L’époque des mots de passe est-elle en train de vivre ses derniers mois ? C’est ce que semblent vouloir les géants du numérique. Nous décryptons les enjeux de cette transition, vers un monde “passwordless” (sans mots de passe) !
Pourquoi est-ce une bonne idée de se passer des mots de passe ?
Voyons d’abord pourquoi trouver une alternative au traditionnel mot de passe est devenu aujourd’hui impératif.
Trop de mots de passe… tue la qualité des mots de passe
Les consommateurs, mais aussi les salariés en entreprise, sont à la tête d’une impressionnante collection de comptes et de services en ligne. Des accès aux comptes bancaires, aux réseaux sociaux, en passant par le FAI, le fournisseur d’électricité ou de gaz, les Français ont des dizaines de mots de passe à retenir pour gérer tous ces services.
Or, par manque de connaissances sur le sujet, ou tout simplement pour se faciliter la vie, les utilisateurs ont tendance à utiliser des mots de passe trop simples, de type “123456” ou “admin”, voire “password”.
Ces mots de passe sont évidemment très simples à deviner par les hackers, qui peuvent alors accéder aux comptes et dérober les données personnelles de leurs propriétaires, voire commettre des crimes (vol d’argent, vol d’identité, etc.).
Les pirates se professionnalisent
En parlant des hackers, ceux-ci se sont professionnalisés depuis quelques années, et ils utilisent les technologies les plus récentes et évoluées pour dérober les mots de passe, avec des systèmes permettant de tester des milliers de mots de passe sur un compte donné.
L’utilisation de l’ingénierie sociale permet également de faciliter le travail de détermination du mot de passe.
En bref, le “marché” du vol de données numériques est devenu suffisamment rentable pour que des milliers de cybercriminels se soient engouffrés dans la brèche, au détriment des entreprises et citoyens français.
Et l’enjeu est de taille, selon une étude menée par Norton, 18 millions de français ont été victimes de la cybercriminalité entre 2020 et 2021.
Les techniques avancées ne suffisent plus
Des techniques sont apparues pour augmenter la sécurisation des mots de passe, telles que le SSO (Single Sign-On, permettant de s’authentifier une seule fois pour accéder à plusieurs services en ligne différents), ou encore l’AMF (authentification multifactorielle, via laquelle l’utilisateur doit valider à au moins deux reprises la preuve de son identité), mais celles-ci viennent avec leur lot d’inconvénients également.
La solution : passer au standard FIDO
Emportés par la dynamique insufflée par Microsoft, qui est largement en avance dans ce domaine, Google et Apple ont annoncé récemment vouloir également passer à un monde sans mots de passe.
Le standard FIDO : de quoi s’agit-il ?
Dans un accord commun, Microsoft, Google et Apple ont annoncé leur intention de proposer, dès 2023, un accès sans mot de passe à l’ensemble de leurs services en ligne.
Cette initiative se basera sur le standard FIDO. Il s’agit d’une technologie de connexion très simple : elle utilise le smartphone de l’utilisateur en tant que vecteur de validation de l’identité. Concrètement, pour accéder à un service en ligne, que ce soit via son smartphone ou via son ordinateur, l’utilisateur n’aura qu’à valider son identité, par l’intermédiaire de son système de connexion à son smartphone :
- Code PIN,
- Dessin d’un motif,
- Empreinte digitale,
- Reconnaissance faciale.
Grâce à cette authentification sur le mobile, un identifiant Fido est généré automatiquement et est transmis au site Web auquel l’utilisateur souhaite accéder, permettant ainsi d’en déverrouiller l’accès.
Un obstacle de taille pour les hackers
Cette solution présente un avantage important : il est nécessaire aux hackers d’accéder à l’objet physique que constitue le smartphone de l’utilisateur, pour pouvoir le pirater.
Sachant que l’énorme majorité des hackers se trouvent loin de leurs victimes (souvent dans un autre pays), il semblerait que cette solution technologique soit en effet porteuse d’une révolution dans le monde des mots de passe !
En conclusion : un lien avec le SGIN français
On peut aussi faire un lien entre cette volonté des géants du numérique de dépasser les mots de passe et l’initiative de l’État français dénommée “service de garantie de l’identité numérique” (SGIN).
Il s’agira de proposer aux citoyens français de pouvoir prouver leur identité directement en ligne, via une application ayant préalablement enregistré leur carte d’identité (sous réserve d’avoir une carte d’identité numérique). Grâce à cette nouvelle application, le citoyen pourra accéder aux services en ligne de l’État, sans avoir à mémoriser d’innombrables mots de passe !