La fin des mots de passe, ce n’est pas pour demain !

Les mots de passe, premier vecteur de cyber‑attaques

A l’heure où l’on fournit de plus en plus d’informations aux sites web (nom, prénom, adresse, e-mail, données bancaires, etc.), et parce que les utilisateurs ne se préoccupent que faiblement de la complexité de leurs mots de passe, les pirates et les fraudeurs trouvent de nouvelles manières d’accéder à nos données de connexion.

Vous avez certainement entendu parler du credential stuffing. Les pirates se procurent des listes d’identifiants volées sur le darknet puis les chargent sur un botnet qui envoie des milliers de tentatives de connexion sur les applications web. Les bons identifiants/mots de passe permettent alors au pirate d’effectuer de nombreuses actions frauduleuses : vol de données, usurpation d’identité des clients, etc. Les contrôles de sécurité standards (blocage IP, limitation de débit, tests JavaScript et empreinte de navigateur) ne suffisent plus pour arrêter ces attaques. En effet, les bots utilisés pour le credential stuffing et la fraude sur le web comptent parmi les techniques les plus sophistiquées. Lorsqu’on sait qu’un compte piraté aurait 17 fois plus de valeur qu’un numéro de carte de crédit volé, on comprend mieux pourquoi certains souhaitent la disparition de l’authentification par simple mot de passe.

WebAuthn : une alternative aux mots de passe

En partant de ce postulat, les géants high-tech (Google, Mozilla, PayPal, Visa, Mastercard, Samsung et Microsoft) se sont penchés sur le problème et ont formalisé l’API Web Authentication plus connu sous le nom de WebAuthn : un moyen de faciliter l’authentification de l’utilisateur tout en répondant aux problématiques de sécurité.
Sans se perdre dans les détails techniques (que vous pouvez trouver ici), WebAuthn, lors de l’enregistrement de l’utilisateur, associe le compte utilisateur à une clé publique. Pour s’authentifier, il suffit alors de résoudre un challenge de l’application : signer un message avec la clé privée.
L’authentificateur peut être tout élément permettant de stocker une clé privée, ou de déchiffrer une clé privée stockée à un autre endroit, de manière chiffrée : clés FIDO, smartphone, etc.
Après plusieurs années de test et de succès auprès des utilisateurs initiés, l’information est rendue publique le 4 mars 2019 : le World Wide Web Consortium (W3C), organisme international qui gère les standards web, et l’Alliance FIDO (Fast Identity Online), une association d’entreprises qui oeuvrent à la sécurisation le web, ont annoncé l’adoption de WebAuthn comme un standard web officiel. Cette standardisation met le système Fido2 à disposition de tous les sites web et répond aux exigences d’aujourd’hui : délivrer une sécurité renforcée, tout en facilitant le quotidien de l’utilisateur grâce à l’éviction du mot de passe.

Alors, allons-nous vers la fin des mots de passe ? Non.

La spécification Web Authn devrait être de plus en plus utilisée. Le développement de moyens alternatifs risque certainement, à terme, de marginaliser la pratique du mot de passe.
Mais nous partageons l’analyse de Troy Hunt : malgré toutes les évolutions technologiques et en dépits des défauts qu’ils peuvent comporter, les mots de passe ne disparaitront pas de si tôt, principalement parce que tout le monde comprend facilement comment cela fonctionne. Tout le monde sait utiliser les mots de passe. Les générations à venir ne connaitront peut être pas le concept de mots de passe mais pour l’heure, supprimer les mots de passe sur l’ensemble de nos systèmes d’authentification ne parait pas envisageable. On observe plutôt la mise en place de système appelés «Risk based authentication» qui permettent d’adapter la force de l’authentification demandée en fonction de la sensibilité de ce qui est accédé.
Vous devrez toujours maintenir la sensibilisation et faire évoluer les moyens techniques autour des mots de passe. Pour cela, le document du NIST 800-63B donne des indications à jour sur le sujet : privilégier des mots de passe long, ne pas bloquer la fonction « copie » du mot de passe, interdire le choix de mots de passe sur des dictionnaires et des règles (cf. algorithme zxcvbn) plutôt que sur des règles de composition, parmi plein d’autres.
Vous pouvez également tester si vos mots de passe se sont retrouvés dans la nature en utilisant les outils du site web have i been powned ou le plus récent Firefox Monitor. Et si tel est le cas, n’oubliez pas de changer vos mots de passe bien sûr !

Estelle de Monchy
Consultante cybersécurité
CGI Business Consulting

Télécharger la lettre CYBERSÉCURITÉ