Pour toutes les entreprises, l’authentification est un enjeu majeur de sécurité et bien souvent, la principale source de vulnérabilité de la sécurité de leur réseau.
L’authentification des clients est en constante évolution, à un rythme toujours plus rapide. Pourtant, la façon dont nous accédons aux services n’a pas beaucoup changé : les mots de passe restent la principale méthode d’authentification des utilisateurs. Arriverons-nous un jour vers un monde sans mot de passe ?
Pour toutes les entreprises, l’authentification est un enjeu majeur de sécurité et bien souvent, la principale source de vulnérabilité de la sécurité de leur réseau.
Le besoin d’authentification forte s’explique aujourd’hui par la convergence de plusieurs éléments : l’essor des portails clients, l’adoption rapide des technologies IoT, la conformité règlementaire, et la sophistication des menaces.
Le passage à l’authentification sans mot de passe (Passwordless) est devenu un sujet d’actualité. Néanmoins, il n’est pas envisageable, à l’heure actuelle, de fonctionner complètement sans mots de passe. Nous nous posons donc la question: « Comment les moyens d’authentification vont-ils évoluer dans les années à venir ? »
Les limites des mots de passe
La plupart des organisations utilisent encore les mots de passe traditionnels comme méthode d’authentification principale. Cependant, la multiplication des comptes utilisateurs crée de nombreux problèmes :
- expérience utilisateur médiocre: difficulté pour les utilisateurs de se souvenir de plusieurs mots de passe,
- coûts d’assistance
- risques pour la sécurité liés aux identifiants compromis.
En effet, 81 %[1] des fuites de données connues sont dues à des identifiants faibles, réutilisés ou volés. Ainsi, les mots de passe sont les principales cibles des cybercriminels.
Par conséquent, les problématiques posées par les mots de passe poussent les entreprises à chercher d’autres solutions pour renforcer la sécurité. Les associer à des technologies et facteurs d’authentification supplémentaires est essentiel.
Évaluation des méthodes d’authentification actuelles
L’une des solutions est d’ajouter des couches d’authentification supplémentaires. Il existe plusieurs possibilités pour combiner des facteurs d’authentification. Le concept de l’authentification multi-facteur (MFA) repose sur le fait que chaque facteur compense la faiblesse des autres facteurs afin de renforcer la sécurité. Traditionnellement, l’authentification multi-facteur peut exiger deux ou plusieurs des facteurs suivants :
- La connaissance (ce qu’il sait) : mot de passe, code pin, question secrète, etc.
- L’inhérence (ce qu’il est) : empreintes digitales, reconnaissance faciale et vocale, géolocalisation, biométrie comportementale, etc.
- La possession (ce qu’il possède) : jetons, cartes, mots de passe unique envoyés par SMS ou par e-mail (One-Time-Password), etc.
L’authentification à deux facteurs (2FA), est plus sécurisée qu’un simple mot de passe, car elle requiert une couche d’authentification supplémentaire. Par conséquent, 2FA permet de réduire l’incidence de la fraude en ligne, comme le vol d’identité et le phishing, car le mot de passe de la victime ne suffit pas pour accéder aux informations.
Cependant, cette méthode n’est pas infaillible. Même si Amazon propose l’authentification à deux facteurs, en juillet 2020, plusieurs comptes d’utilisateurs ont été piratés. De plus, l’authentification à double facteur dégrade l’expérience utilisateur car elle n’est pas adaptée à un large éventail de cas d’utilisation et de situations.
Une bonne stratégie MFA doit être adaptable, intelligente et sécurisé, aux terminaux, aux utilisateurs et aux ressources. L’authentification adaptative permet de trouver un équilibre entre la sécurité et l’expérience client car elle met en œuvre des politiques de sécurité s’adaptant au contexte et basées sur le risque. C’est-à-dire qu’elle ne demande une couche supplémentaire que si nécessaire, sur la base d’une variété de signaux.
