jeudi 2 juin 2016

Et si on se passait des mots de passe ?

Par Frédéric Lefebvre
Ingénieur Avant-Vente
À l’heure où la cybercriminalité ne cesse d’augmenter et alors que le vol de mots de passe est devenu monnaie courante, ne serait-il pas plus judicieux d’abandonner la notion même de mot de passe ?

Les utilisateurs ne savent plus comment mémoriser leurs multiples combinaisons de chiffres et lettres pour respecter des politiques de plus en plus complexes… Ils sont alors régulièrement confrontés à la frustration de ne plus pouvoir accéder à leurs comptes…  de perdre 5 à 10 minutes à chaque fois pour réinitialiser leurs accès.

Plusieurs questions viennent donc à l’esprit : comment gérer cet afflux de mots de passe qui rythme notre quotidien personnel et professionnel ? Existe-t-il des solutions alternatives ? Comment être sûr de bien protéger ses données ?

Trop de mots de passe nous dépassent ?


Le cerveau humain ayant une capacité limitée à mémoriser autant de données complexes, il convient de proposer des solutions alternatives. On constate d’ailleurs que 50% des internautes utilisent des mots de passe identiques pour tous leurs comptes ou encore que les 10 mots de passe les plus courants ouvriraient les portes de 14% des comptes.

En effet, quelle que soit la complexité de la politique de mot de passe mise en place, il y aura fatalement des oublis, des mots de passes notés sur un post-it fixé à l’écran ou stockés dans un fichier texte sur le bureau… Les internautes français utilisent en moyenne 9 fois par an la fonction « mot de passe oublié ». Plus la complexité augmente, et plus les oublis seront fréquents ! Renouveler son mot de passe tous les 3 mois augmente mécaniquement le besoin de réinitialiser son compte, sans parler de la perte de temps engendrée, de la diminution du taux de conversion d’un panier en commande et des besoins en helpdesk…

Cependant, si on laisse le libre choix aux individus, ils utilisent des mots de passe simples et peu sécurisés : les pirates accéderont en quelques minutes à leurs comptes à l’aide de logiciels en accès libre sur internet (via les attaques brute force notamment).
Tous les éléments évoqués précédemment tendent donc à confirmer qu’il faut remplacer la notion de mot de passe et simplifier l’authentification sans pour autant négliger l’ergonomie et la sécurité.

Quelques exemples concrets de moyens d’authentification simples et rapides SANS mot de passe


L’identification RFID (puce sans contact) 


Il s’agit de présenter son support (carte RFID, montre RFID,…)  à un lecteur pour accéder à une zone protégée.

Dans le cadre professionnel, cette technologie est largement déployée pour contrôler l’accès à un ordinateur, notamment dans les centres hospitaliers ou encore le secteur du retail. Elle permet d’offrir un réel confort aux salariés, souvent amenés à se connecter de nombreuses fois par jour à leur session de travail. C’est également le moyen le plus simple et le plus rapide aujourd’hui pour partager efficacement un poste de travail entre plusieurs employés.
Attention en revanche, si l’ergonomie est au rendez-vous, l’inconvénient majeur de cette méthode réside dans la sécurité même de la technologie, facilement piratable pour les applications utilisant le numéro de série public. La perte du support est également problématique.

Ce qu’il faut retenir : c’est une solution pratique, dont le coût de déploiement est relativement modeste, mais peu sécurisée. Elle n’est pas adaptée pour accéder à des données sensibles.


L’authentification par carte à puce ou Token USB


Il s’agit de coupler un support (carte, clé USB) à la saisie d’un code PIN de 4 ou 6 chiffres pour autoriser l’accès au certificat numérique présent sur la puce.

C’est le moyen d’authentification à privilégier quand on désire protéger de manière efficace l’accès à des informations sensibles (SI d’entreprise, accès à un site internet). En effet, il est très difficile (voire impossible) de pirater un certificat et de le faire transiter sur un autre support. C’est le choix qu’a fait Google notamment en proposant une clé USB cryptographique embarquant une puce pour sécuriser l’accès à ses différents services web (drive, mail, etc.).

Ce qu’il faut retenir : la solution est sécurisée mais le coût d’équipement peut s’avérer élevé en cas de déploiement à grande échelle. La clé USB n’est pas une solution tout terrain et peut être un frein en situation de mobilité. 


L’authentification par notification sur smartphone (OTP sur Mobiles)


Il est de plus en plus fréquent sur Internet de devoir prouver son identité à travers un double mécanisme d’authentification. Cela peut prendre différentes formes, dont l’envoi de SMS ou encore l’envoi d’une notification mobile. On parle ainsi d’OTP mobiles (code à usage unique « One Time Password »).

