Le passwordless, entre nécessité et défis : Décryptage de ce cas d’usage d’authentification

Alors qu’elle anime les experts depuis déjà une dizaine d’années, l’authentification passwordless se dessine comme l’une des tendances cyber de 2024. Toutefois, si les apparitions de cinématiques sans mots de passe sont en effet de plus en plus fréquentes au sein des organisations, force est de constater que passer au full passwordless demeure complexe.

Dans ce billet, on vous propose de revenir sur cette tendance de fond et de répondre aux nombreuses questions qu’elle soulève. Qu’est-ce qui pousse les RSSI à vouloir s’affranchir des mots de passe ? Quelles sont les autres méthodes d’authentification disponibles ? Quels sont les potentiels obstacles à leur mise en place ?

Qu’entend-on par passwordless ?

Pour commencer, on peut revenir sur le terme « passwordless ». Traduit littéralement il signifie « sans mot de passe ». Ramené au contexte de la cybersécurité, il désigne le fait de supprimer la saisie des mots de passe lors du processus d’authentification d’un utilisateur sur un device ou une application. Il s’agit donc de se passer purement et simplement des mots de passe traditionnels en les remplaçant par de nouvelles méthodes d’authentification plus avancées.

À présent que l’on a compris l’idée, une nouvelle question émerge spontanément : qu’est-ce qu’un mot de passe exactement ?

Par définition, un mot de passe est une combinaison secrète de caractères que l’utilisateur doit retenir. Lorsqu’on parle d’authentification, il renvoie au facteur de connaissance. Techniquement, il n’est pas lié à l’appareil utilisé, il est stocké en central ce qui signifie qu’il peut être vérifié depuis n’importe où. Pour faire simple, un mot de passe, c’est avant tout un secret que l’utilisateur est tenu de mémoriser et de garder confidentiel et qu’il ne faut surtout pas stocker n’importe où dans ses données et ressources informatiques.
Cela étant dit, il existe d’autres formats de codes à usage unique (OTP) ou les PIN. Font-ils également partie des « mots de passe » ?

S’il est en effet nécessaire de les saisir, les OTP n’impliquent cependant pas la notion de « secret » et de mémorisation propre aux mots de passe car ils sont générés à la volée. Leur caractère temporaire les rend inexploitables par les pirates en cas de vol.

Les codes PIN, quant à eux, induisent bien un secret à retenir. En revanche, ils sont directement rattachés à un device et non centralisés dans un référentiel. Leur rôle est avant tout de prouver que l’utilisateur est bien en possession du périphérique en question. C’est pour cette raison que ces codes sont généralement plus simples que les mots de passe : même s’ils venaient à être compromis, ils ne constitueraient pas de risques et ne seraient d’aucune utilité pour les hackers sans l’appareil associé.

Maintenant que l’on a bien compris ce qu’est un mot de passe… la question qui se pose est la suivante : pourquoi vouloir les supprimer à tout prix ?

Les mots de passe ne datent pas d’hier, et, avec le temps, les règles de sécurité pour cadrer leur utilisation ont bien évolué :

• Ils doivent être complexes : augmentation du nombre de caractères, ajout de majuscules et de caractères spéciaux…
• Il faut les changer régulièrement.
• Le nombre de tentatives de saisies doit être limité.

Ces bonnes pratiques se révèlent particulièrement efficaces face aux attaques par force brute qui consistent pour les hackers à essayer toutes les combinaisons possibles jusqu’à trouver le mot de passe correct lié au compte de la personne.
En restreignant le nombre de tentatives, on entrave immédiatement les attaques par force brute.
En rendant les combinaisons plus complexes, on se protège même en cas de vol du référentiel de mots de passe hachés et contre l’utilisation des rainbow tables. En effet, la récupération en clair d’un mot de passe simple est presque instantanée, tandis que pour un mot de passe robuste, elle peut prendre jusqu’à 3 ans.

