Publié le 19 mai 2020.
Par La Rédaction

L’avenir du mot de passe, le smartphone ?

Publié le 19 mai 2020.
Par La Rédaction

Les mots de passe sont le point de départ du problème de la violation de données. Il faut un changement de comportement, mais il faut donc briser notre dépendance aux mots de passe. Êtes-vous prêts ?

Début Mai avait lieu la Journée mondiale du mot de passe, en plein Covid-19. Alors que les risques n’ont jamais été aussi forts à cause du confinement des collaborateurs chez eux et à l’utilisation décentralisée des systèmes d’information, où chacun utilise peut-être son ordinateur personnel ! De l’autre coté, les cyberattaquants opportunistes sont en état d’alerte pour en profiter, ce qui signifie que les utilisateurs doivent être plus prudents que d’habitude avec leurs mots de passe. Les logiciels de piratage de mot de passe ne font pas de distinction entre les caractères utilisés mais la longueur le rend plus difficile à pirater. Par conséquent, le personnel devrait être encouragé à privilégier les mots de passe plus longs par rapport à l’inclusion de caractères spéciaux et de chiffres.

Dans une enquête menée par Google en 2019, deux personnes sur trois ont admis avoir réutilisé des mots de passe pour différents services, risquant d’être victime d’attaques d’identité. Et un internaute possède en moyenne 90 comptes en ligne.

Le mot de passe a-t-il un avenir, en particulier compte tenu de l’avènement de l’Internet des objets, qui ne fait que répandre les violations de la cybersécurité ? Les mots de passe ne disparaîtront pas complètement, mais nous devons nous attendre à une authentification plus multifactorielle, même si cela doit encore être pratique à utiliser, tout en offrant un niveau de sécurité raisonnable.

Il est peu probable que cette approche de sécurité en couches prenne la forme de données biométriques, qui ne sont pas elles-mêmes complètement sécurisées et, lorsqu’elles sont volées, irremplaçables, contrairement à un mot de passe. Mais la biométrie n’est pas la seule option. Nous sommes de plus en plus liés à un appareil qui peut être utilisé pour nous identifier. Et c’est un appareil que la plupart d’entre nous portent déjà et utilisent de plus en plus pour accéder à Internet, nos smartphones.

Nous sommes de plus en plus habitués à recevoir des SMS de confirmation sur la sécurité. Mais maintenant, ces appareils fonctionnent également avec leurs propres systèmes de reconnaissance d’empreintes digitales ou faciales. Les fonctionnalités limitées aux téléphones haut de gamme il y a à peine cinq ans sont de plus en plus courantes aujourd’hui et à un prix accessible.

Depuis que Microsoft a lancé son système d’exploitation Windows 10 l’année dernière, une telle authentification sans mot de passe commence également à arriver sur les ordinateurs de bureau. Chez Apple depuis quelque temps déjà, vous pouvez sécuriser votre Mac avec votre Apple Watch. La géolocalisation des appareils, si les utilisateurs souhaitent partager ces informations, est potentiellement une autre couche de sécurité supplémentaire.

Selon une étude réalisée en 2019 par Verizon, 80% des failles de sécurité liées au piratage sont le résultat d’informations d’identification faibles ou compromises.

Dans un sens, cette proposition dirigée par un appareil plus efficace s’apparente à la manière dont un distributeur automatique de billets requiert à la fois un code PIN et une carte bancaire physique. Ou la façon dont l’Estonie, par exemple, a développé son système d’identité électronique, qui fournit à tous les citoyens une carte électronique à puce et à broches conçue pour authentifier l’identité numérique d’un individu.

Le problème fondamental est l’architecture de sécurité en ligne elle-même. L’utilisation d’appareils permettrait non seulement une meilleure expérience utilisateur, les gens étant déjà habitués à déverrouiller leurs téléphones à l’aide de la biométrie mais cela éliminerait aussi les cyberattaques évolutives.

Initiatives

UAE PASS sera la seule identité numérique pour accéder aux services gouvernementaux à Dubaï

UAE PASS fournit une identification numérique autorisée via les smartphones et comprend une fonction de signature numérique permettant aux utilisateurs de signer des documents officiels. Les utilisateurs peuvent accéder à plus de 5 000 services gouvernementaux à l’aide d’un seul nom d’utilisateur et mot de passe.

Le service lancé à Dubaï a déjà été adopté par 200 000 personnes. 29 entités du gouvernement fédéral, 22 organismes gouvernementaux de Dubaï et 31 entités des six émirats restants, ainsi que 10 entités du secteur privé ont déjà mis en œuvre le PASS EAU dans le cadre de leurs transactions numériques.

FIDO Alliance, qui signifie Fast IDentity Online, est une association industrielle ouverte dont l’objectif est de réduire«la dépendance excessive du monde à l’égard des mots de passe en réduisant certains des obstacles à l’adoption de solutions d’authentification plus solides.” L’association a créé des normes techniques ouvertes conçues pour créer des «mécanismes interopérables» plus sûrs que les mots de passe, tels que la biométrie et les dispositifs d’authentification à deux facteurs, facilitant l’adoption par les organisations et les utilisateurs finaux d’alternatives aux mots de passe.

Fido utilise la cryptographie asymétrique à deux clés. Ce ne sont pas les mêmes, mais elles sont liées. L’une s’appelle public et l’autre, une clé privée. Donc, quoi que vous fassiez avec l’une pour chiffrer, vous devez utiliser l’autre pour déchiffrer. Ils correspondent à des paires. Et la technologie FIDO repose sur ce concept.

L’alliance compte désormais plus de 250 membres, dont Amazon, Facebook, Google et Intel. Plus tôt cette année, Apple a également rejoint l’alliance.

Lire aussi
Tech

Comment réduire le doomscrolling ?

Doomscrolling et doomsurfing sont de nouveaux termes faisant référence à la tendance à continuer à surfer ou à faire défiler les mauvaises...