L’authentification sans mot de passe permet de vérifier l’identité d’un utilisateur sans avoir recours à un mot de passe. À la place, l’authentification sans mot de passe utilise des alternatives plus sécurisées telles que les facteurs de possession (mots de passe à usage unique, smartphones enregistrés) ou la biométrie (lectures d’empreintes digitales ou rétiniennes).
Les mots de passe ne sont plus sûrs depuis longtemps. Ils sont difficiles à mémoriser et faciles à égarer. Ils sont également la cible numéro un des cybercriminels. À tel point que 81 % des violations impliquent des mots de passe faibles ou volés.
Dans l’article suivant, nous allons explorer l’authentification sans mot de passe plus en détail.
L’authentification sans mot de passe peut être assurée de plusieurs façons. En voici quelques-unes :
L’authentification sans mot de passe fonctionne en remplaçant les mots de passe par d’autres facteurs d’authentification intrinsèquement plus sûrs. Dans l’authentification basée sur un mot de passe, le mot de passe fourni par l’utilisateur est mis en correspondance avec celui qui est stocké dans la base de données.
Dans certains systèmes sans mot de passe, comme la biométrie, la comparaison a lieu de manière semblable, mais à la place des mots de passe, ce sont les caractéristiques distinctives de l’utilisateur qui sont comparées. Par exemple, un système capture le visage d’un utilisateur, en extrait les données numériques, puis les compare avec les données vérifiées présentes dans la base de données.
Dans d’autres implémentations sans mot de passe, les comparaisons peuvent se dérouler différemment. Par exemple, un système envoie par SMS un code secret à usage unique vers le mobile de l’utilisateur. L’utilisateur le reçoit et le saisit dans la zone de connexion. Le système compare alors le code secret qu’il a envoyé à celui que l’utilisateur a saisi.
L’authentification sans mot de passe s’appuie sur les mêmes principes que les certificats numériques : une paire de clés de chiffrement avec une clé privée et une clé publique. Même si elles sont toutes deux appelées des clés, considérez la clé publique comme le cadenas et la clé privée comme la clé qui permet de le déverrouiller.
Les certificats numériques fonctionnent de telle manière qu’il n’y a qu’une seule clé pour le cadenas et qu’un seul cadenas pour la clé. Un utilisateur souhaitant créer un compte sécurisé utilise un outil (une application mobile, une extension de navigateur, etc.) pour générer une paire de clés publiques-privées.
La clé privée est stockée sur l’appareil local de l’utilisateur et n’est accessible qu’à l’aide d’un facteur d’authentification, par exemple une empreinte digitale, un code PIN ou un mot de passe à usage unique. La clé publique est fournie au système sur lequel l’utilisateur souhaite disposer d’un compte sécurisé.
Que l’authentification sans mot de passe soit sûre ou non dépend de votre définition de la sûreté. Si pour vous, « sûr » signifie plus difficile à craquer et moins vulnérable aux cyberattaques les plus courantes, alors oui, l’authentification sans mot de passe est sûre.
Si par « sûr », vous entendez impossible à pirater, alors non, elle n’est pas sûre. Il n’existe aucun système d’authentification qui ne puisse être piraté. Il n’y a peut-être pas de moyen évident de le pirater, mais cela ne signifie pas que les pirates les plus avancés ne peuvent pas en contourner les défenses.
Cela étant dit, les techniques sans mot de passe sont intrinsèquement plus sûres que les mots de passe. Par exemple, pour pirater un système basé sur un mot de passe, une personne malveillante peut utiliser une attaque par dictionnaire, qui est souvent considérée comme la technique de piratage la plus rudimentaire (essayer différents mots de passe jusqu’à obtenir une correspondance).
Même les pirates amateurs peuvent procéder à des attaques par dictionnaire. À l’inverse, l’infiltration d’un système sans mot de passe requiert un niveau d’expérience de piratage et de sophistication nettement supérieur. Par exemple, seuls les algorithmes d’IA les plus avancés permettent à un pirate d’usurper une empreinte digitale.