Néanmoins, il y a un revers à la médaille : renforcer les mots de passe engendre des difficultés du point de vue de l’ergonomie et par extension de l’expérience utilisateur ! Leur complexité les rend difficiles à mémoriser et fastidieux à saisir, ce qui représente une contrainte réelle pour les usagers. Souvent, cela devient une source de frustration pour ceux qui oublient leur mot de passe ou qui doivent recommencer toute la saisie en cas d’erreur de frappe. La manipulation peut même d’avantage se dégrader selon le contexte de connexion : quelle plaie de renseigner 12 caractères sur une télévision !

De plus, même si la mise en place des mots de passe robustes a permis de rehausser leur niveau de sécurité, ce n’est pas pour autant que cette méthode d’authentification est sans risque… Loin de là ! En effet, les organisations restent vulnérables au vol de mots de passe, notamment par le biais d’attaques de phishing de plus en plus élaborées. Pour preuve, la fuite de données et le vol d’identifiants et de mots de passe sont l’origine principale de compromission du système d’information.

On touche alors au cœur du problème : en fin de compte, les mots de passe restent exposés au risque de vol, et en les complexifiant, non seulement on ne se débarrasse pas des risques liés, mais en plus on nuit à la simplification d’utilisation. Les mots de passe ont atteint leurs limites et c’est là que le passwordless entre en jeu ! L’approche est finalement d’identifier d’autres méthodes pour authentifier l’utilisateur en trouvant le bon équilibre entre expérience utilisateur et sécurité.

Passer à l’authentification passwordless

Tout l’enjeu du passwordless est donc de réaliser une authentification forte en remplaçant la saisie du mot de passe par d’autres facteurs d’authentification.

On rappelle d’abord que l’authentification forte consiste à prouver « qui je suis » en utilisant au moins deux facteurs distincts parmi les suivants :

• Un facteur de propriété, c’est-à-dire un élément que l’on détient comme par exemple une carte d’identité, un smartphone, une clé de sécurité USB (Yubikey, Winkeo, etc.), une carte à puce, etc.
• Un facteur d’inhérence, c’est-à-dire quelque chose qui nous constitue comme par exemple une empreinte digitale, veineuse ou rétinienne, la voix, le visage, etc.
• Un facteur de connaissance, c’est à dire un élément que l’on connait. C’est à cette catégorie qu’appartiennent les mots de passe mais également les codes PIN que l’on abordait précédemment.

L’idée est donc de coupler les facteurs d’authentification en fonction de vos cas d’usage métier. On peut, par exemple, s’authentifier via une carte Desfire et un code PIN, ou encore pourquoi pas avec son mobile couplé à la reconnaissance faciale, etc.
Dans une approche MFA, multiplier les facteurs d’authentification permet de complexifier la tâche de l’attaquant en renforçant la sécurité.

Si certaines méthodes comme l’authentification push mobile sont déjà très répandues, via les applications comme celles de Google et Microsoft, de nouvelles les technologies disponibles sur le marché sont toujours plus nombreuses et innovantes. Par exemple, on peut citer les OTP ultrasoniques de Copsonic, les systèmes de biométrie vocale de Whispeak, la reconnaisse veineuse d’Hitachi et bien d’autres, toutes compatibles avec notre plateforme Ilex Access Management.

Des technologies ont par ailleurs été développées précisément dans un objectif d’authentification passwordless, c’est le cas de WebAuthn et plus généralement des passkeys, basées sur le protocole FIDO2. Les fondements de cette approche reposent sur l’utilisation d’une méthode de cryptographie asymétrique : au lieu de recourir au traditionnel couple identifiant/mot de passe, la création d’un nouveau compte génère une paire de clés unique pour chaque utilisateur, composée d’une clé privée et d’une clé publique. La clé publique est stockée par le service en ligne, tandis que la clé privée demeure confidentielle, stockée dans un dispositif personnel de l’utilisateur, généralement son smartphone ou sa clé et protégée par son empreinte digitale ou un code PIN. Elle n’est accessible qu’à l’utilisateur lui-même.

