Article issu de la table-ronde : « Passwords: the chronicle of a death foretold? »
Le mot de passe : une protection extrêmement répandue
Les mots de passe sont utilisés par tous et partout. Que l’on veuille se connecter à son poste de travail, à son compte en banque, à sa messagerie, …, nous utilisons, pour la plupart, un mot de passe. Selon l’entreprise Gartner, il est cependant prévu que d’ici 2022, 60% des grandes entreprises et 90% des moyennes entreprises auront implémenté des méthodes d’authentification sans mot de passe dans plus de 50% des cas d’usages. Comment peut-on expliquer une telle prédiction ?
Il a été avancé lors de cette conférence plusieurs raisons pour se séparer du mot de passe. On trouve parmi ces raisons le faible niveau de sécurité des mots de passe, qui peuvent être contournés assez rapidement par des attaquants. On trouve également le fait que ces mots de passe se multiplient, ce qui encourage les utilisateurs à réutiliser souvent les mêmes, ou à les noter quelque part, ce qui est peu recommandable. Il y a également un coût élevé de gestion des mots de passe en entreprise, notamment pour le service informatique. Toutes ces raisons poussent à s’interroger sur l’efficacité du mot de passe, et donc à réfléchir à des moyens de protection plus sûrs.
Aujourd’hui, les facteurs d’authentification se multiplient sur le marché. On peut en distinguer 5 catégories :
• Ce qu’on connaît (mot de passe, code PIN, passphrase, …)
• Ce qu’on possède (pc portable, téléphone, …)
• Ce qu’on est (biométrie, …)
• De quelle manière on agit (écriture manuscrite, …)
• Où et quand on agit
Il y a donc de nombreux moyens de s’authentifier pour accéder à un service, et il pourrait sembler que, de ce fait, le mot de passe soit facilement remplaçable. Cependant, pour le moment, une étude a démontré qu’en 2018, seulement 10% des utilisateurs actifs de Google ont mis en oeuvre le second moyen d’authentification proposé par la messagerie (selon un intervenant de cette conférence).
Ces éléments semblent montrer que le mot de passe est pour le moment ancré dans notre société, et qu’il va être ardu de changer totalement de moyen d’authentification. Comme cela a été soulevé par l’un des intervenants, on trouve beaucoup de points négatifs au mot de passe, mais il a aussi des points positifs. En effet, le système de mot de passe est bien connu du grand public, et c’est un système simple à mettre en oeuvre. De même, le mot de passe est résilient, on peut le modifier facilement, contrairement à ses empreintes digitales ou à la reconnaissance faciale, qui peut être contournée par une photo et qu’on ne peut pas changer ensuite (sauf à faire de la chirurgie esthétique, mais cette solution semble quelque peu extrême). On peut donc comprendre pourquoi le mot de passe est apprécié.
La tendance dans les entreprises est à la simplicité, il faut que les moyens d’identification utilisés ne soient pas trop contraignants, pour ne pas nuire au travail des salariés. Cela explique que beaucoup optent toujours pour le mot de passe, rapide à utiliser. On constate également de plus en plus l’utilisation de la biométrie dans les entreprises, avec les téléphones portables notamment (utilisation des empreintes digitales ou de la reconnaissance faciale).
Le problème du recovery
Peu importe le mode d’identification choisi, un problème subsiste : le recovery. Lorsque l’utilisateur perd son moyen d’identification (perte du téléphone en utilisant un facteur d’identification situé sur celui-ci, …), il existe toujours un autre moyen de se connecter, appelé le recovery. Celui-ci permet la connexion alors que l’utilisateur ne peut plus se connecter avec son moyen habituel. Le problème de ce recovery réside dans le fait que celui-ci consiste la plupart du temps dans un mot de passe, un code PIN ou pire encore, une question secrète (quel est le nom de votre premier animal de compagnie ? …). Ainsi, n’importe quel moyen d’identification peut être contourné dès lors qu’un tel système de recovery est en place. Cela représente donc une faille pour un éventuel attaquant. Cependant, sans aucun moyen de recovery, l’utilisateur qui perd son moyen de connexion va se retrouver bloqué. Il est donc nécessaire de trouver une solution permettant d’éviter ce problème si on souhaite se débarrasser du mot de passe.
Quelle solution envisager ?
Pour se passer de la protection par mot de passe, et éviter le problème lié au recovery, il faut trouver une autre solution, plus efficace et assez simple d’utilisation.
Le meilleur exemple de mesures envisageables pour le futur a été donné par M. MARCQ, qui s’est chargé de mettre en place un nouveau système d’authentification pour la gendarmerie nationale. Le système qu’il a implémenté repose sur une authentification forte, cela ayant été requis par la CNIL en raison des données personnelles que devaient consulter les gendarmes. Ce système d’authentification repose sur une carte professionnelle, qui sert à s’authentifier, à signer, à chiffrer, à imprimer, à faire du contrôle d’accès, … La mise en place de 150 000 cartes a requis la mise en place d’une organisation hiérarchique spécifique, avec différents échelons de délivrance. Dans ce système, ce sont les N+1 qui peuvent délivrer les cartes à leurs N. Il y a également des cartes provisoires, sans nom, pour la création de compte notamment. Actuellement, seul leur client de messagerie fonctionne encore avec un mot de passe.
Cette solution permet d’éviter de nombreux écueils de la protection par mot de passe, en passant par une sécurité beaucoup plus forte, mais en évitant également l’éparpillement des comptes. En effet, en entreprise, de nos jours, les utilisateurs multiplient les comptes (sur des applications cloud, les messageries professionnelles, …). Or, avec un système de protection par mot de passe, la gestion n’est pas centralisée, ce qui implique qu’au départ d’un salarié, il va falloir lui supprimer tous ses accès. Le risque est alors d’oublier un compte, lui laissant alors un accès dans l’entreprise qu’il a quitté, ce qui est évidemment dangereux. Avec un IAM (Identity and Access Management) centralisé, ce risque n’existe plus, puisque l’accès unique de l’ancien salarié sera révoqué, il n’aura donc plus accès à rien.
Un système de la sorte est envisageable dans la majorité des entreprises de taille conséquente. Le seul prérequis est l’organisation d’un système hiérarchique précis pour permettre la délivrance du moyen de connexion. Ce système pourrait bien être le nouveau moyen d’identification au sein des entreprises.
Il se pourrait donc que dans le futur, selon la criticité des services consultés en ligne, le mot de passe disparaisse. En effet, il n’est pas forcément primordial de supprimer les mots de passe pour des sites de moindre importance. Mais la transition vers le 0 mot de passe promet d’être assez longue, et n’arrivera peut-être jamais entièrement.
Intervenants de la table-ronde :
- Clément FOUILLOUX – Manager Digital Trust & Security INVENT
- Sebastien VIOU – Responsable innovation SFR BUSINESS
- Gerard LEYMARIE – Directeur Sûreté/Sécurité ELIOR
- Claire ANDERSON – Sécurité numérique & Cybersécurité ANSSI
- Sebastien MARCQ – Gendarmerie Nationale
- Sarah LEFAVRAIS – IAM Product Marketing Manager THALES
Rédigé par : Antoine COLLILIEUX
