Ces dernières années, il y a eu une augmentation alarmante du nombre de mots de passe dont une personne doit se souvenir. Alors que les employés des petites et moyennes entreprises utilisent jusqu’à 85 clés, selon un rapport Lastpass, ceux des grandes entreprises en utilisent environ 25 en moyenne. Des géants de la technologie comme Apple et Google essaient de développer des solutions pour que les utilisateurs n’aient pas à mémoriser toutes ces informations d’identification et à s’assurer qu’elles sont sécurisées. Mais les mots de passe tels que nous les connaissons aujourd’hui vont-ils vraiment disparaître ?

Avec son dernier système d’exploitation pour l’iPhone, Apple a publié des clés d’accès. Ou, selon les termes de l’entreprise, “un remplacement de mot de passe”. “Ils sont plus rapides à connecter, plus faciles à utiliser et beaucoup plus sécurisés”, explique l’entreprise. Ce nouveau système permet à l’utilisateur d’accéder à n’importe quelle application ou service via Face ID ou Touch ID – les systèmes de reconnaissance faciale et d’identification d’empreintes digitales d’Apple. C’est-à-dire sans entrer aucune clé à la main.

Parmi les avantages des clés d’accès, Apple mentionne qu’elles sont plus résistantes au phishing (technique permettant d’obtenir les coordonnées personnelles et bancaires d’un utilisateur en se faisant passer pour une entreprise ou une institution qu’il connaît). Josep Albors, directeur de la recherche et de la sensibilisation chez ESET Espagne, considère que ce système est plus sécurisé que les mots de passe traditionnels. “Cela nous empêche d’entrer nos informations d’identification dans des sites frauduleux prêts à les voler, puisque l’identification en tant qu’utilisateurs est gérée de manière cryptée point à point entre notre appareil et le service en ligne auquel nous voulons accéder”, dit-il.

Comment fonctionnent les clés d’accès Apple ?

Lorsque l’utilisateur crée l’une de ces clés d’accès, le système d’exploitation génère une paire de clés cryptographiques unique à associer à une application ou à un compte de site Web. Garrett Davidson, ingénieur au sein de l’équipe d’expérience d’authentification de l’entreprise, explique que l’une de ces clés est publique et stockée sur les serveurs Apple, tandis que l’autre est secrète et reste sur votre appareil à tout moment. “Le serveur n’apprend jamais quelle est votre clé privée et vos appareils la gardent en sécurité”, dit-il.

Ensuite, lorsque l’utilisateur tente de se connecter à l’un de ses comptes, le site Web ou le serveur d’application envoie un “défi” à l’appareil. La clé privée est la seule qui peut le résoudre. La clé publique est ensuite utilisée pour vérifier si la solution est valide, mais elle ne peut pas casser le défi par elle-même. “Cela signifie que le serveur peut être sûr qu’il dispose de la bonne clé privée, sans savoir ce qu’est réellement la clé privée”, explique Davidson.

Les clés d’accès sont cryptées et synchronisées sur tous vos appareils Apple à l’aide du trousseau iCloud. Si un appareil utilisé n’est pas compatible avec ce système de stockage en nuage, un code QR est généré qui doit être scanné avec l’iPhone. Bien que cette méthode de connexion semble assez prometteuse au début, toutes les applications ne la supportent pas actuellement.

Les problèmes des clés traditionnelles

La suppression des mots de passe est l’un des principaux défis des grandes entreprises technologiques pour résoudre certains problèmes de sécurité sur le Web. L’alliance FIDO, qui vise à abandonner les références traditionnelles, implique des entreprises comme Apple, Google et Microsoft. La proposition de Microsoft, selon Albors, est très efficace pour remplacer les mots de passe par des codes numériques générés par une application installée sur le mobile, “bien que celle d’Apple gagne en termes de commodité et d’expérience utilisateur”. La société Mountain View a également préparé “le terrain pour un avenir sans mots de passe depuis plus d’une décennie”.

