Journée mondiale du (sans) mot de passe : pourquoi l’avenir de la cybersécurité est sans mot de passe

Les mots de passe forment la pierre angulaire de la sécurité en ligne depuis des décennies. Presque tous les systèmes, apps et appareils requièrent un mot de passe pour pouvoir y accéder Mais cette utilisation des mots de passe est problématique et nous devons arrêter de nous fier à leur niveau de protection. En cette Journée mondiale du (sans) mot de passe, nous avons discuté avec Alex Cox, expert en renseignements sur les cybermenaces et la sécurité, et David Turner, directeur senior de la normalisation chez FIDO Alliance, sur les raisons et les façons de se tourner vers un avenir sans mot de passe, et sur la manière dont votre entreprise peut d’ores et déjà s’attaquer à la problématique des mots de passe.

Le problème des mots de passe

Internet n’a pas été créé avec des mots de passe. La notion de sécurité n’est apparue que quelque temps après. Avec l’évolution et le développement d’Internet, les gens ont eu besoin de sauvegarder et de sécuriser leurs informations contre toute personne désirant y accéder contre leur gré. L’Internet d’aujourd’hui rencontre le même problème, à savoir la nécessité de sécuriser les accès, mais à une échelle bien plus grande. L’utilisateur moyen peut avoir jusqu’à 100 comptes numériques. Si une bonne hygiène des mots de passe consiste à utiliser des codes uniques et propres à chacun de ces comptes, la réalité est tout autre. Avec tous ces mots de passe à mémoriser, les employés vont user de subterfuges pour se simplifier la tâche et ainsi avoir tendance à réutiliser un mot de passe pour plusieurs comptes ou à utiliser des mots de passe similaires n’ayant que très peu de différences entre eux. De ce fait, si l’un de leurs comptes est compromis, tous les autres comptes accessibles avec le même mot de passe sont en danger. « Les personnes malveillantes savent pertinemment que les gens réutilisent leurs mots de passe. » - Alex Cox, directeur de la sécurité informatique chez LastPass L’ingénierie sociale facilite également plus que jamais le vol de mots de passe. Les personnes malveillantes savent que les gens ont tendance à inclure des choses qui leur sont familières ou inspirées de leur vie personnelle dans leurs mots de passe. Elles vont alors glaner des tas d’informations en épiant les réseaux sociaux et autres activités web. Si vous avez des photos de vos animaux de compagnie en ligne et que vous utilisez leurs noms dans votre stratégie de création de mots de passe, ce ne sera qu’une question de temps avant que quelqu’un n’accède à votre compte. L’univers des cybermenaces évolue jour après jour et parfois, même les experts en cybersécurité ont des difficultés à identifier une attaque par hameçonnage moderne, l’une des principales techniques utilisées en ingénierie sociale. « Les pirates ne piratent pas, ils se connectent. » - David Turner, directeur senior de la normalisation chez FIDO Alliance La solution à ce problème suscité par les mots de passe ? Éliminer complètement l’utilisation de mots de passe.

Pourquoi passer au zéro mot de passe ?

Le zéro mot de passe est une option de sécurité très astucieuse. Les avantages pour les entreprises et les utilisateurs vont bien au-delà de la simple protection. Outre le fait de réduire leur vulnérabilité globale en mettant en place des normes de sécurité renforcées et en protégeant davantage leurs actifs, données, utilisateurs et clients, les sociétés bénéficient également des atouts suivants :

• Gain de temps concernant la gestion de la sécurité des mots de passe et ainsi réduction de la charge de travail des services informatiques, pour qui la réinitialisation et la gestion des mots de passe demandent beaucoup de temps et de ressources
• Réduction du temps utilisé et des coûts en matière d’éducation et de formation sur la sécurité
• Expérience fluide des activités de sécurité autant pour les services informatiques que pour les utilisateurs (sécurité maximale, effort minimal)
• Amélioration de la productivité grâce à une gestion des mots de passe et à une simplification des accès qui font gagner du temps
• Amélioration de l’expérience des employés. Dans une étude réalisée par Gartner, 64 % des participants déclarent qu’un univers numérique sans mot de passe leur permettrait de gérer plus aisément tous leurs comptes et 40 % se sentiraient dans l’ensemble « plus détendus ».

