadre d’un service de type B2C, ils deviennent très lourds et coûteux. De plus, ces solutions sont aujourd’hui en déclin car cela impose une gestion de matériel physique.
  
• La biométrie : elle offre de multiples avantages (rien à retenir pour l’utilisateur, rien à déployer) mais reste aujourd’hui principalement cantonnée à un usage B2C au travers des lecteurs d’empreintes et de la reconnaissance faciale sur les dispositifs mobiles. L’arrivée prochaine de solutions bureautiques qui intègrent l’authentification biométrique, changera peut-être la donne au sein des entreprises.
• L’envoi d’un OTP par SMS ou par mail : ces méthodes très usitées par les sites marchands, assez bien intégrées par les utilisateurs, ne sont malheureusement pas aussi sécurisées qu’elles n’y paraissent. Il est assez aisé d’intercepter un SMS, par échange de carte SIM par exemple, ou un email par phishing. Le NIST reconnait ces failles.

Une façon d’éviter ces faiblesses, via une authentification forte, est l’usage de notifications sur smartphone qui s’appuient sur des éléments secrets spécifiques à un appareil. Ainsi on utilise des moyens tiers déjà en possession de l’utilisateur final, qui peuvent être réutilisés par d’autres services, et non sur un déploiement massif spécifique à un usage précis. Des exemples sont donnés ci-après.

Exemple 1 :
Un client achète un produit sur un site marchand, achat potentiellement d’un montant élevé. Actuellement, pour sécuriser ces transactions, l’utilisateur a déclaré son numéro de téléphone à sa banque, ce qui permet aux opérateurs de paiement en lien avec le site marchand d’envoyer un SMS avec un OTP au client. Au lieu de cela, l’utilisateur enrôle son appareil mobile (et non sa ligne téléphonique) auprès de sa banque, par exemple grâce à un QR code. Ainsi, au lieu de recevoir un SMS, l’utilisateur peut recevoir une notification sur son smartphone avec un message qui pourrait être « approuver cet achat de 2.000€ chez X ». Puis, après avoir été authentifié par son empreinte ou son mobile via la solution embarquée sur son appareil, l’achat peut être approuvé. Aucune page web, aucun mot de passe à saisir, aucun message, juste un terminal de confiance. Ceci est facilement applicable dans un cadre B2C.

Exemple 2 :
Un utilisateur appelle un service clientèle et ce dernier doit l’authentifier. En règle générale, on lui demande de confirmer des informations qu’il a renseignées au préalable, par exemple le nom de jeune fille de sa mère, informations qui peuvent potentiellement être récupérées par un attaquant grâce à des méthodes d’ingénierie sociale. Au lieu de cela, imaginez que les agents du service clientèle activent à distance l’envoi d’une notification sur le mobile de l’utilisateur, préalablement déclaré comme ci-dessus, lui demandant d’approuver ou de refuser la vérification de l’identité par le service clientèle. On accroitrait ainsi sensiblement la sécurité du processus. Cette solution s’imagine parfaitement dans un contexte B2C, lorsque l’utilisateur créé son espace client, ou bien au sein d’une entreprise pour le support informatique interne.

Exemple 3 :
Une des procédures les plus détestées par les utilisateurs est celle de réinitialisation d’un mot de passe. Imaginez alors qu’au lieu de demander l’envoi d’un SMS ou d’un mail, à la fiabilité limitée, ou qui n’arrivent parfois jamais, l’utilisateur puisse demander l’envoi d’une notification sur son mobile préalablement enrôlé lui demandant d’approuver la réinitialisation. Une fois l’accord donné grâce à une empreinte ou par reconnaissance faciale, la fenêtre de saisie du mot de passe s’ouvre et l’utilisateur peut choisir un nouveau mot de passe. La procédure se limite à un seul clic… On peut ainsi renforcer la sécurité de la procédure de réinitialisation de mot de passe des utilisateurs, sans même avoir besoin d’assistance téléphonique.

En étendant l’usage de l’authentification multi facteur, il devient alors tout à fait possible de s’authentifier sans saisir de mot de passe (authentification « passwordless »). En effet, une fois réalisé un enrôlement fiable du smartphone de l’utilisateur, il est tout à fait possible d’utiliser cette méthode d’authentification comme facteur principal. L’utilisateur, sur sa mire de connexion, demande l’envoi d’une notification à un mobile déclaré de confiance grâce à un lien, un bouton ou autre puis valide sur le terminal mobile la demande de connexion. Aucun mot de passe à retenir, token à déployer, juste un lien à établir entre un service et un mobile. L’expérience utilisateur lors de la connexion devient simple, fluide et conviviale, sans secret à mémoriser et à changer régulièrement. De plus, en cumulant cela avec un déverrouillage du mobile de confiance par une empreinte digitale ou une reconnaissance faciale, nous avons ainsi deux facteurs d’authentification et notre authentification est forte et sans mot de passe.

Pour en savoir plus sur l’authentification forte pour les clients et le « passwordless », vous pouvez consulter notre livre blanc gratuit en ligne : Le MFA pour les clients.

Digital.Security, fondée en 2015 par un groupe d’experts de la sécurité informatique avec le soutien du groupe Econocom est un partenaire majeur de Ping Identity depuis plus de 3 ans maintenant. La société a pour vocation d’aider les entreprises à améliorer en continu la manière dont elles protègent leurs informations et les accompagner dans la sécurisation de leur transformation digitale et des opportunités offertes par l’IoT. Prenez un moment pour découvrir le site web de notre partenaire : https://www.digital.security

Arnaud Beaujard, Digital Security

Digital Security Intégration & Projet