Journée mondiale du mot de passe : quel avenir pour le célèbre "password" ?

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 07 mai 2020 à 08h36

De plus en plus de voix s'élèvent, se demandant si « mot de passe » rime encore avec « avenir », lorsqu'il s'agit d'évoquer le futur de l'authentification.

En juillet dernier, le mot de passe perdait son fondateur, Fernando Corbató, disparu après avoir fêté son 93e anniversaire. Moins d'un an après, voilà que nous célébrons la Journée mondiale du mot de passe, véritable clé de sécurité de notre vie numérique dont certains remettent aujourd'hui en cause l'utilité, au moment où de nouveaux moyens d'authentification tentent de s'imposer.

Le mot de passe, indéboulonnable mais concurrencé

Les usages qui découlent du numérique se multiplient, et avec eux les services ou applications, créant de fait une véritable dépendance numérique, renforcée ces dernières semaines par le développement massif du télétravail, qui n'est pas sans conséquence sur le plan sécuritaire. Que l'on retienne un par un tous ses mots de passe ou qu'on les confie à l'un des nombreux gestionnaires de mots de passe du marché, la série de caractères divers et variés n'est plus le seul moyen d'authentification. Si certains veulent le chérir, d'autres pensent pouvoir faire sans.

Élément fondamental et presque indéboulonnable de la sécurité informatique en ligne, le mot de passe, qui permet de se connecter à un appareil, à une application, à son service de streaming vidéo ou de gaming préféré, à un site Web quelconque ou à son compte bancaire, cohabite désormais avec d'autres outils d’authentification.

Outre l'authentification à deux facteurs, désormais bien implantée, les empreintes digitales et la reconnaissance faciale (à terme, la biométrie) sont de plus en plus sollicitées pour sécuriser des services, applications et appareils. « C'est pourquoi de nombreux acteurs de l'industrie technologique envisagent de supprimer le mot de passe depuis des années » témoigne Anthony Di Bello, Vice-président en développement et stratégie chez OpenText. « Une réelle tendance est en train de s’installer, consistant à utiliser les appareils mobiles pour ce que certains appellent l'accès "zéro connexion" ». Et à ses côtés, des sommités des nouvelles technologies veulent aussi supprimer le mot de passe.

Des alternatives plus fortes que le mot de passe ?

Ce qui dessert le mot de passe, c'est le manque de considération dont les internautes font preuve à son égard. Trop souvent encore, les spécialistes de la cybersécurité relaient un classement des mots de passe les plus populaires qui font bondir de leur canapé les internautes les plus avisés : « 123456 », « 123456789 », « qwerty », « azerty », « motdepasse », « football » ou « 111111 » font partie des plus belles pépites.

Aujourd'hui, des organismes comme l'Alliance FIDO, dont les membres éminents (Amazon, Facebook, Samsung, Qualcomm, PayPayl, Visa, Google et récemment Apple) ont l'objectif commun de sécuriser les connexions en ligne en développant un standard d’authentification U2F (second facteur universel). On attend désormais parler du standard de sécurité FIDO2, qui consiste en une authentification à deux facteurs basée sur des clés de sécurité (FIDO2, donc) et des jetons d'authentification, qui permettrait une connexion sans mot de passe en privilégiant le chiffrement et l'anonymisation. Mais pour l'heure, le mot de passe a encore de belles heures devant lui.

On ne le répétera jamais assez, mais dans le cas où vous n'investissez pas dans un gestionnaire de mots de passe, pensez à utiliser un mot de passe différent par service et/ou application, et qui puisse comprendre des chiffres et caractères aléatoires, en plus des lettres, et en jonglant sur les lettres capitales. Jesus Sanchez-Aguilera Garcia, patron du B2B dans la zone EMEA pour McAfee, préconise même de « changer les mots de passe environ tous les trois mois pour rester aussi sûr que possible en ligne et protéger ce qui compte, y compris les informations privées telles que les coordonnées bancaires en ligne ».

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cyber sécurité

Gestionnaire de mot de passe

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Jetto

L’authentification par mot de passe consiste à prouver que vous connaissez un secret à un service qui le vérifie.

Tout ce que vais écrire ensuite est caduc si par ingénierie social ou indiscrétion local il est possible pour un attaquant de deviner le secret.

Reprise de ce que j’ai posté dans une discussion sur un autre site :
Trop d’informations sont échangées lors de l’authentification par mot de passe, car le secret de l’utilisateur est partagé avec le serveur, à l’inscription puis à chaque authentification.

Il existe des moyens de prouver la connaissance d’un secret sans le partager.

Le plus simple à comprendre est le système Lamport : à l’enregistrement, le serveur vous demande votre mot de passe hashé 500 fois. Pour vous identifier la première fois il vous demande votre mot de passe hashé 499 fois. Il le hash une fois et vous êtes authentifié si le résultat correspond à ce qu’il avait enregistré. Il remplace le hash 500 par le 499 que vous venez d’envoyer. Et ainsi de suite jusqu’au hash 1. A ce moment vous devez enregistrer un nouveau mot de passe hasher 500 fois.