L’avantage du SMS réside en sa faculté à être universel et bien ancré dans les usages quotidiens. En revanche, son coût peut vite grimper en cas d’usage massif. Une alternative intéressante est donc l’utilisation du mode PUSH sur smartphone : l’utilisateur reçoit  son code via une notification qui s’affiche directement sur son écran d’accueil.
Contrairement au SMS, le mode PUSH utilise le réseau 3G/4G ou wifi, ce qui réduit considérablement les coûts. Ce mode d’authentification commence à se démocratiser, notamment auprès des jeunes dont l’usage du smartphone est intensif.
Ainsi, il peut être intéressant pour une banque, une assurance, de déployer ce type d’authentification pour accéder à leurs applications web ou mobile, les jeunes étant de plus en plus nombreux à gérer leurs comptes exclusivement à distance.

Ce qu’il faut retenir : une solution alliant sécurité et ergonomie, adaptée à une cible mobile et connectée. Attention aux SMS, dont le coût peut vite être rédhibitoire.


L’authentification par biométrie


La biométrie consiste à identifier ou authentifier une personne en se basant sur ses caractéristiques physiques (morphologiques). Cette technologie s’ancre progressivement dans les usages et la reconnaissance par empreinte digitale se démocratise.
Le gain est réel et notable : le temps d’ouverture de session diminue sensiblement et il n’existe plus de risque de perte de mot de passe.
Cette méthode comporte tout de même quelques désavantages, notamment si l’empreinte digitale est altérée via la pratique d’une activité manuelle comme le bricolage par exemple ; il existe un risque de ne plus être reconnu lors de l’authentification. Les lecteurs de réseaux veineux peuvent être une bonne alternative pour pallier ce problème.

Preuve de la démocratisation de la biométrie pour le grand public, sa prise en charge native par de plus en plus d’équipements informatiques, et notamment les terminaux multimédias récents. Apple, par exemple, a intégré un capteur d’empreinte digitale « Touch ID » à ses derniers appareils afin de permettre à ses clients d’accéder rapidement et confortablement à leurs applications préférées.

Côté professionnel, la biométrie sera plutôt réservée aux secteurs sensibles, nécessitant une double authentification pour protéger des données confidentielles, comme le secteur bancaire, les assurances ou les départements R&D manipulant des brevets ou autres données sensibles par exemple.

Ce qu’il faut retenir : le coût important des technologies biométriques a longtemps freiné leur développement mais ce n’est plus le cas aujourd’hui. C’est un moyen d’authentification peu onéreux et facile d’utilisation pour les populations équipées de terminaux multimédias récents. Il faut cependant veiller à respecter le cadre imposé par la CNIL : stocker des empreintes ou toutes autres données biométriques dans une base centralisée est interdit. Le stockage doit être local au périphérique utilisé.

L’authentification par Fédération d’identité (mécanismes de Web SSO)


Pour s’affranchir de réauthentifier des utilisateurs, des mécanismes de récupération de l’identité d’un utilisateur déjà identifié sur un site peuvent être mis en place.
Il s’agit de faire transiter l’identité de la personne, de site en site, (applications SaaS, web) en mettant en œuvre des protocoles d’échanges de données (SAML, Oauth, OpenID,…) après avoir mis en place un « contrat » avec le Tiers qui fournira l’identité de la personne.

L’avènement des standards d’échange d’informations respectant les normes de fédération d’identité (SAML, Oauth, etc.) rend de plus en plus simple et rapide l’utilisation de l’identité d’une personne connue sur un autre site que le sien.

Ce qu’il faut retenir : le préalable pour mettre en place ces mécanismes de fédération d’identité est bien entendu d’avoir un fournisseur d’identité sérieux et qui possède des mécanismes d’authentification robustes. C’est nécessairement une voie qu’il convient d’explorer pour tous les éditeurs de sites à destination du grand public.


Confort utilisateur et sécurité renforcée : le duo gagnant


Les moyens d’authentifications sont nombreux et correspondent à des cinématiques très différentes. Selon le secteur d’activité (Banque ; Assurance ; VPC ; Collectivité ; Service Public…), les usages changent et les besoins ne sont pas les mêmes… sécurité, ergonomie, performance, etc.
Afin de faire le bon choix, une nécessité : connaître l’utilisateur.

Une chose est sûre : le développement fulgurant de services Web amène logiquement l’utilisateur à avoir de plus en plus de comptes différents. Les règles de sécurité finissent par être impossibles à gérer pour le commun des usagers et engendrent des frais pour la gestion du remplacement des mots de passe (courriers, helpdesk, mécanismes d’authentification des usagers, etc.), sans compter le temps perdu et l’énervement des internautes.

Ainsi, avec des moyens d’authentification optimisés et un système de SSO (fédération) adapté, l’authentification se fait sans mot de passe, de manière sécurisée, unique et rapide.

Aucun commentaire:

Enregistrer un commentaire