Close
  • Français
  • English

05/01/2015[Contribution] Sécurité informatique : La mort annoncée du mot de passe [par Stéphane Lesimple, OVH]

L’authentification par mot de passe est morte. Ce n’est pas encore entré dans les mœurs de la plupart des acteurs de l’Internet, et encore moins chez les utilisateurs, mais c’est pourtant le cas.

Il est temps d’accepter que le mot de passe est purement et simplement fini, et qu’à l’instar de la carte bleue et de son code PIN, la seule vraie solution est la généralisation de l’authentification à deux facteurs. Rappelons-le, les trois catégories de facteurs principaux peuvent se résumer en “ce que je sais” (mot de passe), “ce que je possède” (une clé, ou tout autre objet) et enfin “ce que je suis” (biométrique : empreinte digitale, reconnaissance de l’iris, etc).

On se souvient des tokens de type “RSA SecureID”, que certaines grandes entreprises avaient mises en place pour protéger l’accès de leurs salariés à leurs réseaux sécurisés. Ce principe d’authentification ne date pas d’hier, mais ce n’est que récemment qu’il est devenu abordable et donc éligible à la généralisation. Aujourd’hui, environ la moitié des Français possèdent un smartphone, rendant le coût de cette technologie pratiquement nul : une simple application permet d’avoir la même sécurité qu’un token physique, via l’utilisation d’un algorithme public permettant de dériver un TOTP (Time-based One Time Password). Il s’agit d’un mot de passe à usage unique, valable pendant une minute seulement, créé à partir d’une constante (un secret commun partagé entre le client et le serveur, à forte entropie et qui n’a pas besoin d’être connu de l’utilisateur final), et d’une variable : le temps. Ce type d’application existe pour tous les smartphones, elles sont gratuites et génériques : elles peuvent stocker autant de secrets partagés que nécessaire pour autant de périmètres sécurisés auxquels l’utilisateur a besoin d’accéder. L’implémentation de ces systèmes côté serveur est assez aisé, les algorithmes étant publics et disponibles librement. Bien sûr, cela ne remplace pas le bon vieux mot de passe : il s’agit bien d’associer le TOTP donné par le smartphone (ce que je possède), et le mot de passe classique (ce que je sais), pour créer une authentification forte à deux facteurs. Le taux de pénétration des smartphones va continuer d’augmenter, mais en attendant nul besoin d’exclure ceux qui n’en possèdent pas : il suffit de proposer à l’utilisateur l’envoi d’un SMS par le serveur qui cherche à l’authentifier ce qui remplit parfaitement le rôle de “ce que je possède” (mon téléphone).

De plus en plus de grands acteurs de l’Internet mettent ce type d’authentification en place, et certains ont de très bonnes approches permettant de responsabiliser l’utilisateur et de le guider pas à pas pour activer cette option. Cela va sans doute prendre encore un peu de temps, mais le plus vite sera le mieux. C’est lorsque les utilisateurs d’un site web ne proposant qu’une authentification par mot de passe simple dirons “wow, je crois que je vais aller chez le concurrent”, que le combat sera gagné !

Stéphane LESIMPLE

Responsable de la Sécurité des Systèmes d’Information, OVH.