Néanmoins, peu d’entreprises utilisent cette méthode car elle comporte des contraintes. En effet, ce moyen d’authentification nécessite plus de maintenance avec des questions liées à la gestion de stockage des données, de confidentialité et du consentement.
Une forte tendance liée à l’authentification mobile consiste à « enrôler » le téléphone afin que celui-ci devienne un des facteurs de MFA. Ce concept permet à l’utilisateur d’obtenir une authentification en temps réel, qui peut répondre à la fois aux exigences de sécurité et de disponibilité. Dans ce cas, le smartphone devient la clé d’accès et une étape dans la MFA. Dans la conception idéale, toutes les données d’authentification sont cryptées et stockées localement sur l’appareil de l’utilisateur, où elles ne sont accessibles que par l’authentificateur mobile.
La domination de l’authentification biométrique
Il est aussi important de tenir compte du niveau de sécurité lors du choix de la méthode d’authentification et des facteurs associés. Parmi les facteurs d’authentification, la biométrie s’est rapidement distinguée comme la plus pertinente. Cette méthode permet identifier et authentifier les personnes de manière fiable et rapide, en fonction de caractéristiques biologiques uniques.
Mais aujourd’hui, la biométrie est surtout utilisée comme composante de la MFA. Puisque même si la biométrie renforce la sécurité, elle peut engendrer des conséquences plus lourdes en cas de violation des données. Si un mot de passe est compromis, il peut être modifié. En revanche, les données biométriques restent toujours les mêmes. La question qui se pose ici est comment peut-on recouvrer son identité compromise.
En Asie et aux États-Unis, l’adoption des méthodes d’authentification mobiles et biométriques est plus rapide qu’en Europe. Parce qu’en Asie, il y a un déploiement massif du téléphone mobile pour des usages de type bancaire ou de paiement. Tandis qu’en Europe, la méthode la plus utilisée est l’OTP (One-Time-Password), soit pour confirmer un paiement, soit pour effectuer un changement de mot de passe ou d’adresse par exemple.
Vers un monde enfin sans mot de passe ?
Bien que les solutions à double facteur et multi-facteur adaptative permettent de renforcer la sécurité, elles restent encore des méthodes à mot de passe avec en particulier le risque que le terminal soit compromis. Compte tenu des risques de sécurité et des problèmes d’utilisabilité des mots de passe, nous avons donc de bonnes raisons de passer à l’authentification sans mot de passe. Pour maximiser la sécurité tout en minimisant les points de frictions pour les utilisateurs, les fournisseurs mettent en avant l’authentification Passwordless comme une solution pour trouver cet équilibre.
Le principe du Passwordless est l’authentification à un ou plusieurs facteurs qui remplace le mot de passe par un facteur plus sécurisé comme un facteur biométrique ou un code PIN. Les technologies Passwordless destinées aux consommateurs se déclinent généralement en deux catégories :
- la biométrie
- l’authentification par l’appareil qui permet l’accès depuis les appareils autorisés et contrôlés.
L’authentification sans mot de passe repose sur le standard FIDO2, la dernière spécification de la FIDO Alliance (Fast Identity Online). Cette alliance non commerciale est créée dans le but de développer des normes pour une authentification sécurisée au niveau mondial. Par conséquent, le standard FIDO2, promu par l’écosystème d’authentification tel que les GAFA et les fournisseurs de protection numérique, facilite la transition vers l’authentification Passwordless.
En conclusion, même si les utilisateurs n’ont pas tous le même niveau de maturité sur l’authentification mobile et biométrique et que les mots de passe restent la méthode la plus répandue malgré ses faiblesses communément admises, la transition vers l’authentification sans mot de passe est bel et bien enclenchée. Son adoption et sa généralisation dépend fortement des mouvements des GAFA mais laisse aussi un espace pour les opérateurs télécom et autres acteurs du numérique.
[1] 2020 Data Breach Investigations Report, Verizon
