Aujourd’hui, le moyen le plus répandu pour s’authentifier sur Internet est le mot de passe. Telle une clé qui sert à ouvrir une porte, dans le monde du numérique, votre clé est le mot de passe. Pourtant, la plupart des internautes définissent des mots passes faciles à deviner, ce qui facilite grandement le travail de piratage de personnes mal intentionnées.
Une question se pose donc de plus en plus. Est-il encore intéressant d’utiliser un mot de passe comme moyen de sécurité sur Internet ?
Le principe d’authentification
Aujourd’hui, de nombreux appareils sont par exemple connectés au système d’information de votre entreprise. Cependant, ces connexions ne sont pas toujours sécurisées. Parmi les mesures qui permettent de mieux se protéger existe le mécanisme d’authentification. On définit généralement l’authentification par une preuve de vérification d’identité, représentée par le mot de passe.
Prenons un cas concret. Pour se connecter à un compte Netflix, 2 informations sont demandées : l'email et le mot de passe. Ces deux éléments sont distincts car il s'agit respectivement de l'identification et de l'authentification. Et c'est cette dernière information qui a pour but de vérifier l'identité communiquer.
Les différents facteurs d'authentification
Il est couramment admis qu'il existe 3 facteurs d'authentification. Pour les citer succinctement, ce sont :
- Les facteurs de connaissance : ce sont les preuves "que je connais". Il y a par exemple le mot de passe, la réponse à une question secrète, le schéma de déverrouillage sur les smartphones, etc.
- Les facteurs de possession : ce sont les preuves "que je possède" et qui peuvent être utilisés pour me distinguer des autres (exemple : smartphone, carte bancaire, badge, clé usb)
- Les facteurs d'appartenance : correspondent à "ce que je suis". On entend par cela les preuves biométriques comme une empreinte digitale, rétinienne, la voix, etc.
Maintenant que nous avons rappelé les principes de bases, regardons ensemble comment renforcer votre mot de passe.
Les moyens de renforcer son mot de passe
Les plus grandes institutions liées à la cybersécurité (ex : CNIL et ANSSI) conseillent fortement de combiner plusieurs facteurs d'authentification, et non d'utiliser un simple mot de passe définit avec des facteurs de connaissance. Cela offre un niveau supplémentaire de sécurité indéniable. Les autres facteurs d'authentification les plus faciles à mettre en place sont les facteurs de possession. Pour cela, il suffit de posséder un smartphone et d'utiliser :
- L’authentification avec double facteurs, aussi appelé 2FA. Lorsque vous tentez de vous connecter avec votre mot de passe habituel, il vous est demandé un autre code chiffré unique. Pour le récupérer, vous devez installer une application d’authentification sur votre smartphone. La plus connus étant Authenticator de Google.
- L’authentification par SMS. Dans ce cas, vous recevez au moment de votre connexion un SMS qui contient un code unique.
Sinon, d'autres méthodes s'offrent à vous. Vous pouvez :
- recevoir un lien par mail sur lequel vous serez obligé de cliquer pour vous connecter. Ce lien est lui aussi unique.
- utiliser un logiciel de gestion de mots de passe pour renforcer votre authentification. Ces logiciels vous permettent de stocker vos mots de passe au même endroit et servent de « coffre-fort ». Pour y accéder, il vous faut définir un mot de passe qui vous permettra de débloquer tous les autres. Il s'agit du mot de passe maître. Celui-ci doit donc absolument avoir un niveau de sécurité très élevé. Parmi les logiciels de gestion de mots de passe les plus connus, nous pouvons par exemple citer Dashlane, Keepass, Keeper ou encore Bitwarden.
Avec ce que nous venons de voir, nous sommes en droit de nous poser la question suivante : Pourquoi garde t-on la méthode du mot de passe si d'autres méthodes sont plus performantes ?
La réponse est simple. Si on compare le mot de passe dit "classique" aux facteurs biométriques, le mot de passe est bon marché. De plus, imaginons que vos empreintes digitales soient volées, il n'est pas possible d'utiliser un autre doigt pour vous connecter.
Et qu'en est-il alors de l'application Authenticator de Google ? Le fait est que les internautes sont habitués au système actuel de mot de passe. Changer les habitudes demande du temps et une sensibilisation à la sécurité sur Internet.
Le no-password, une alternative naissante
Depuis quelques temps, on entend de plus en plus parler du no-password. Derrière ce terme se cache le fait de se connecter sans mot de passe à un site ou une interface. Par exemple, lorsque vous déverrouillez votre téléphone grâce à votre empreinte digitale, il s'agit d'une connexion en no-password. Plus besoin donc de se fatiguer à retenir un mot de passe et de l'écrire. Il s'agit d'une solution plus rapide et qui peut parfois être moins couteuse.
L'exemple précédent peut aussi être défini comme une solution multifacteur ou MFA, puisqu'il combine un facteur de possession (smartphone) et un facteur d'appartenance (empreinte digitale).
Dans les solutions de connexion en no-password, nous pouvons aussi citer la connexion via notification push sur mobile. L'utilisateur doit dans ce cas répondre à la notification qui lui est envoyée sur son mobile puis est authentifié automatiquement. Ici, c'est le smartphone qui est utilisé comme authentificateur. Un principe que l'on retrouve d'ailleurs sur le CMS WordPress grâce à la mise en place de certains plugins. Il suffit d'entrer son identifiant et on reçoit un email qui contient un lien permettant de s'authentifier directement.
Enfin, une dernière solution MFA consiste à utiliser des données liées au contexte de l'utilisateur (géolocalisation, adresse IP, heure de la journée) pour décider quels facteurs d'authentification déployer.
Vous l'aurez compris, le no-password est une solution qui n'est pas encore adoptée par tous les utilisateurs/acteurs du Web. A l'heure actuelle, le mot de passe reste le roi incontesté des moyens d'authentification. Mais pour combien de temps ? Nous assistons en effet à une adoption progressive de la double authentification. Une première étape, instiguée notamment par les sites de grands groupes (ex : Binance). Une chose est sûr, les habitudes ont la vie dure. Pourtant, cette évolution tend à mieux nous protéger des risques cyber. Nous pouvons donc envisager que le Web tend à devenir un espace de plus en plus sécurisé.
Si vous souhaitez un accompagnement sur le Web et plus spécifiquement sur votre site WordPress, l'agence Youdemus peut vous aider à mettre en place les bonnes pratiques en matière de sécurité.