Au revoir, mots de passe — l’authentification sans mot de passe, c’est l’avenir!

Sarah Van De Vyver, février 18, 2022

« Au revoir, mots de passe! Ça a été un plaisir! » Je chante cette petite phrase sur l’air d’une chanson bien connue du groupe rock britannique Supertramp quand je pense à l’évolution que la cybersécurité a connue.

Les mots de passe ou « phrases d’authentification » existent depuis belle lurette; même en Antiquité, ils servaient à distinguer les amis des ennemis. Dans les temps modernes, les mots de passe informatiques sont utilisés depuis plus de 60 ans. Ils ont démontré leur utilité, mais l’heure est venue de leur dire « au revoir ». Voyons pourquoi il est si important de délaisser entièrement les mots de passe pour améliorer votre posture de sécurité et expliquons les avantages que vous procurera une approche d’authentification sans mot de passe.

Les mots de passe sont anciens

L’une des « phrases d’identification » les plus connues est sans doute le « Sésame, ouvre-toi! » d’Ali Baba, mais les mots de passe ont été utilisés comme facteur d’authentification bien avant cela. Le premier des mots de passe informatiques tels que nous les connaissons aujourd’hui remonte à 1961, au Massachusetts, lorsque le premier ordinateur à temps partagé du MIT a été doté d’un mot de passe pour permettre une ouverture de session sécurisée. D’ailleurs, le système à temps partagé du MIT a été le premier à subir une fuite de données. Depuis, les mots de passe ont évolué : d’abord utilisés dans les milieux universitaires, ils sont devenus une forme d’authentification courante, mais leur faiblesse a douloureusement été mise en lumière à maintes reprises depuis cette époque.

Les mots de passe sont vulnérables aux attaques de prise de contrôle de comptes

Statistique ahurissante : 81 % des fuites de données sont causées par des mots de passe peu robustes ou réutilisés, selon le rapport Data Breach Investigation de Verizon de 2020. Dans le rapport de 2021, Verizon indique que la plupart des violations d’ingénierie sociales conduisent à une perte des identifiants, et que ceux-ci ont ensuite été réutilisés dans des attaques par piratage et par logiciels malveillants.

Depuis le début de la pandémie de COVID-19, la cybercriminalité a explosé, ce qui s’est traduit par une hausse des pertes liées à l’identité. Selon l’étude 2021 sur la fraude d’identité de Javelin Strategy and Research, la fraude liée à la prise de contrôle de comptes a entraîné des pertes totales de plus de 6 milliards de dollars en 2021.

La prise de contrôle de comptes commence par des attaques menées par des bots, comme le bourrage d’identifiants : le bot fait appel à des identifiants d’utilisateurs et des renseignements permettant d’identifier personnellement un individu — des identifiants et des renseignements déjà volés — pour accéder à des comptes d’utilisateurs finaux. Une autre technique efficace consiste à perpétrer des attaques par programme de force brute. En utilisant des outils et des bots d’automatisation, les pirates essaient de devenir les mots de passe dans le but d’obtenir un accès non autorisé à des renseignements permettant d’identifier personnellement l’individu et aux comptes bancaires de cet individu.

Lorsqu’un compte a été compromis, le pirate est en mesure de retirer tout l’argent qui s’y trouve, d’accéder à l’information de paiement pour l’utiliser ensuite sur d’autres sites, ou d’effectuer d’autres activités frauduleuses.

Pourquoi éliminer les mots de passe?

Les mots de passe ont un long historique, mais leur avenir sera de courte durée. Les méthodes d’authentification sans mot de passe gagnent en popularité — pas seulement parce que les mots de passe sont vulnérables à diverses attaques et qu’ils diminuent ainsi la sécurité, mais aussi parce qu’ils causent des désagréments et compliquent la vie des utilisateurs. Personne n’a envie d’inventer une combinaison de plusieurs lettres et plusieurs chiffres. Il est difficile de se rappeler de tels mots de passe, et pire encore, ils sont faciles à devenir, à voler et à décoder. L’authentification multi-facteurs faisant appel à une solution d’authentification sans mot de passe crée une meilleure expérience utilisateur pour la gestion des accès.

