Depuis plus d’une décennie, on nous promet qu’un monde sans mots de passe est juste au coin de la rue, et pourtant, année après année, ce nirvana de sécurité s’avère hors de portée. Maintenant, pour la première fois, une forme pratique d’authentification sans mot de passe est sur le point de devenir disponible pour les masses sous la forme d’une norme adoptée par Apple, Google et Microsoft qui permet des clés d’accès multiplateformes et interservices.

Les stratagèmes de destruction de mots de passe poussés dans le passé ont souffert d’une foule de problèmes. L’une des principales lacunes était l’absence d’un mécanisme de récupération viable lorsqu’une personne perdait le contrôle des numéros de téléphone ou des jetons physiques et des téléphones liés à un compte. Une autre limite était que la plupart des solutions n’étaient finalement pas, en fait, vraiment sans mot de passe. Au lieu de cela, ils ont donné aux utilisateurs des options pour se connecter avec un scan de visage ou une empreinte digitale, mais ces systèmes se sont finalement rabattus sur un mot de passe, ce qui signifiait que le phishing, la réutilisation des mots de passe et les codes d’accès oubliés – toutes les raisons pour lesquelles nous détestions les mots de passe au départ – ne disparaissaient pas.

Une nouvelle approche

Ce qui est différent cette fois-ci, c’est qu’Apple, Google et Microsoft semblent tous être d’accord avec la même solution bien définie. Non seulement cela, mais la solution est plus facile que jamais pour les utilisateurs, et il est moins coûteux pour les grands services comme Github et Facebook à déployer. Il a également été minutieusement conçu et examiné par des experts en authentification et en sécurité.

Les méthodes actuelles d’authentification multifacteur (MFA) ont fait d’importants progrès au cours des cinq dernières années. Google, par exemple, me permet de télécharger une application iOS ou Android que j’utilise comme deuxième facteur lorsque je me connecte à mon compte Google à partir d’un nouvel appareil. Basé sur CTAP, abréviation de protocole client à authentificateur—ce système utilise Bluetooth pour s’assurer que le téléphone est à proximité du nouvel appareil et que le nouvel appareil est, en fait, connecté à Google et non à un site se faisant passer pour Google. Cela signifie que c’est imprudeur. La norme garantit que le secret cryptographique stocké sur le téléphone ne peut pas être extrait.

Google fournit également un Programme de protection avancée qui nécessite des clés physiques sous la forme de dongles autonomes ou de téléphones d’utilisateur final pour authentifier les connexions à partir de nouveaux appareils.

La grande limitation à l’heure actuelle est que l’authentification multifacteur et l’authentification sans mot de passe sont déployées différemment, voire pas du tout, par chaque fournisseur de services. Certains fournisseurs, comme la plupart des banques et des services financiers, envoient encore des mots de passe à usage unique par SMS ou par e-mail. Reconnaissant qu’il ne s’agit pas de moyens sécurisés pour transporter des secrets sensibles à la sécurité, de nombreux services sont passés à une méthode connue sous le nom de TOTP, abréviation de mot de passe à usage unique basé sur le temps—pour permettre l’ajout d’un deuxième facteur, qui augmente efficacement le mot de passe avec le facteur « quelque chose que j’ai ».

Les clés de sécurité physiques, les TOTP et, dans une moindre mesure, l’authentification à deux facteurs par SMS et e-mail représentent un pas en avant important, mais il reste trois limites clés. Tout d’abord, les TOTP générés via des applications d’authentification et envoyés par SMS ou par e-mail sont hameçonnables, de la même manière que les mots de passe ordinaires. Deuxièmement, chaque service a sa propre plate-forme MFA fermée. Cela signifie que même lorsqu’il utilise des formes imprudensibles de MFA, telles que des clés physiques autonomes ou des clés basées sur un téléphone, un utilisateur a besoin d’une clé distincte pour Google, Microsoft et toutes les autres propriétés Internet. Pour aggraver les choses, chaque plate-forme de système d’exploitation dispose de mécanismes différents pour la mise en œuvre de l’authentification multifacteur.

Ces problèmes cèdent la place à un troisième : l’inutilisabilité pure et simple pour la plupart des utilisateurs finaux et le coût et la complexité non triviaux auxquels chaque service est confronté lorsqu’il tente d’offrir une MFA.