Vers un futur sans mot de passe ? Dossier de Maud Laurent pour DOCaufutur

Bill Gates avait annoncé en 2004, lors de la RSA Security Conference : « Password is dead » (le mot de passe est mort). Même si ce n’est pas encore le cas, il semblerait que l’on se dirige vers un futur où le mot de passe pourrait disparaître au profit d’autres technologies plus sécurisantes et plus simples pour les utilisateurs. 

Dans notre vie quotidienne, nous avons chacun des dizaines de mots de passe pour nous connecter à différents services et le moins que l’on puisse dire est que leur gestion est fastidieuse.

La sécurité n’est pas garantie : même en utilisant des mots de passe dits complexes (avec caractères spéciaux, minuscules, majuscules, lettres et chiffres), le piratage comme le phishing par email par exemple, est très facile.

Tommaso De Orchi, Directeur Solutions & Produits de Yubico explique que le « mot de passe est un moyen d’authentification statique, stocké dans une base de données centralisée. Dans le cas où cette base de données est divulguée ou piratée, le mot de passe pourra non seulement être volé, mais pourra également être ré-utilisé pour accéder à d’autres comptes du même utilisateur ».

« Avec le mot de passe, il est complexe d’associer confort et technologie » admet Xavier Larduinat, évangéliste bancaire numérique de chez Gemalto. « Le mot de passe représente ce que je sais alors que la biométrie représente ce que je suis » précise t-il. Pour lui, l’avenir est dans la biométrie. « Actuellement, c’est l’empreinte digitale. Mais dans les mois et années qui viennent, les reconnaissances faciales, vocales ou même de veines seront commercialisées ».

L’intelligence artificielle a un rôle à jouer dans les nouvelles formes d’authentification. En effet, elle permet de mesurer des dizaines de facteurs tels que la géolocalisation, le rythme auquel un utilisateur tape sur un clavier ou encore le type de transaction effectuée. Si l’IA détecte un contexte suspect tel qu’un retrait de 10 000€ à minuit d’un pays où je vais pour la première fois, elle va demander de plus amples preuves d’identité. Cela réduit donc drastiquement les fraudes.

Définir des standards d’authentification, la mission de l’alliance Fido 

L’Alliance FIDO, qui regroupe quelques-uns des plus grands noms de la high-tech, vient de franchir une étape importante en publiant le nouveau standard FIDO 2, créé conjointement avec le W3C (World Wide Web Consortium). FIDO 2 inclut en particulier les APIs WebAuthn qui permettent aux applications web de mettre en œuvre l’authentification forte des utilisateurs.

« L’Alliance FIDO a pour but de standardiser une approche simple de l’authentification mais néanmoins extrêmement robuste qui profitera aux internautes du monde entier » explique Alain Martin, porte-parole de l’Alliance Fido.

Grâce à un protocole intégré, FIDO 2 permet d’utiliser différents systèmes pour s’authentifier en associant une clé de sécurité à la lecture d’une empreinte digitale ou à la reconnaissance faciale, à partir d’un terminal mobile, d’une clé USB, ou encore d’une montre connectée.

« En choisissant le standard FIDO 2, les entreprises simplifient l’intégration de ces moyens d’authentification modernes et conviviaux ainsi que leur déploiement au plus grand nombre » indique Alain Martin.

80% des violations liées au piratage se basent sur le vol de mots de passe

Pour Tommaso De Orchi, Directeur Solutions & Produits de Yubico, un monde sans mot de passe est infiniment plus fiable que les pratiques actuelles. Selon le rapport 2017 de Verizon sur la violation de données, près de 80% des violations liées au piratage se basent sur le vol de mots de passe, et sur la récupération de mots de passe faciles à deviner ou à hacker en raison de leur faible complexité.

« Ceci dit, alors que le standard à deux facteurs se généralise peu à peu, il y a quelques points à prendre en considération afin de nous assurer une expérience sans mot de passe consistante pour de multiples types d’utilisation. Par exemple, les méthodes de récupération de compte ou la création initiale d’un compte devront également être “standardisées”, à un certain degré. Bien que ces protocoles ne fassent pas partie des spécifications standard officielles, cela aidera à développer un ensemble de bonnes pratiques validées et reconnues qui seront unanimement bénéfiques aux particuliers tout comme aux entreprises » conclut l’expert.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?