Comme vous pouvez le constater, les méthodes d’authentification sont donc loin d’être limitées et leur diversité permet de répondre à de nombreux cas d’usage. Pour comprendre comment choisir sa méthode d’authentification face à cette explosion du marché, on vous invite à consulter notre billet blog sur le sujet.

Les défis du full passwordless

On est à présent en droit de se poser une dernière question, si le passwordless répond parfaitement aux enjeux de la gestion des accès, pourquoi n’est-il pas plus répandu au sein des organisations ? Derrière cette apparente simplicité se cacheraient-ils des défis à surmonter ?

On rappelle que le système d’information est un système complexe. Qu’il s’agisse du parc applicatif, des comptes utilisateurs, des périphériques, etc., chaque organisation est différente et a ses propres spécificités. La diversité des cas d’usage utilisateurs, méthodes d’authentification et cinématiques d’accès est extrêmement vaste.

Par exemple, on observe diverses tendances d’authentification passwordless, selon le secteur d’activité d’une entreprise : le push mobile et Windows Hello dans le domaine bancaire ; les cartes CPS, ou e-CPS via Pro Santé Connect, dans le secteur de la santé ; le badge Desfire dans le retail, etc.
Ainsi, comme on l’expliquait pour l’authentification de manière générale, il n’existe pas de solution passwordless universelle, même au sein d’une organisation. Il faut être en mesure de combiner les approches technologiques, afin d’être en mesure d’adapter le processus d’authentification au contexte de l’utilisateur.

Pour cette raison, entamer sa transition vers le passwordless doit être le fruit d’une réflexion pragmatique et d’une démarche itérative. Il s’agit d’avancer pas à pas, en commençant avec un périmètre réduit et maîtrisé afin de répondre aux besoins prioritaires pour l’entreprise.
Pour cela, il faut s’interroger : Quels utilisateurs ou périmètres ciblez-vous en priorité et quels sont leurs différents cas d’usage ? Peut-il se connecter aussi bien d’un périphérique maitrisé que non maitrisé ? Que se passe-t-il si l’un d’entre eux oublie son device ?

On peut prendre l’exemple du mode dégradé : oubli du téléphone, perte du token, connexion hors réseau… Pour prouver l’identité d’un utilisateur qui n’est pas en mesure de présenter son moyen d’authentification habituel, il faut prévoir des modes alternatifs à la méthode d’authentification principale.
À toutes ces questions structurantes la réponse la plus simple pourrait être de revenir aux mots de passe, notamment grâce à leur caractère décentralisé.

Mais à quoi bon basculer en passwordless si cela conduit à revenir au mot de passe dès le premier obstacle ?
On doit plutôt envisager d’autres solutions de back-up, en préférant, par exemple, les méthodes suivantes :

• Doubler les options d’authentification par utilisateur : L’objectif est de lui permettre de prouver son identité via plusieurs moyens, par exemple son mobile ou une clé FIDO, au cas où l’un d’entre eux serait manquant.
• Adopter un système de parrainage : Il s’agit de vérifier l’identité de l’utilisateur via un tiers de confiance, par exemple son manager qui le connait et qui va se porter garant pour lui.

Ce qu’il faut retenir :

• L’utilisation des mots de passe reste problématique : même en les complexifiant, le risque de vol persiste et l’ergonomie est dégradée.
• La mise en place d’autres facteurs tels que la biométrie et les devices est au cœur du passwordless.
• La généralisation d’un seul moyen d’authentification passwordless est complexe au vu du nombre de cas d’usage et notamment pour l’oubli et le déblocage.
• La construction de plusieurs scénarios en adoptant une démarche pragmatique et évolutive pour couvrir tous les cas d’usage est recommandée.
• L’idéal est de s’appuyer sur un hub d’authentification qui supporte de multiples technologies et qui les projette dans un véritable processus adaptatif. Cette approche contextuelle répond à la multiplicité des cas d’usage, sans oublier les problématiques de déblocage.