C’est juste un exemple, il y en a d’autres mais moins simples à expliquer.

les autres exemples sont les protocoles Schnorr, Guillou-Quisquarter ou Okamoto.

Element_n90

Je ne comprends pas, ne dit on pas que si on est un honnête citoyen, que l’on n’est pas un terroriste et bien l’on n’a rien à cacher donc on ne devrait pas avoir besoin de ce genre de chose ?

nirgal76

tu confonds secret et privé. Avec un mot de passe, on ne cherche pas à avoir des secrets mais à protéger nos données privées.

philumax

la biométrie existe, mais, personne ne veut l’utiliser.
la reconnaissance par empreinte digitale, existe, c’est la plus simple, pourquoi ne pas l’utiliser partout?

bipolaire

La gestion du mot de passe se gère coté Serveur… la biométrie coté utilisateur.
Pour la biométrie, il faut de bon capteurs, de très bon capteurs pour éviter les faux-positifs, l’usurpation et/ou la fronde des utilisateurs parce que ça ne marche pas dans 90% des cas. Et cela coûte cher à implémenter dans les produits bas/milieu de gamme pour contre-balancer l’utilisation du mot de passe.

GeorgesC

les données biométriques sont des noms d’utilisateurs, pas des mots de passe. méfiance à tout les vendeurs de solutions miracles. ce sont de véritables guignols.

le mot de passe est le meilleur que nous ayons à ce jour, mais bien galère de bien les gérer quand on est inscrit à 300 services, catastrophe pour les non technophiles.

le futur: l’authentification par authenticator logiciel ou physique (WebAuthn, FIDO effectivement, bravo clubic à nouveau), qui grâce à un système de clé privée/publique permettra de s’authentifier et d’avoir un répertoire automatiquement crée avec le nom de chaque service/url sur lequel on a crée un compte.

reste un problème qui sera toujours d’actualité: la sauvegarde de nos clés privées. attendons nous à voir fleurir nombre de services de backup de clés en ligne, proposons différents niveaux de services plus ou moins payants. les technophiles seront gagnants sur tout les points.

backsec

Sans certitude, c’est peut-être parce que utiliser la reconnaissance par empreinte digitale implique que tu « partages » ton empreinte lors de la configuration. On touche donc là presque à de l’intimité (« on se donne »), contrairement au mot de passe qui peut être impersonnel.

Encore une fois c’est une supposition. Lorsque je dis « partager » son empreinte, je veux dire que pour certains l’empreinte enregistrée par exemple dans le smartphone pourrait être sauvegardée chez le constructeur (Google, Apple, Samsung…).

Toujours concernant les smartphones, je suis curieux de savoir le pourcentage des personnes utilisant la reconnaissance physique (digitale ou faciale) contre celles utilisant un mot de passe.

faciliteur_de_transit

Pour compléter, comme un mot de passe peut être compromis, une donnée biométrique peut l’être aussi. Dans le cas d’un mot de passe, on change le mot de passe. Et dans le cas d’une donnée biométrique comme une empreinte digitale ou d’un fond de rétine, que fait-on ? on coupe le doigt ? on éborgne ?
Au passage, nous laissons traîner partout nos empreintes digitales, alors comme clef de coffre-fort, une empreinte digitale ce n’est pas ce que l’on fait de mieux.
Un petit mot sur le touch-id d’Apple que j’ai activé sur mon iPhone. La procédure pour enregistrer est simple : il suffit d’aller dans les réglages idoines et le logiciel demande de poser un doigt, puis de l’enlever, puis de le reposer, puis … plusieurs fois. La première fois, j’ai posé mon index, puis la deuxième fois j’ai posé mon majeur, puis l’annulaire et je recommence jusqu’à ce que le système se lasse et valide mes 3 doigts. Et ça marche ! je peux utiliser index, majeur et annulaire pour déverrouiller mon iphone qui ne sait donc pas faire la différence entre ces 3 doigts. Le doute m’habite concernant la fiabilité de ce système.

philumax

quand j’ai écrit ce trhead, j’ai pensé à ce que vous avez dit tous les deux ( backsec et faciliteur_de_transit ). il est bien évident que Google et consort, récupèrent ces éléments biométriques, te promettent (promis juré), qu’elles seront à l’abri de tout et le jour ou un quidam avec plein de sous se pointe et demande ces données, « c’est un cas de force majeure »…
pour moi, un début de solution, passe, par une répression accrue et pas seulement verbale ou « numérique ». tant qu’on ne mettra pas en prison et pour longtemps ce genre de personnage, rien ne changera, sauf le discours.

Rowan

Bonjour !

Choisir de bon mot de passe et les changer fréquemment, c’est bien. Mais la saisie du mot de passe n’est pas le seul élément de l’authentification, qui reste un point sensible.