Le 8 novembre 2021 – Le «sans mot de passe» promet de rendre la vie bien plus facile tant pour les utilisateurs que pour les équipes de sécurité. Il offre la perspective de réduire les coûts administratifs, d'améliorer la productivité et de réduire les cyber-risques. Cependant, malgré ces avantages, l'adoption dans les environnements B2C et B2B n'a pas été aussi importante qu'on aurait pu croire.
Pourtant, lorsque la plus grande entreprise de logiciels au monde décide de soutenir une nouvelle approche technologique, il faut s’y intéresser. Il y a quelque temps déjà, Microsoft disait des mots de passe qu’ils étaient «peu pratiques, peu sûrs et coûteux ». En mars de cette année, la société a introduit l'authentification sans mot de passe pour ses clients business. En septembre, Microsoft a annoncé qu'elle étendrait cette technique à tous les utilisateurs. Dès lors, on peut dire que l'ère de l'authentification sans mot de passe est finalement là.
Quand les mots de passe ne sont plus adaptés
Les mots de passe existent depuis qu’il y a des ordinateurs. Leur fin a souvent été annoncée, mais ils sont toujours là, sécurisant tout, des applications d'entreprise aux comptes bancaires en ligne, en passant par la messagerie et le commerce électronique.
Le problème : nous avons beaucoup trop d’informations d'identification à gérer et à mémoriser. Aux USA, on estime que 57% des travailleurs ont griffonné des mots de passe d'entreprise sur des post-it. Et ce nombre est en croissance puisque nous élargissons notre empreinte numérique. En octobre 2020 on estimait qu'en moyenne une personne avait +/- 100 mots de passe, près de 25% de plus qu'avant la pandémie.
LECTURE ASSOICIEE:
A recipe for failure: Predictably poor passwords
The worst passwords of 2020: Is it time to change yours?
D’un point de vue sécuritaire, le défi des mots de passe est bien documenté. Pour les attaquants il est devenu toujours plus facile à voler, à deviner, à hameçonner ou à forcer. Une fois qu'ils les possèdent, les acteurs malveillants peuvent se faire passer pour des utilisateurs légitimes, éviter les défenses de sécurité du périmètre et rester cachés dans les réseaux d'entreprise bien plus longtemps que ce ne serait le cas autrement. Le temps nécessaire pour identifier et contenir une violation de données est aujourd'hui de 287 jours (today stands at 287 days).
Les gestionnaires de mots de passe et l'authentification unique offrent une certaine forme de défense contre ces défis. Ils stockent et rappellent des mots de passe complexes pour chaque compte afin que les utilisateurs n'aient plus à le faire. Mais ils ne sont toujours pas super populaires auprès des consommateurs. Nous réutilisons donc des informations d'identification faciles à mémoriser sur plusieurs comptes, exposant ainsi des comptes de particuliers et d'entreprise au bourrage d'infos d'identification et à d'autres techniques de force brute.
Il ne s'agit pas uniquement de risque de sécurité. Gérer les mots de passe demande pas mal de temps et d'argent, et cela peut ajouter des frictions supplémentaires au parcours client. Les violations peuvent nécessiter des réinitialisations massives sur de gros volumes de comptes et cela peut interférer avec l'expérience utilisateur dans les environnements B2B et B2C.
Comment le «sans mot de passe » peut être bénéfique à l’entreprise ?
L'authentification sans mot de passe est un grand pas en avant. En utilisant une appli d'authentification avec une sécurité biométrique telle que la reconnaissance faciale, une clé de sécurité ou même un code unique envoyé par e-mail/SMS, les organisations peuvent d'un seul coup éliminer les problèmes de sécurité et d'administration associés aux informations d'identification statiques.
En adoptant cette technique pour les opérations B2B et B2C, les organisations peuvent :
• Améliorer l'expérience utilisateur : en rendant le log-in plus transparent et en éliminant le besoin pour les utilisateurs de se souvenir de leurs mots de passe. Cela peut même améliorer les ventes si moins de paniers d'achat étaient abandonnés en raison de problèmes de log-in.
• Améliorer la sécurité : s'il n'y a pas de mots de passe à voler, les entreprises peuvent supprimer un vecteur clé de compromission. L’an dernier, il semble que les mots de passe étaient à l'origine de 84% des violations. On obligerait les méchants à travailler bien plus dur pour obtenir ce qu'ils veulent. Et les attaques de bourrage d'informations d'identification, actuellement tentées par milliards chaque année, seraient un fait du passé.
• Réduire les coûts et les atteintes à la réputation : en minimisant les opportunités de violations de données financièrement préjudiciables et de rançongiciel. Cela réduirait aussi les coûts d'administration TIC associés aux réinitialisations de mots de passe et aux enquêtes sur les incidents. Un rapport dit que cela pourrait coûter jusqu'à 200 $ par réinitialisation et 30. 000 heures de perte de productivité par an. Sans oublier le temps supplémentaire que les équipes informatiques pourraient consacrer à des tâches à plus forte valeur ajoutée.
Quels sont les obstacles au “sans mot de passe”?
Le sans mot de passe n'est pas une panacée. Il reste plusieurs obstacles à son adoption, notamment :
• La sécurité n'est pas garantie à 100 % : les attaques par échange de carte SIM, par exemple, peuvent aider les attaquants à contourner les codes d'accès à usage unique (OTP - one-time passcodes) envoyés par SMS. Et si les pirates peuvent accéder aux appareils, ils peuvent, via du spyware (logiciel espion), aussi intercepter les OTP.
• La biométrie n'est pas la solution miracle : en s'authentifiant avec un attribut physique que l'utilisateur ne peut ni modifier ni réinitialiser, les enjeux deviennent bien plus importants si les attaquants trouvent un moyen de pirater le système. Des techniques d'apprentissage automatique sont en cours de développement pour saper la technologie de reconnaissance vocale et faciale.
• Coûts élevés : les PME avec une large base d'utilisateurs ou de clients peuvent trouver que le déploiement d'une technologie sans mot de passe s'avère assez coûteux, sans parler des coûts potentiels liés à l'émission d'appareils ou de jetons de remplacement. L'utilisation d'un fournisseur réputé comme Microsoft est plus logique, bien qu'il y ait aussi un coût de développement interne.
• La réticence des utilisateurs : si les mots de passe ont résisté à l'épreuve du temps, malgré leurs importantes lacunes, c’est parce que les utilisateurs savent d’instinct comment les utiliser. Surmonter la peur de l'inconnu peut être abordé plus facilement dans un environnement d'entreprise où les utilisateurs n'auront d'autre choix que de suivre les règles. Mais dans le B2C, cela peut créer nombre de frictions supplémentaires pour décourager les clients. Il faut donc veiller à ce que le processus de log-in soit aussi transparent et intuitif que possible.
Alors que l'ère post-pandémique débute, deux tendances façonneront l'avenir de l'adoption du sans mot de passe : l’augmentation de l'utilisation par les consommateurs de services en ligne et l'émergence du lieu de travail hybride. Avec les appareils mobiles au centre, il semblerait logique que toute stratégie d'entreprise sans mot de passe commence ici.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez nous sur LinkedIn, Facebook, et Twitter.