Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui je vais vous expliquer pourquoi l’authentification ne peut plus se contenter du seul mot de passe pour protéger un compte.
L’authentification, c’était mieux avant. Dans les années 80 par exemple, lorsqu’on voulait se connecter à un compte utilisateur, on pouvait se contenter d’un simple identifiant et d’un mot de passe. Les plus paranoïaques pouvaient opter pour un mot de passe long et complexe et c’était une mesure de sécurité jugée suffisante pour décourager un tiers qui tenterait de se connecter au compte en devinant le mot de passe.
Mais cela ne suffit plus aujourd’hui. L’évolution de la puissance informatique des ordinateurs conjuguée avec les multiples fuites de mots de passe permet maintenant aux attaquants de deviner sans trop de peine les mots de passe les plus simples. Plusieurs types d’attaques visent à deviner ou à voler les mots de passe pour accéder à un compte en ligne, et celles-ci sont perfectionnées par les cybercriminels depuis des dizaines d’années maintenant.
Ce que je sais, ce que j’ai, ce que je suis
Pour faire face à ce défi, l’authentification cherche donc de nouvelles pistes afin de garantir une sécurité suffisante. La méthode fréquemment recommandée est celle de l’authentification multifacteurs, qui peut prendre plusieurs formes. Plutôt que de faire reposer la vérification d’accès sur un seul mot de passe, on va demander plusieurs preuves d’identité à l’utilisateur avant d’autoriser son accès.
En plus de son mot de passe, on va par exemple lui demander d’entrer un code à usage unique envoyé par SMS sur son téléphone. Ou de connecter à l’ordinateur une clé USB de sécurité, type Yubikey ou Google Titan. Enfin, on peut également renforcer l’authentification par l’utilisation d’un facteur biométrique : par exemple un capteur d’empreinte digitale ou d’empreinte rétinienne. Pour retenir les différents types de facteurs d’authentification, on peut les résumer ainsi : ce que je sais, ce que j’ai, ou ce que je suis.
La combinaison de ces différents facteurs permet une authentification plus sûre que celle du simple mot de passe. A ces éléments peuvent s’ajouter des données contextuelles liées à la connexion : la personne se connecte-t-elle depuis un nouvel appareil ou depuis un appareil connu ? L’heure de connexion ou la géolocalisation de l’adresse IP est elle inhabituelle ? Autant de paramètres qui peuvent être pris en compte pour estimer la fiabilité d’une connexion et déclencher des mesures de vérification supplémentaires.
Des méthodes toujours pas infaillibles
Aujourd’hui, les géants du numérique comme Google et Microsoft aimeraient démocratiser autant que possible ces nouvelles méthodes d’authentification afin de limiter le piratage des comptes utilisateurs et de mieux sécuriser les accès à des services parfois critiques.
Mais ces méthodes ne sont pas à toute épreuve : une empreinte digitale peut se copier, un SMS contenant un mot de passe à usage unique peut être intercepté, une clé de sécurité peut être volée, voire clonée.
En matière d’authentification, il n’y a donc pas de solution miracle. On peut simplement rendre la tâche des attaquants plus difficile, jusqu’à les décourager d’essayer.