Malgré tous ses détracteurs, le mot de passe n’est pas mort!

La “mort du mot de passe” est un “marronnier” qui fait régulièrement les gros titres de la presse technologique. On a pu encore le constater au cours des dernières semaines.

L’annonce du nouveau système « Hello » de reconnaissance faciale a offert une occasion de choix. Elle avait été précédée de plusieurs annonces dans le domaine de la biométrie lors du Mobile Word Congress de Barcelone, comme la reconnaissance de l’Iris développée par Fujitsu. Dans un autre domaine, Yahoo a annoncé récemment l’envoi de codes temporaires pour permettre la connexion à sa boite email sans mot de passe.

Bill Gates avait déjà annoncé la mort du mot de passe en 2004. Les prédictions de 2015 sont-elles plus crédibles ?

Tous ces développements sont bien sûr très intéressants et ils font le buzz à juste titre. Mais sont-ils de réels prétendants au remplacement du mot de passe à grande échelle ? Bill Gates avait déjà annoncé la mort du mot de passe en 2004. Les prédictions de 2015 sont-elles plus crédibles ?

Prenons le cas de la biométrie. Sur le papier, c’est un bon moyen de prévenir l’usurpation d’identité et les fraudes associées. On peut vous voler vos mots de passe mais pas vos empreintes digitales ou votre œil. Soit. Mais l’authentification biométrique est aussi piratable: les hackers du Chaos Computer Club ont ainsi réussi à reproduire les empreintes digitales du Ministre allemand de la Défense à partir de photo publiques et à les utiliser sur le capteur biométrique d’un téléphone portable…

Ce qui pose problème, c’est qu’une fois piratées, les données biométriques ne peuvent être modifiées. Vous ne pouvez pas changer votre empreinte digitale ou rétinienne comme un mot de passe, et vous n’avez pas envie que n’importe qui en prenne possession.

Quid des codes temporaires, comme ceux que Yahoo utilise maintenant ? S’ils sont couramment utilisés pour l’authentification forte à deux facteurs, Yahoo a décidé de se passer de l’autre facteur généralement utilisé : le mot de passe. Ce système pose de réelles questions au niveau de la sécurité. Si votre téléphone est la porte d’entrée vers votre email et donc tous les sites web que vous utilisez, il va devenir de plus en plus précieux pour les voleurs. On pourrait se rassurer en se disant que le code PIN nous protège si certains téléphones n’affichaient pas les SMS en notification, même lorsque le téléphone est «bloqué »…

Que se passe-t-il enfin lorsque votre téléphone ne capte pas où qu’il n’a plus de batterie ? Vous pouvez alors recevoir le code sur une autre adresse email accessible grâce à…un mot de passe. Celui qu’on annonce mort est finalement encore bien vivant. Dylan Casey, Vice-Président de Yahoo en charge du produit l’admet bien volontiers, ces codes temporaires ne sont pas pour tout le monde…

Ca n’est en réalité pas tout à fait un hasard si le mot de passe s’est imposé depuis des décennies comme un « standard de fait ». Un peu comme le clavier AZERTY que beaucoup ont cherché à remplacer, il a survécu pour l’instant aux nombreuses innovations qui ont cherché à le remplacer. C’est en effet une technologie peu coûteuse, non brevetée, qui peut être utilisée de manière anonyme et qui permet de gérer la grande majorité des connexions sécurisées sur le web. Pour remplacer le mot de passe comme standard, les autres technologies doivent apporter une meilleure solution, plus sûre et plus pratique, et compenser largement les coûts liés au changement.

Sécurisons le présent avant d’inventer le futur!

Pourquoi n’essayons nous pas de régler les problèmes de sécurité des consommateurs d’aujourd’hui qui utilisent et utiliseront encore des mots de passe ? Employés correctement, les mots de passe sont sécurisés. Ils doivent être différents pour chaque site et composés de caractères alphanumériques choisis aléatoirement. Il est par ailleurs nécessaires de les changer régulièrement. Si vous respectez ces règles et stockez vos mots de passe sous forme cryptée, vous êtes en sécurité. Le vrai sujet ce sont moins les mots de passe que la manière dont nous les gérons. Le cerveau humain n’en est pas capable et c’est pourquoi il doit être suppléé par un outil comme Dashlane.

Les récents développements dans l’authentification en ligne sont très intéressants, notamment pour améliorer les méthodes d’authentification fortes combinant différents facteurs et utilisées pour des données très sensibles. Le mot de passe est cependant le standard de fait de l’authentification en ligne. Pour être en sécurité sur le web dès aujourd’hui, et non pas demain, la seule solution est de renforcer la sécurité de ses mots de passe.