authentification

Expertise

Authentification et cybersécurité

Le tandem identifiant/mot de passe est-il encore un moyen efficace pour protéger l’accès à des données ou des services ? À l’heure où les collaborateurs des entreprises se connectent à un nombre croissant d’applications par jour, où la complexité des mots de passe demandés ne cesse d’augmenter et où les cyberattaques s’amplifient en nombre et en intensité, il est temps d’interroger la pertinence des systèmes actuels d’authentification.

Vu et entendu : une cyberattaque contre un fournisseur de messagerie

Début 2016, un fournisseur de messagerie en ligne, ayant profité de l’essor d’Internet dans certains pays pour obtenir une base d’utilisateurs importante, a subi une cyberattaque au cours de laquelle il s’est vu dérober sa base de données de 98 millions de compte en clair. Celle-ci était composée des identifiants et des mots de passe de ses utilisateurs.

Le fournisseur de messagerie avait mis en place un système de connexion classique, avec un identifiant et un mot de passe ne requérant aucune complexité. L’expérience utilisateur, négligée lors de la conception de la solution, demandait une saisie du mot de passe à chaque connexion, ce qui incitait les internautes à l’utilisation de mots de passe simples. Dans les faits, 000000 et asdasd étaient les mots de passe les plus utilisés. Par ailleurs, les données étaient stockées en clair et étaient facilement accessibles, et le fait qu’aucune solution alternative d’authentification n’ait été envisagée, telle que l’authentification forte ou l’authentification unique (SSO), rendait la divulgation des mots de passe critique.

Alors qu’un simple audit de sécurité aurait permis de détecter que les mots de passe avaient une complexité trop faible et qu’ils étaient stockés en clair dans la base, la négligence du fournisseur de messagerie l’a rendu vulnérable aux attaques et a permis aisément le vol de sa base de données.

Or les coûts engendrés par les conséquences de la cyberattaque ont largement dépassé ceux qu’auraient nécessités quelques précautions élémentaires. Aux coûts « visibles » liés à la perte de confiance des clients et à leur migration vers un autre fournisseur de messagerie, à l’investigation et aux améliorations de sécurité, ainsi qu’aux litiges, se sont en effet additionnés les coûts « cachés » liés à la réduction des arrivées de nouveaux clients, à l’augmentation des assurances, ainsi qu’à la dévalorisation financière de l’image de marque du fournisseur.

Décryptage

Aujourd’hui, le vol d’identifiants ou l’utilisation de mots de passe trop facilement déchiffrables sont la cause de plus de trois quarts des cyberattaques subies par les entreprises. Le système d’authentification par identifiant et mot de passe présente en effet plusieurs défauts majeurs.

Tout d’abord, il lui manque l’évolutivité nécessaire pour s’adapter au nombre croissant d’applications en ligne utilisées par les collaborateurs. De ce fait, ces derniers, envahis par un nombre toujours plus important de mots de passe à retenir, utilisent toujours le même ou le révèlent à leurs collègues, et aggravent ainsi la vulnérabilité de tous les systèmes dont ils font usage. Par ailleurs, il manque au système du mot de passe l’évolutivité nécessaire pour fournir une solution d’authentification qui soit proportionnée à la valeur de la transaction : les administrateurs des systèmes les plus sécurisés sont en effet incapables d’évaluer le niveau de sécurité d’un mot de passe donné.

Quelles sont donc les alternatives au système d’authentification par identifiant et mot de passe ? Et comment pallient-elles ses insuffisances ? Aujourd’hui, un certain nombre de technologies existent qui, combinées ensemble, sont en mesure de réduire le risque cyber des entreprises tout en s’adaptant aux nouveaux usages des collaborateurs et au confort d’expérience utilisateur qu’ils attendent. Elles ont toutes pour point commun de se baser, non sur ce que le collaborateur sait (la combinaison des lettres et des chiffres qui composent son mot de passe), mais sur ce qu’il est, ce qu’il a, où il est ou ce qu’il fait.

Parmi ces solutions, on trouve notamment les technologies biométriques – qui font porter le procédé d’authentification sur l’identification d’une caractéristique propre au collaborateur : son empreinte digitale, son iris, sa voix, son visage –, mais également des systèmes de tokens – faisant porter l’authentification sur un objet que possède le collaborateur –, des applications de la géolocalisation – faisant porter l’authentification sur le lieu où se trouve le collaborateur ou les déplacements qu’il a effectués – ou encore des adaptations de la blockchain.