Les mots de passe entraînent aussi des frais administratifs. En effet, Forrester Research a démontré que les grandes organisations dépensent jusqu’à 1 million de dollars par année sur des interventions de services de dépannage qui impliquent la réinitialisation de mots de passe.

Qu’est-ce que l’authentification sans mot de passe? Est-elle sécuritaire?

L’authentification sans mot de passe englobe toutes les méthodes d’authentification qui ne s’appuient pas sur un mot de passe (statique) ou un secret fondé sur les connaissances pour fournir un accès sécurisé. La preuve démontrant l’identité de l’utilisateur fait donc appel à d’autres facteurs d’authentification, comme un facteur de possession (p. ex. : une application d’authentification mobile, un jeton matériel ou un mot de passe unique), ou une caractéristique biométrique comme une empreinte digitale ou une reconnaissance faciale.

Les solutions d’authentification sans mot de passe sont intrinsèquement plus sécuritaires que les systèmes fondés sur des mots de passe. L’ouverture de session sans mot de passe diminue considérablement le vecteur d’attaque, puisqu’aucun mot de passe ne peut faire l’objet d’une fuite ou d’une interception. En adoptant une approche d’authentification à plusieurs niveaux, qui comprend la sécurité des applications, la sécurité des appareils et une surveillance de la fraude en continu, il est possible d’améliorer davantage le niveau de sécurité.

Avantages de l’authentification sans mot de passe

  • Diminuez les attaques d’ingénierie sociale et les prises de contrôle de comptes qui s’ensuivent
    Le déploiement d’une authentification sans mot de passe améliorera grandement la sécurité. Comme il n’y a aucun mot de passe pouvant subir une attaque par hameçonnage ou pouvant être compromis, le risque d’être exposé à des fraudes d’hameçonnage ou à des attaques de prise de contrôle de compte est grandement diminué.
  • Améliorez l’expérience utilisateur
    Une approche d’authentification sans mot de passe améliore considérablement l’expérience utilisateur. Vos employés et vos clients peuvent accéder à vos services sans devoir se rappeler de mots de passe complexes et les écrire encore et encore. Pour éliminer la gestion des mots de passe et la fatigue liée à ceux-ci, vous pouvez déployer des options d’authentification biométrique comme la lecture d’empreintes digitales ou une reconnaissance faciale pour offrir une expérience utilisateur harmonieuse. En combinant deux facteurs, comme ce que l’utilisateur possède (p. ex. : un appareil mobile lui permettant d’obtenir un code d’authentification dans un message SMS ou à partir d’une application authentificatrice) et ce que l’utilisateur est (p. ex. : une empreinte digitale ou une reconnaissance faciale), vous pouvez obtenir une authentification à deux facteurs (2 FA) beaucoup plus robuste que l’authentification qui fait seulement appel à des mots de passe.
  • Diminuez les coûts grâce à l’authentification sans mot de passe
    La gestion des mots de passe demande énormément de ressources. Éliminer les mots de passe vous aidera à réduire les coûts associés à la réinitialisation et à la surveillance des mots de passe. De plus, en renforçant la sécurité de votre organisation et en diminuant les vecteurs d’attaque, vous diminuez aussi les risques de subir une fuite de données, qui entraîne des coûts très élevés.

Conclusion

L’authentification sans mot de passe, c’est l’avenir. Gartner prévoit que 60 % des grandes entreprises et des entreprises internationales et 90 % des entreprises de taille moyenne mettront en place des méthodes sans mot de passe dans plus de 50 % des cas d’utilisation.

Mettez en œuvre l’authentification sans mot de passe pour diminuer les vecteurs d’attaque, améliorer l’expérience utilisateur et diminuer les coûts d’exploitation.

Social Engineering eBook
eBook

Social Engineering Attacks on Banking Transactions

Learn more about social engineering techniques and how transaction authorization with Cronto can help combat these attacks in this informative ebook.

Download Now

Sarah est responsable du marketing produit chez OneSpan et responsable des solutions FIDO, matérielles et serveur de OneSpan. Elle a plus de 15 ans d'expérience dans les TIC et les communications et a occupé des postes précédents au sein du département Corporate Communications de OneSpan.