Pourquoi une authentification sans mot de passe ?

Si vous vous êtes inscrits à Skriv pour le tester gratuitement, vous avez pu remarquer que la création de comptes et la connexion sont identiques et particulièrement simples : vous n’avez qu’à fournir votre adresse courriel.

Oui, pas besoin de mot de passe.

Cela peut sembler étrange, dans la mesure où nous sommes habitués depuis toujours à sécuriser nos informations grâce au couple identifiant + mot de passe. À tel point qu’on a du mal à imaginer qu’une autre manière de faire puisse exister.

Comment ça fonctionne ?

Le principe est vraiment simple :
1. Vous donnez votre adresse courriel ;
2. un message vous est alors envoyé à cette adresse, contenant un lien ;
3. lorsque vous cliquez sur le lien, Skriv apparaît et vous y êtes connecté.

S’il s’agissait de votre toute première connexion, votre compte aura été créé en même temps.

Cette opération est à répéter pour chaque navigateur que vous utilisez (par exemple sur votre téléphone, sur votre ordinateur personnel, et au travail).

Dans l’application, il vous est toujours possible de vous déconnecter.

Est-ce que c’est nouveau ?

Par rapport à la technique classique à base de mot de passe, l’authentification sans mot de passe est récente ; d’un autre côté elle a suffisamment d’ancienneté et d’utilisateurs pour ne plus être considérée comme une nouvelle idée loufoque.

La première fois que j’en avais entendu parler, c’était en 2014 dans un article de Justin Balthrop intitulé Passwords are Obsolete. Il y expliquait tous les principes de l’authentification sans mot de passe. Cet article faisait suite à un autre qu’il avait écrit quelques mois plus tôt, Let’s Boycott Passwords, dans lequel il expliquait comment utiliser astucieusement les systèmes de récupération de mot de passe.

Cela avait été l’occasion de m’intéresser au sujet et de lire d’autres articles sur le sujet au fil du temps : Is it time for password-less login? (XOXCO Inc.), More on password-less login (XOXCO Inc.), Passwordless authentication: Secure, simple, and fast to deploy (Mozilla Hacks), How Passwordless Authentication Works (Auth0)

On peut remarquer que les services Medium, Slack et WhatsApp proposent l’authentification sans mot de passe, et que cette méthode est de plus en plus utilisée (cf. statistiques de Auth0).
On peut donc considérer que c’est une méthode qui a fait ses preuves et qui est maintenant bien établie.

Est-ce que c’est sûr ?

Quand j’explique ce système, on me dit souvent «Oui mais si l’utilisateur se fait pirater sa boîte mail ? Ce n’est pas bon au niveau de la sécurité !».

La réponse est assez facile : quelle que soit la technique de piratage utilisée (force brute, attaque au dictionnaire, man in the middle, etc.), la plupart des fournisseurs de courrier électronique ont des moyens plus élaborés pour assurer la sécurité de leurs données que ce qu’une startup comme Skriv peut se permettre.
Ainsi, la plupart proposent depuis longtemps une authentification à double facteur (mot de passe + SMS), et Gmail offre depuis peu une sécurité renforcée à base de “clé” physique branchée en USB (cf. cet article). Ils ont aussi des mécanismes de défense qui leur permettent par exemple de détecter et de bloquer les essais répétitifs. Ce sont autant de technologies que l’authentification sans mot de passe évite d’avoir à implémenter dans Skriv.

Et surtout, il ne faut pas oublier le facteur d’insécurité numéro 1 : les mots de passe particulièrement faciles à deviner (et son dérivé, le mot de passe identique sur tous les sites).
Un autre facteur d’insécurité est lorsque le système d’information d’une entreprise est mal conçu. Nous en avons l’exemple ces derniers jours, avec Twitter qui a demandé à ses utilisateurs de changer leurs mots de passe parce qu’ils étaient stockés en clair dans un fichier de log.

L’absence de mot de passe nous immunise naturellement contre ces soucis.

Néanmoins, ce système n’est pas non plus à l’abri de la moindre faille. Il est notamment tributaire de la chaîne d’envoi des courriers électroniques. Si votre serveur de messagerie n’accepte pas les connexions cryptées, quelqu’un pourrait intercepter les communications et lire vos messages au moment où ils vous sont envoyés.
Il en est de même pour les communications entre nos serveurs et le prestataire que nous utilisons pour envoyer les courriels. Mais la connexion sécurisée est pour nous un critère non négociable quand nous choisissons nos partenaires.

Remarquons au passage que l’envoi de lien de connexion par SMS ne peut pas être considéré comme une méthode sécurisée ; les réseaux des opérateurs télécoms ne sont pas sûrs par nature et les flux peuvent être écoutés. On ne peut les envisager que dans le cas d’une authentification à double facteur, pour renforcer une autre méthode plus sécurisée. D’ailleurs, l’institut américain des standards et des technologies travaille sur une proposition visant à bannir l’authentification via SMS.