Cette nouvelle approche qui propose d’en finir avec les mots de passe apporte une sécurité supplémentaire pour lutter contre le phishing.

La vulnérabilité des mots de passe

Récemment, une base de données contenant 3,2 milliards d’identifiants et de mots de passe liés à des comptes Gmail, Hotmail, LinkedIn ou encore Netflix a été partagée sur des forums dédiés au piratage. Baptisée COMB, pour Compilation of many Breaches, elle rejoint la longue liste des identifiants qui se monnaient discrètement entre hackers sur certains forums spécialisés.

Le problème des mots de passe, c’est qu’ils sont facilement découverts ou volés. Donc, lorsqu’une personne utilise son mot de passe sur un site compromis, il y a de grandes chances pour que celui-ci soit récupéré par une personne mal intentionnée.

Un mot de passe trop simple est une faiblesse dans le système. Pour y remédier, les éditeurs ont « augmenté » le mot de passe, en introduisant l’authentification multifacteur. Un garde-fou utile, mais insuffisant pour lutter contre le phishing.

L’approche PASSWORDLESS

Le Passwordless esquisse un nouveau paradigme où l’identité s’appuie sur la preuve de possession, soit d’un ordinateur soit d’un smartphone. Il va falloir prouver qu’on possède un matériel préalablement enregistré avant d’accéder à sa donnée ou à un service. On remplace le mot de passe, qui est un secret partagé entre l’utilisateur et le service, par une preuve de possession.

Cette approche repose sur un ensemble de technologies basées sur des standards établis par l’alliance FIDO (Fast identity Online), qui regroupe tous les acteurs du monde bancaire et du numérique. Aujourd’hui, la technologie est disponible sous forme de standard et supportée par l’ensemble des navigateurs du marché. C’est donc un effort collectif de l’industrie pour préparer un monde sans mot de passe.

Plus de sécurité à l’authentification

Concrètement, pendant l’authentification, un échange s’opère entre l’appareil et le service pour prouver que l’utilisateur possède bien un élément propre à ce matériel. Une sécurité basée sur de la cryptographie à clé publique.

Une clé publique est enregistrée sur le service et une clé privée est stockée dans le matériel, d’où jamais elle ne sort. Cette clé privée va permettre de signer un numéro aléatoire, directement dans le matériel. Le résultat va être envoyé au service qui, avec la clé publique associée au compte, va pouvoir vérifier ce résultat.

Cette approche présente deux grands intérêts :

• Elle s’appuie sur des principes cryptographiques établis depuis plus de 50 ans, donc solides et éprouvés,
• Les identifiants des utilisateurs ne sont pas centralisés dans une base, ce qui rend beaucoup plus difficile le travail de l’attaquant, puisqu’il va devoir cibler individuellement les appareils mobiles ou les ordinateurs. Cela renverse le rapport de force habituel en cybersécurité, entre le défenseur et les attaquants. De fait, les attaques deviennent beaucoup plus coûteuses.

Biométrie, code PIN et clés FIDO2, les nouvelles alternatives aux mots de passe

Le Passwordless propose trois nouvelles façons de s’authentifier, via le matériel, une application ou des clés spécialement conçues pour cela.

• La biométrie.

Qu’elle passe par de la reconnaissance faciale ou digitale, la biométrie permet déjà de déverrouiller l’accès à son appareil ou à certains services. Elle est particulièrement développée sur smartphone mais prend également de l’ampleur sur les ordinateurs. La biométrie est ce qu’il y a des plus simple pour l’utilisateur parce qu’il n’y a rien à mémoriser. Il suffit d’avoir des capteurs biométriques sur les ordinateurs.

• Le code PIN.

Historiquement associé aux téléphones mobiles, le code PIN devient une alternative au sacro-saint mot de passe ou à la biométrie. Le code PIN a deux atouts : plus court qu’un mot de passe, il est plus léger à mémoriser, et il est vérifié localement, ce qui permet de lutter contre le vol de mot de passe et les attaques de type phishing, puisque tout est vérifié en local. Il n’y a donc pas d’intermédiaire pour essayer de tromper l’utilisateur.

• Les clés de sécurité Fido2.

Vendues entre 10 et 70 euros dans le commerce, les clés de sécurité FIDO2 permettent d’authentifier l’utilisateur d’un appareil, soit en l’insérant dans le PC, soit via la technologie NFC (sans contact). Certaines ont un petit bouton qui permet d’approuver la connexion, une confirmation manuelle pour s’assurer qu’il ne s’agit pas d’un virus qui tourne à l’insu de l’utilisateur, d’autres ont des lecteurs biométriques d’empreinte digitale. Pour les entreprises, c’est aussi une manière d’avoir un meilleur contrôle de sécurité du matériel.

La lutte contre le phishing en ligne de mire

Autre enjeu clé du Passwordless : la lutte contre le phishing, ces mails intrusifs qui cherchent à dérober les données personnelles des internautes en les incitant à se connecter sur un site malveillant.

Généralement, les gens pensent que le phishing, c’est le fait de recevoir un mail. Mais le phishing est plus large. C’est le fait de recevoir une incitation à se connecter à un site web avec une infrastructure derrière. Être victime de phishing consiste à avoir un intermédiaire qui va se mettre entre l’utilisateur et le service et qui, souvent, va imiter l’expérience de connexion de l’utilisateur.

Le protocole d’utilisation du Passwordless permet de définir une protection anti-phishing capable de vérifier que l’internaute se connecte bien au bon site web, en comparant la connexion avec ce qui a été défini dans son ordinateur. Et s’il y a la moindre modification dans l’url, la connexion échouera.

Le Passwordless offre aujourd’hui une protection inédite : c’est la seule technologie capable de résister au phishing ! Quand on sait que c’est l’une des attaques les plus fréquentes, aux conséquences parfois graves (vol de données, usurpation d’identité etc.) mieux vaut s’en prémunir très vite. Aujourd’hui, 200 millions d’utilisateurs Microsoft utilisent la technologie sans mot de passe.

Microsoft supporte l’authentification Passwordless pour son cloud entreprise (Azure AD, Office365) et grand public (Xboxlive, Outlook).

Extrait du livre blanc de Microsoft “Penser sa transformation numérique à l’aune de la cybersécurité”