L’authentification sans mot de passe remplace simplement les mots de passe par un facteur d’authentification mieux approprié. D’autre part, l’authentification multifacteur (MFA) utilise plusieurs facteurs d’authentification pour vérifier l’identité d’un utilisateur.
Par exemple, un système MFA peut utiliser la lecture d’empreintes digitales comme facteur d’authentification principal ainsi que des mots de passe à usage unique envoyés par SMS comme facteur secondaire.
Il y a parfois confusion entre l’authentification sans mot de passe et l’authentification MFA ou les deux méthodes sont utilisées de manière interchangeable. Cela s’explique par le fait que de nombreux systèmes de connexion traditionnels, basés sur un mot de passe ont commencé à utiliser une technique sans mot de passe comme facteur d’authentification secondaire.
Voici comment vous pouvez procéder à l’implémentation de l’authentification sans mot de passe :
L’implémentation de l’authentification sans mot de passe en interne peut être chronophage et complexe. C’est pourquoi de nombreuses entreprises préfèrent l’externaliser auprès de fournisseurs IAM tiers (par exemple OneLogin). Le processus s’en trouve accéléré, et les problèmes et les coûts de maintenance sensiblement réduits.
Même si les mots de passe sont beaucoup moins répandus qu’auparavant, ils restent utilisés dans le monde entier La principale raison est qu’un système de connexion basé sur un mot de passe est le plus facile et le moins cher à implémenter. Cependant, nous nous attendons à ce que l’authentification sans mot de passe prenne bientôt le dessus.
Le nombre de cyberattaques n’a jamais été aussi élevé que ces deux dernières années. De nombreuses sociétés tirent la sonnette d’alarme et investissent de plus en plus dans la biométrie et l’authentification adaptative (détaillée dans la prochaine section).
De plus, nombre de sociétés ont compris que les mots de passe sont la principale raison des violations de données. Le coût de l’implémentation d’un système sans mot de passe n’est rien comparé aux pertes et pénalités financières encourues suite à une violation de données.
Enfin, et surtout, les mots de passe sont une nuisance pour les utilisateurs. Leur mémorisation est difficile et leur réinitialisation fastidieuse. D’autre part, les techniques sans mot de passe, comme la biométrie, sont pratiques et beaucoup plus conviviales.
Même si l’authentification sans mot de passe est une amélioration majeure par rapport à l’utilisation des mots de passe, elle n’est pas infaillible. Les données biométriques peuvent être usurpées, les mots de passe à usage unique peuvent être interceptés et les jetons matériels volés. C’est pourquoi vous avez besoin d’un système allant au-delà des seuls facteurs d’authentification pour vérifier l’identité, à savoir l’authentification adaptative.
L’authentification adaptative utilise l’apprentissage automatique pour développer des schémas de comportement d’utilisateur typique. Chaque fois que le système détecte un écart par rapport au schéma, il considère la tentative de connexion comme risquée et prend les mesures appropriées.
Par exemple, supposons qu’un utilisateur se connecte au système, via son ordinateur portable, tôt le matin, tous les jours de la semaine. Au fil du temps, le système détermine qu’il s’agit là de son comportement de connexion type. Puis un jour, l’utilisateur se connecte au système un samedi.
Il utilise toujours le même ordinateur portable, tôt en début de matinée et également dans la même zone géographique. Le système calcule un score de risque relativement plus élevé pour ce comportement, ce qui justifie l’utilisation d’un facteur d’authentification secondaire, par exemple un mot de passe à usage unique envoyé par SMS.
Quelques jours plus tard, le système détecte une tentative de connexion du même utilisateur, provenant d’un autre pays et d’un autre appareil. Il calcule un score de risque exponentiellement plus élevé et bloque l’utilisateur. Par la suite, il s’avère qu’il s’agissait d’une tentative de connexion d’un cybercriminel qui avait usurpé l’identité de l’utilisateur.
L’association d’un système sans mot de passe à l’authentification adaptative peut augmenter considérablement la résilience de votre système. Il est plus difficile, mais pas impossible de pirater des facteurs sans mot de passe ; l’authentification adaptative vous aide à ajouter une autre couche de protection optimisée par l’IA.