Le mot de passe à usage unique : c'est pratique, mais ça a ses limites

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 05 janvier 2022 à 17h15

L'Alliance FIDO, qui reconnaît l'utilité du mot de passe à usage unique, s'inquiète du modèle même du password, pas à l'abri du piratage.

Ce petit code d'accès à six chiffres, appelé mot de passe à usage unique, s'avère, il est vrai, bien pratique pour s'authentifier sur un service en ligne, ou pour confirmer une transaction auprès de votre banque par exemple. S'il est populaire et bien utile, il souffre d'une limite : le mot de passe laisse des traces. L'Alliance FIDO, réputée pour ses solutions et protocoles d'authentification, milite toujours pour des normes tendant à réduire notre dépendance au mot de passe. Elle s'explique sur le sujet.

Le mot de passe à usage unique souffre des mêmes limites que le mot de passe traditionnel

Même s'il existe une échelle de sécurité qui dépend de facteurs comme la longueur ou la variété des caractères, le mot de passe le plus complexe peut faire l'objet d'une attaque rondement menée, ou être volé dans une base de données corrompue, puis exposé. Ce mot de passe peut se retrouver sur le dark web, où les pirates se l'échangent pour quelques centimes ou quelques euros.

De là, Andrew Shikiar, directeur exécutif de l'Alliance FIDO, nous dit que « toute forme d'authentification multifactorielle est préférable à l'utilisation des seuls mots de passe ». Selon lui, cette technique permettra « de déjouer la majorité des attaques à distance les plus courantes, comme le phishing ».

On pourrait croire que les mots de passe à usage unique constituent une solution de sécurité renforcée. Pour rappel, il s'agit d'un code unique, généralement à six chiffres, envoyé par SMS ou via des applications d'authentification, qui permet de vérifier l'identité de l'utilisateur. « Ces formes d'authentification multifacteur sont très populaires, parce qu'elles utilisent une technologie facilement disponible », explique Andrew Shikiar. Sauf qu'en fin de compte, le mot de passe à usage unique souffre des mêmes défauts et des mêmes limites que le mot de passe traditionnel. « Il s'agit toujours d'une forme d'authentification fondée sur la connaissance, qui repose sur la saisie par l'utilisateur d'un texte lisible par l'Homme qui doit correspondre au "secret" sur un serveur. »

Privilégier les méthodes d'authentification sans mot de passe

La durée est la différence majeure entre les mots de passe uniques et traditionnels. Mais les premiers cités, à la durée de vie courte, peuvent aussi être manipulés par des pirates, « soit par le biais d'attaques de phishing (où les pirates mettent en place une usurpation d'apparence réaliste d'un site qui transmet le code au vrai site en arrière-plan afin qu'ils puissent prendre le contrôle d'un compte d'utilisateur), soit par des moyens techniques tels que le "SIM Swapping", ou un logiciel de redirection de SIM, qu'ils peuvent facilement se procurer sur le dark web pour une poignée de dollars », détaille Andrew Shikiar.

Pour être pleinement efficace et sûre, l'authentification à plusieurs facteurs doit avant tout reposer, selon l'Alliance FIDO, sur la possession, plutôt que sur quelque chose que l'utilisateur connaît, comme le mot de passe. Une carte biométrique, une carte à puce ou une clé de sécurité présentent cet avantage de la possession. « Les cartes à puce stockent les informations d'identification et le code PIN d'un utilisateur. » Elles servent de clé pour authentifier l'utilisateur sur la carte quand le code PIN est saisi.

Andrew Shikiar ajoute que les méthodes d'authentification sans mot de passe, donc fondées sur la possession, restent à l'abri des attaques à distance et autre phishing. Les informations de l'utilisateur ne sont en effet pas stockées dans le Cloud ni sur un serveur d'entreprise, ce qui exclut qu'elles fassent l'objet d'une fuite de données. Elles sont aussi plus simples à retenir : « Au lieu de devoir retenir et gérer différents mots de passe, il suffit souvent d'appuyer sur un bouton pour s'authentifier en toute sécurité. »

Source : Alliance FIDO

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Duben

Il faudrait déjà arrêter de nous demander des mots de passe dignes du FBI sur tous les sites. Si la plupart des sites étaient moins gourmands en données personnelles, ce serait pas utile.

C’est une dérive qui fait que les gens finissent par avoir un mot de passe unique pour tous les sites qu’ils visitent. Pour la banque ok, pour les mails ok, pour les impots ok, pour des sites à services sensibles c’est tout à fait logique, mais pour des sites de news, de divertissement… aucun intérêt à avoir des authentification si fortes.

il en résulte que quand on va sur un site lambda, on finit par y mettre le même mot de passe que sa banque. Parce que retenir autant de mots de passe compliqués qu’il y a de sites, c’est compliqué. Et la plupart des gens vont aller au plus simple et ne pas se tourner vers des solutions techniques qu’ils ne connaissent pas ou ne maitrisent pas

sirifa

J’ai des compte jetable pour les sites qui demande un compte sans grand intérêt comme sur clubic.
Donc le mot de passe est aléatoire, je l’ai pas sauvegarder, je ne le connais pas, l’email est un email temporaire. Donc quand le token viendra a expiration (ce qui est vachement long) bien je referais un nouveau compte.

