En remplaçant les mots de passe traditionnels par des méthodes d’authentification plus sûres, telles que la biométrie et les dispositifs de sécurité physique, le Passwordless offre une expérience d’authentification simplifiée et renforce la sécurité des comptes utilisateurs
Depuis quelques années, le terme de « Passwordless Authentication » – littéralement « authentification sans mot de passe » – s’est fait une place capitale au sein de l’écosystème cyber.
En effet, dès la fin des années 2000, le mot de passe a commencé à être perçu comme un moyen d’authentification obsolète – ou tout du moins proche de l’obsolescence.
Dès lors, la plupart des grands acteurs du secteur (Microsoft, Google et Apple notamment) ont commencé à s’associer sur le sujet pour réfléchir aux solutions techniques grâce auxquelles le Passwordless pourrait s’accomplir dans les années futures.
Alliance FIDO, WebAuthn et facteurs d’authentification proposés, découvrez en quoi consiste le Passwordless.
Comment est-il mis en place aujourd’hui au sein des Systèmes d’Information ? Quelles sont ses limitations et les défis qu’il impose dans son intégration et son adoption par les publics cibles ?
Le Passwordless : c’est quoi ?
Le Passwordless est un paradigme d’authentification qui élimine la nécessité d’utiliser des mots de passe traditionnels. Le principe est de remplacer les mots de passe par des méthodes d’authentification plus fiables et faciles d’utilisation pour les utilisateurs.
L’empreinte des mots de passe a déjà été considérablement réduite, depuis les années 2000, avec – notamment – le développement de l’authentification unique (aussi appelé SSO, pour Single Sign-On) et des protocoles de fédération d’identité associés – tels que SAML ou OpenID Connect.
Le Passwordless est donc dans ce contexte un moyen supplémentaire de réduire la place du mot de passe, voire tout simplement de le remplacer définitivement, et ce dans des contextes tant B2B que B2C.
Cette technologie repose sur des méthodes d’authentification alternatives comme la biométrie, les clés de sécurité physiques ou encore l’utilisation de notifications push pour garantir aux utilisateurs un accès sécurisé à leurs comptes. Tout cela se voit alors sécurisé grâce à l’utilisation de clés cryptographiques.
Quels avantages et quelles applications concrètes existe-t-il ?
L’avantage principal du Passwordless réside dans sa capacité à renforcer la sécurité des comptes, notamment en ligne. En effet, les mots de passe traditionnels sont souvent faibles et peuvent être facilement devinés ou piratés – avec des méthodes désormais largement connues comme des attaques de type force brute ou même de l’ingénierie sociale (comme le phishing par exemple).
En remplaçant ces mots de passe par des méthodes d’authentification plus robustes, le Passwordless réduit considérablement les risques de compromission des comptes. Il est vrai que cela assure – tant à l’entreprise qu’à l’individu – une sécurité complémentaire, évitant les ré-utilisations de même mot de passe pour différents comptes et usages.
De plus, il simplifie – sans nul doute – l’expérience des utilisateurs en proposant une facilité indéniable : ne pas se souvenir de mots de passe complexes pour chaque service utilisé.
De nombreux exemples montrent l’efficacité du Passwordless, et ce dans différents contextes. Comme énoncé précédemment, les entreprises technologiques de premier plan, telles que Microsoft, Google et Apple, ont par exemple adopté le Passwordless pour renforcer la sécurité de leurs services en ligne. Ces derniers sont à l’origine de la FIDO Alliance, une association industrielle regroupant plus de quarante entreprises qui s’impliquent dans le développement de ces nouvelles normes d’authentification.
L’ensemble des normes récentes mises en place par la FIDO Alliance en collaboration avec le W3C – World Wide Web Consortium – sont regroupées sous le nom de FIDO2. Sur le Web, cette mise en place est faite par la norme d’authentification appelée « WebAuthn ».
Dans le secteur bancaire également, certaines applications permettent déjà aux utilisateurs de s’authentifier en utilisant leur empreinte digitale ou leur reconnaissance faciale via leur smartphone.
Passwordless : béton ou pieds d’argile ?
Le Passwordless présente cependant certaines limitations et défis. Tout d’abord sur le plan logistique, la disponibilité de technologies biométriques et de dispositifs de sécurité physique peut varier selon les utilisateurs et les appareils. Certains utilisateurs n’ont pas forcément accès à ces méthodes d’authentification alternatives, ce qui peut limiter l’adoption du Passwordless.
Tout dépend alors du contexte dans lequel cette méthode est appliquée, de l’accompagnement des publics cibles, ainsi que – simplement – de la démocratisation du Passwordless au global. Tout comme le mot de passe s’est lui-même imposé naturellement à une époque, pour des raisons pratiques et économiques, le Passwordless a encore un peu de chemin à parcourir avant d’être reconnu comme un incontournable.
De plus, la fiabilité de certaines méthodes comme la biométrie peut être mise en question, car il a été reconnu que les empreintes digitales ou la reconnaissance faciale peuvent être contournées avec certaines techniques comme la reconstitution d’empreintes digitales, de données faciales, ou même tout simplement le vol de données biométriques.
Contrairement à des mots de passe ou des données basées sur la connaissance, les données biométriques ont l’avantage d’être uniques. Ce qui fait leur force, comme ce qui représente leur plus gros inconvénient. Concernant l’utilisation de clés physiques, les vecteurs d’attaques sont plus limités car cette méthode repose sur la possession, mais ils existent aussi – allant du simple vol à de l’ingénierie sociale plus poussée.
Le Passwordless représente donc une avancée majeure dans le domaine de la sécurité des accès. En remplaçant les mots de passe traditionnels par des méthodes d’authentification plus sûres, telles que la biométrie et les dispositifs de sécurité physique, le Passwordless offre une expérience d’authentification simplifiée et renforce la sécurité des comptes utilisateurs.
Bien qu’il présente certaines limitations en termes de disponibilité et de fiabilité des facteurs, le Passwordless représente une alternative prometteuse pour améliorer la sécurité informatique et simplifier l’expérience utilisateur de demain.
