Les services Microsoft embrassent un avenir sans mot de passe

Publié le 15 septembre 2021 à 18h30

Dans un post de blog, Liat Ben-Zur, vice-présidente chez Microsoft, a détaillé comment l'entreprise compte éliminer les mots de passe des connexions à ses services.

Dès à présent, il est possible de choisir de supprimer son mot de passe de son compte Microsoft et de privilégier un autre mode de connexion.

Les mots de passe faibles, un risque de sécurité

Les mots de passe, que ce soit au sein des entreprises ou au quotidien, ont toujours été un problème dans la sécurité informatique. D'après Microsoft, 579 attaques de mots de passe sont réalisées chaque seconde. Un nombre qui peut paraître très élevé, mais qui est pourtant logique quand on sait que la plupart des personnes n'utilisent pas de gestionnaire de mots de passe et les créent donc en s'appuyant sur des éléments personnels, comme les noms de leurs animaux de compagnie ou des anniversaires, afin de les retenir. Les mots de passe sont, par conséquent, souvent le premier vecteur d'attaque choisi par des acteurs malveillants.

Plutôt que de se battre contre la nature humaine, Microsoft a décidé de donner le choix de supprimer les mots de passe. À la place, il est désormais possible de choisir entre plusieurs façons pour se connecter aux services de l'entreprise : soit en utilisant Microsoft Hello, soit en utilisant l'application mobile Microsoft Authenticator, soit encore à l'aide d'un code de vérification envoyé sur votre numéro de téléphone ou votre adresse mail.

Une option déjà disponible

La fonctionnalité est déjà disponible depuis mars pour les entreprises, et la firme de Redmond affirme avoir reçu un feedback très positif de leur part. Si vous souhaitez tenter l'aventure, il vous faudra télécharger l'application Microsoft Authenticator, puis aller dans les paramètres de votre compte > Sécurité > Options de sécurité avancées > Compte sans mot de passe. Vous pourrez faire marche arrière de la même façon si vous souhaitez faire revenir les mots de passe dans votre vie.

Si Microsoft Hello, une application d'authentification ou une clé de sécurité physique peuvent être effectivement plus sûrs que des mots de passe faibles et réutilisés ailleurs, il est surprenant que Microsoft considère un simple code de validation comme une alternative sécurisée. Des attaques de type social engineering, où un attaquant se fait passer pour sa victime auprès de l'opérateur mobile de celle-ci et réussit à récupérer un accès à son numéro de téléphone, sont régulièrement documentées. Il est donc conseillé d'éviter cette méthode de connexion.

Sources : The Verge, Microsoft (1), Microsoft (2)

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Cybersécurité

Microsoft

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

ouchdinw

« …une clé de sécurité physique… »
Que se passe il en cas de cassé ou de pertes de la clé , on va chez le cyber serrurier ?

TNZ

Pas de mot de passe, pas de mot de passe … toujours est il qu’ils nous jambonnent bien avec leur double-authent’ à toutes les sauces.

J’ai une partie de mes appareils qui ne supportent pas la plaisanterie. Bon, ceci dit c’est pour Office3615 du taf (y’a pas de chiffre en trop).

« Marche pas ? … Tant pis ! »

Fodger

Perds ton mobile, tu l’as bien profond.

marc6310

Non car clé de récupération dans le cas d’une application d’authentification mais de toutes manières, Microsoft donne ici plusieurs possibilités et deux d’entre elles ne nécessitent pas de mobile

Lepered

Il reste toujours l’option d’employé une autre méthode. Il faut juste avoir noté le MDP quelque part parce que après plusieurs mois voir années sans l’utiliser, il y a peu de chance de s’en rappeler

Fodger

La question ne se limite pas à Micro$oft, mais aux services distants en général.

Aujourd’hui de plus en plus de banque t’oblige à passer par ton mobile pour valider la transaction. Sauf que le jour où tu es bloqué, sans mobile tu ne peux plus faire grand chose c’est un vrai problème.

vVD

Il faut être connecté, ça va coûter une blinde quand on voyage…
Si ce n’était pas dans le cloud, il n’y aurait aucun problème…
Mais le but est de maximiser les chances d’être éligible au Cloud Act, l’espionnage industriel en grand.

mrassol

faut envoyer un courrier électronique, sans s’électrocuter en léchant l’enveloppe

jvachez

Ces nouvelles sécurités sont en réalité très dangereuses pour les utilisateurs et ont très souvent des conséquences plus graves que le faible risque d’avoir son mot de passe volé.

Un changement de téléphone ou de numéro de téléphone peut faire perdre l’accès à des comptes si l’utilisateur ne pense pas à faire le nécessaire sur tous les services à double authentification avant de réinitialiser son téléphone, le changer ou de résilier son numéro car toute la sécurité est basée sur un élément qui n’est plus à la disposition de l’utilisateur.
Il y a d’ailleurs des cas similaires même si ce n’est pas de la double authentification avec Orange qui supprime les boites mails après résiliation et empêche de recevoir des mails de confirmation exigés par certains services.

marc6310

Les services en général (puisque tu veux généraliser quand bien même c’est pas aussi facile) c’est pareil soit tu reçois le code sur mobile ou par e-mail pour les plus light en terme de mise en place du 2FA sinon une application d’authentification a toujours un code de récupération. Parfois même les applications et services eux même disposent d’une code de récupération en plus.

@ jvachez
Les applications d’authentification peuvent être proposées en version «cloud» par exemple j’utilise bitwarden en version premium avec la gestion 2FA et bien si je perd mon téléphone je n’ai qu’a invalider le token d’accès de l’app mobile depuis l’interface web et continuer à utiliser celle ci pour mes codes d’authentification ou l’extension web et puis quand j’aurais de nouveau un mobile réinstaller l’app bitwarden. Comme quoi y’a pas photo sur la sécurité d’un mot de passe classique et d’un mot de passe fort + 2FA.