MPM2019

Eh les mecs vous n avez jamais entendu parler de Bitwarden ???
J’ai un mdp différent sur 32 caractères pour chaque site. J en connais aucun et c est normal puisque je ne les saisis jamais, ni sur mon ordi ni sur mon téléphone. Et en plus c est gratos.
Pour moi les pb de mdp c est la préhistoire de l informatique

alabifr

Pareil, sauf que moi c’est Keepass. Des mots de passe très longs, et quand c’est possible, authentification a deux facteurs avec Authy. Seulement voilà… les sites permettant la double authentification sont rares

juju251

C’est compliqué, oui, en effet.
Même avec une méthode de génération comme je me l’était fabriqué il y a quelques années, ça devient chaud, surtout quand certains sites ne permettent pas d’utiliser certains caractères ou en limitent le nombre (spéciale dédicace aux sites des banques ).

Sauf que « le plus simple », en matière de sécurité c’est souvent catastrophique (genre, plus aucune sécurité quoi) …

Quoi que l’on en dise, l’informatique reste un outil et son utilisation impose des contraintes.
Bref, tout cela pour dire qu’utiliser un gestionnaire de mots de passe est à la portée de beaucoup de monde (ou sinon, il est encore possible d’utiliser un carnet ).

Winpoks

Vous êtes hors sujet là. Le sujet n’est pas votre mot de passe pour les sites, mais l’utilisation d’authentificateur comme Google Auth pour la double authentification.
Ils recommandent l’utilisation de clefs de sécurité par exemple.

Pour ma part j’en ai plusieurs que j’utilise pour la connexion à des sites persos ou serveurs distants. Par contre, il est toujours regrettable après plusieurs années qu’une majeurs parties de sites suggérant la double authentification ne le proposent pas plus. Les sites sont assez rares et ne proposent souvent qu’un authentificateur comme Authy, Google Auth ou Authentificator (microsoft) pour citer les plus importants.
Et même du côté des gestionnaires de mot de passe, ce n’est pas par défaut. BitWarden commence à l’intégrer, mais ce n’est pas encore ça. Dashlane ne permet plus de l’utiliser sur ordinateur du fait de l’obligation de passer par leur plugin de navigateur qui reste incomplet au possible. Keepass lui le permet pleinement.

bossay

Les sites sont assez rares et ne proposent souvent qu’un authentificateur comme Authy, Google Auth ou Authentificator (microsoft) pour citer les plus importants.

Si j’ai bien compris cette phrase, je partage une info utile: en général, quand un site propose le 2FA via une app, qu’il te propose(/impose) d’utiliser Google Authenticator, ou MS Authenticator, ou Authy, en fait tu peux toujours utiliser l’application de ton choix. C’est le même protocole entre les apps, et elles peuvent toutes scanner le QR Code fourni par le site en question.

J’utilise et recommande Authy qui se synchronise sur plusieurs appareils si on le souhaite (on peut bloquer la fonctionnalité), là où Google Auth ou MS Authenticator te laissent penser qu’une fois que tu as scanné ton QR Code, c’est fini, tu es obligé d’utiliser cette app sur ce téléphone

Duben

Oui par plus simple, ce que je veux dire, c’est que si par exemple Clubic et Pornhub (c’est pour un ami) ne me laissent pas utiliser « azerty123 » comme mot de passe, ce que je peux comprendre, et que l’un me dit il faut 8 caractères et 1 majuscule, l’autre me dit il faut 10 caractères, 1 majuscule, 1 caractère spécial… ben je vais finir par mettre pour les 2 le mot de passe sécurisé que j’ai pour ma banque et qui correspond aux 2 critères.

C’est pas bien, mais c’est finalement la solution de simplicité car j’aurais qu’un seul mot de passe à retenir. Et c’est souvent la démarche pour l’utilisateur lambda parce que la majorité des gens n’a pas envie de se prendre la tête, même si on est d’accord, on devrait.

Alors qu’au final, me faire piquer mon compte Clubic, ça m’est égal, j’ai rien de valeur dessus, à titre totalement personnel, je pourrais mettre 1234 comme mot de passe (mais j’ai bien conscience que la sécurité d’un site va plus loin que mon unique besoin).

Mais ce que je veux dire par là, c’est qu’on est dans le cas de toute chose qui ne fonctionne pas, c’est que l’homme doit s’adapter à la machine et pas l’inverse ^^

jvachez

Le pire dans tout ça c’est que des sites sans importance demandent minuscules, majuscules, chiffres, caractères spéciaux alors que la banque c’est uniquement des chiffres à cause du clavier virtuel.
Comme quoi un mot de passe complexe n’est pas nécessaire.

Winpoks

Ma phrase allait plutôt dans le sens ou ils ne proposaient souvent que l’usage d’une application pour le second facteur. Mais sinon oui, je savais que c’était la même chose.
Jamais essayé Authy, je suis allé sur celui de MS, mais faudrait que je l’essai.