De plus en plus de voix s'élèvent, se demandant si « mot de passe » rime encore avec « avenir », lorsqu'il s'agit d'évoquer le futur de l'authentification.
En juillet dernier, le mot de passe perdait son fondateur, Fernando Corbató, disparu après avoir fêté son 93e anniversaire. Moins d'un an après, voilà que nous célébrons la Journée mondiale du mot de passe, véritable clé de sécurité de notre vie numérique dont certains remettent aujourd'hui en cause l'utilité, au moment où de nouveaux moyens d'authentification tentent de s'imposer.
Le mot de passe, indéboulonnable mais concurrencé
Les usages qui découlent du numérique se multiplient, et avec eux les services ou applications, créant de fait une véritable dépendance numérique, renforcée ces dernières semaines par le développement massif du télétravail, qui n'est pas sans conséquence sur le plan sécuritaire. Que l'on retienne un par un tous ses mots de passe ou qu'on les confie à l'un des nombreux gestionnaires de mots de passe du marché, la série de caractères divers et variés n'est plus le seul moyen d'authentification. Si certains veulent le chérir, d'autres pensent pouvoir faire sans.
Élément fondamental et presque indéboulonnable de la sécurité informatique en ligne, le mot de passe, qui permet de se connecter à un appareil, à une application, à son service de streaming vidéo ou de gaming préféré, à un site Web quelconque ou à son compte bancaire, cohabite désormais avec d'autres outils d’authentification.
Outre l'authentification à deux facteurs, désormais bien implantée, les empreintes digitales et la reconnaissance faciale (à terme, la biométrie) sont de plus en plus sollicitées pour sécuriser des services, applications et appareils. « C'est pourquoi de nombreux acteurs de l'industrie technologique envisagent de supprimer le mot de passe depuis des années » témoigne Anthony Di Bello, Vice-président en développement et stratégie chez OpenText. « Une réelle tendance est en train de s’installer, consistant à utiliser les appareils mobiles pour ce que certains appellent l'accès "zéro connexion" ». Et à ses côtés, des sommités des nouvelles technologies veulent aussi supprimer le mot de passe.
Des alternatives plus fortes que le mot de passe ?
Ce qui dessert le mot de passe, c'est le manque de considération dont les internautes font preuve à son égard. Trop souvent encore, les spécialistes de la cybersécurité relaient un classement des mots de passe les plus populaires qui font bondir de leur canapé les internautes les plus avisés : « 123456 », « 123456789 », « qwerty », « azerty », « motdepasse », « football » ou « 111111 » font partie des plus belles pépites.
Aujourd'hui, des organismes comme l'Alliance FIDO, dont les membres éminents (Amazon, Facebook, Samsung, Qualcomm, PayPayl, Visa, Google et récemment Apple) ont l'objectif commun de sécuriser les connexions en ligne en développant un standard d’authentification U2F (second facteur universel). On attend désormais parler du standard de sécurité FIDO2, qui consiste en une authentification à deux facteurs basée sur des clés de sécurité (FIDO2, donc) et des jetons d'authentification, qui permettrait une connexion sans mot de passe en privilégiant le chiffrement et l'anonymisation. Mais pour l'heure, le mot de passe a encore de belles heures devant lui.
On ne le répétera jamais assez, mais dans le cas où vous n'investissez pas dans un gestionnaire de mots de passe, pensez à utiliser un mot de passe différent par service et/ou application, et qui puisse comprendre des chiffres et caractères aléatoires, en plus des lettres, et en jonglant sur les lettres capitales. Jesus Sanchez-Aguilera Garcia, patron du B2B dans la zone EMEA pour McAfee, préconise même de « changer les mots de passe environ tous les trois mois pour rester aussi sûr que possible en ligne et protéger ce qui compte, y compris les informations privées telles que les coordonnées bancaires en ligne ».