La transition vers un avenir sans mot de passe

Les experts sont unanimes : la transition vers le zéro mot de passe ne se fera pas en un jour. Il faudra quelques années avant de pouvoir appliquer véritablement l’accès sans mot de passe à tous les appareils, navigateurs et sites par le biais de la norme FIDO2. Le chemin pour y parvenir est complexe et exige des efforts en matière de soutien et de développement de la part des millions de fournisseurs en technologie. Néanmoins, l’incitation à passer au zéro mot de passe a déjà commencé. Il existe d’ores et déjà différentes façons pour les organisations de limiter les mots de passe pour se connecter ou s’authentifier :

• Les gestionnaires de mots de passe : ces outils permettent de réduire le nombre de mots de passe utilisés par les employés pour leurs activités de suivi et de création à un seul, appelé le mot de passe maître de coffre-fort. Chaque mot de passe peut être généré en respectant un minimum de critères de sécurité puis stocké de façon à simplifier les accès pour les utilisateurs.
• L’authentification unique (SSO) : vous pouvez également réduire le nombre de mots de passe utilisés en mettant en place le SSO. Le SSO permet aux employés ou utilisateurs d’accéder à leurs applications avec un seul jeu d’identifiants de connexion, en s’appuyant sur l’identité et les autorisations des utilisateurs.
• L’authentification multifacteur (MFA) : la MFA constitue une deuxième couche de protection pour la sécurité des mots de passe. Cette technique d’authentification vérifie l’identité d’un utilisateur avant de lui accorder l’accès et permet ainsi une connexion sans mot de passe. Les facteurs utilisés par la MFA comprennent les notifications push des appareils mobiles pour les applications d’authentification iOS et Android, la biométrique comme la reconnaissance faciale, la lecture des empreintes digitales ou la reconnaissance vocale, les codes par SMS et les mots de passe à usage unique.
• Les clés physiques : une clé physique, telle que YubiKey, est une autre forme de MFA. Il s’agit d’un élément matériel comme une clé USB, que l’utilisateur détient et connecte à son appareil (téléphone ou ordinateur portable par exemple). Comme il n’y a qu’une seule clé physique par utilisateur, l’accès est plus sécurisé.
• Les clés de sécurité : s’appuyant sur les normes FIDO, les clés de sécurité permettent de remplacer les mots de passe en fournissant des connexions plus rapides, plus faciles et plus sécurisées aux sites web et applications sur les appareils d’un utilisateur. Contrairement aux mots de passe, les clés de sécurité sont toujours robustes et résistent à l’hameçonnage.

LastPass est déjà sur la voie du zéro mot de passe. L’année dernière, lors de la conférence RSA, LastPass avait annoncé la mise en place d’une connexion sans mot de passe au coffre-fort installé sur les ordinateurs de bureau par le biais de son outil LastPass Authenticator, et son intention d’élargir sa gamme d’options de connexion sans mot de passe en 2023. Par la suite, LastPass fournira aux utilisateurs une connexion sans mot de passe aux postes de travail et d’autres options de connexion sans mot de passe compatibles à la norme FIDO2, comme les clés physiques (YubiKey) et clés logicielles (biométrique), pour accéder à leur coffre-fort. Enfin, LastPass soutiendra également la création, le stockage et la gestion de clés de sécurité. Il est temps d’abandonner les mots de passe et de créer des expériences en ligne plus efficaces, plus pratiques et plus sécurisées. Pour en savoir davantage sur les avantages de la sécurité sans mot de passe et sur la façon dont vous pouvez d’ores et déjà commencer à mieux sécuriser votre entreprise, visionnez dès maintenant le webinaire de LastPass et de FIDO Alliance. Excellente Journée mondiale du (sans) mot de passe !