Parmi les inconvénients des identifiants traditionnels, Fernando Suárez, président du Conseil général des collèges officiels d’ingénierie informatique (CCII), souligne que les utilisateurs doivent en générer un pour chaque service – ou du moins c’est ce qui est recommandé – et le mémoriser ou le sauvegarder. dans un gestionnaire clé. Mais ils ne le font pas toujours. Un sondage Google indique que 13% des Américains utilisent le même mot de passe pour tous leurs comptes et 52% pour plusieurs services (mais pas pour tous).

A cela s’ajoute que les touches les plus utilisées sont « les plus simples » : de « 123456 » à « qwerty » en passant par « password » (mot de passe, en espagnol), « 111111 » ou « je t’aime » (je t’aime, en espagnol). Espagnol), selon le gestionnaire des titres de compétences Nordpass. “Les remplacer par des systèmes biométriques, basés sur les caractéristiques physiques de chaque individu, permet d’authentifier leur identité de manière rapide et fiable”, explique Suárez.

Nuria Andrés, stratège en cybersécurité chez Proofpoint pour l’Espagne et le Portugal, souligne que les mots de passe forment une première barrière critique entre l’utilisateur, l’attaquant et une cyberattaque réussie. “Même dans le meilleur des cas, où une personne accède à un service Web avec un mot de passe unique et assez fort, il est possible de lancer une attaque ciblée qui révèle ces clés et les laisse entre les mains de cybercriminels”, dit-elle.

Les limites d’un monde sans mots de passe

Face au potentiel des clés d’accès d’Apple pour mettre fin à certains problèmes de sécurité des mots de passe, il est encore trop tôt pour évaluer ses éventuelles limitations. ” Soit dit en passant, l’un des problèmes inhérents aux systèmes d’authentification qui utilisent l’identification biométrique est qu’elle ne peut pas être modifiée “, déclare Albors. C’est l’inconvénient d’utiliser quelque chose que vous possédez de manière unique, comme votre visage ou vos empreintes digitales, par rapport à quelque chose que vous connaissez, comme des mots de passe. De plus, l’expert souligne que, dans des cas exceptionnels, quelqu’un pourrait accéder au compte d’un utilisateur s’il est capable d’identification faciale. Une équipe de chercheurs de l’Université de Tel Aviv en Israël affirme avoir découvert un moyen de contourner un grand pourcentage des systèmes de reconnaissance faciale.

Suárez voit deux inconvénients possibles au nouveau système d’Apple. Pour commencer, les systèmes biométriques ne sont pas infaillibles. “Un mot de passe ou un code PIN doit être utilisé comme alternative au cas où la biométrie ne fonctionnerait pas en raison d’un appareil photo cassé ou de toute autre cause”, dit-il. De plus, “en stockant la clé privée sur l’appareil lui-même, si nous la perdons, l’accès aux services basés sur cette technologie n’est pas immédiat”.

La fin des mots de passe ?

Malgré le fait que depuis des années plusieurs entreprises annoncent la disparition des mots de passe traditionnels, il s’agit aujourd’hui encore d’une promesse non tenue. Jordi Serra, professeur d’études en informatique, multimédia et télécommunications à l’Université ouverte de Catalogne (UOC), convient que la proposition d’Apple n’est pas encore suffisamment mise en œuvre. “C’est un pas de plus de pouvoir supprimer les mots de passe à court terme, mais il faudra encore du temps pour que ces systèmes deviennent plus utilisables et sécurisés”, dit-il.

Plus de la moitié des spécialistes des technologies de l’information souhaiteraient protéger leurs comptes par une méthode alternative aux mots de passe et considèrent que l’utilisation de systèmes biométriques augmenterait la sécurité de leurs organisations, selon un rapport du Ponemon Institute. Albors pense que les informations d’identification traditionnelles disparaîtront inévitablement car elles sont inefficaces pour protéger l’authentification en raison du grand nombre de services en ligne et de la tendance des utilisateurs à générer des clés faciles et à les réutiliser. Quand est-ce encore une inconnue : “Bien que cette date se rapproche, cela dépend de l’acceptation des différentes solutions qui sont actuellement proposées.”

Catégorisé: