Pourra-t-on vraiment se passer des mots de passe ?

Incontournable pour consulter des sites ou accéder à des applications, le couple « identifiant + mot de passe » pourrait être remplacé par une solution utilisant les capteurs biométriques des smartphones. (iStock)

Google, Apple et Microsoft ont annoncé leur soutien à une initiative visant à remplacer totalement les mots de passe par l’identification biométrique. Mais il faudra convaincre les fournisseurs de services numériques.

Des chiffres et des lettres. Des majuscules et des minuscules. Au moins huit caractères, dont au moins un signe de ponctuation. Pour regarder un film, consulter son compte bancaire, lire un article des «Echos» ou accéder à un réseau social, les mots de passe sont devenus indispensables à nos vies connectées. Et ils doivent être de plus en plus complexes.

Selon une étude menée en 2020, chacun d’entre nous utiliserait en moyenne une centaine de mots de passe différents … Comme aucun être humain n’est capable d’en retenir autant, nous avons développé différentes méthodes de contournement. Certains utilisent toujours les mêmes mots de passe, ce qui est bien sûr la pire des méthodes – en cas de fuites de données, les pirates pourront avoir accès à tous les comptes protégés par le même mot de passe. D’autres les notent dans un carnet à proximité de leur PC, ce qui n’est pas une très bonne idée non plus.

Aucune solution de «mémorisation» n’est parfaite

D’autres, enfin, ont recours à un gestionnaire de mots de passe, sorte de coffre-fort numérique contenant l’ensemble des mots de passe d’un utilisateur. Des géants du net comme Apple ou Google en proposent, aux côtés d’acteurs spécialisés comme Dashlane, NordPass (auteur de l’étude sur le nombre de mots de passe), 1Password, etc. Leurs outils connectent automatiquement l’utilisateur aux sites ou aux applications, et sont eux-mêmes protégés par un mot de passe unique qui déverrouille l’ensemble des comptes.

« C’est très bien sur le papier, mais cela ajoute un point de fragilité : si ce mot de passe unique est compromis, l’attaquant a accès à l’ensemble des mots de passe de votre gestionnaire », explique Loïc Guézo, expert en cybersécurité chez Proofpoint et secrétaire général du Clusif, une association de promotion de la cybersécurité auprès des entreprises et administrations.

Comment aller plus loin ? En supprimant purement et simplement les mots de passe. C’est l’objectif de FIDO (Fast IDentity Online) Alliance, un groupement d’industriels du numérique lancé en 2012 pour trouver une solution plus sûre et plus simple pour les utilisateurs. « FIDO a été lancé pour lutter contre les fuites de données, qui sont quasiment toujours liées à des mots de passe, explique aux «Echos» Andrew Shikiar, directeur exécutif de FIDO Alliance. L’idée est que réduire notre dépendance aux mots de passe permettrait de limiter les cyberattaques. »

Une nouvelle technologie d’identification

Après une décennie de recherche et d’initiatives peu visibles pour le grand public, les travaux sont en passe d’aboutir. Le mois dernier, Apple, Microsoft et Google ont annoncé leur soutien à une nouvelle technologie d’identification, appelée « Multi-device FIDO ». Dans la foulée, Apple a présenté le 6 juin, lors de sa conférence pour développeurs WWDC , un outil appelé Passkeys qui repose sur cette technologie, et sera intégré aux prochains systèmes d’exploitation des Mac, iPhone, iPad ou Apple TV. Au lieu de saisir des mots de passe, les utilisateurs pourront utiliser les capteurs biométriques (forme du visage ou empreinte digitale) de leur appareil pour s’identifier sur tous les sites et services numériques ayant adopté la solution FIDO.

Et ce n’est qu’un début : la semaine dernière, Microsoft a annoncé l’arrivée de la technologie sur son offre de cloud Azure, et Google devrait faire des annonces prochainement. « Le but des membres de FIDO est de favoriser un standard, sur le modèle du Bluetooth (connexions sans fil, NDLR), du HDMI (vidéo haute définition) ou de l’USB, indique Andrew Shikiar. Apple, Microsoft ou Google se livrent une compétition féroce dans beaucoup de domaines, mais dans certains cas ils savent coopérer. Toutes ces entreprises, et des centaines d’autres, estiment qu’un standard d’identification solide serait bénéfique pour tous. »

De gros avantages… et un inconvénient

Reposant sur un système de clefs publiques et privées (lire ci-contre), le système est conçu pour qu’aucun mot de passe ne circule sur le réseau, ce qui réduit le risque qu’ils soient interceptés. Dans le même temps, après une première procédure d’enregistrement, il est censé faciliter la vie des internautes, qui n’auront plus à créer un mot de passe pour chaque nouveau service. Et il fonctionne sur des appareils différents – en utilisant une liaison Bluetooth, votre téléphone peut déverrouiller l’accès à un service sur votre tablette ou votre ordinateur. « Je vois cela comme une évolution normale et logique, qui vise à rendre la transformation numérique plus ergonomique pour les utilisateurs, indique Loïc Guézo. La biométrie est très ergonomique, car elle permet un fonctionnement plus fluide. Cette fluidité cache bien sûr des outils et des protocoles de sécurité de plus en plus nombreux et complexes… »

Les avantages de cette approche sont doubles : vous n’aurez pas à vous souvenir de nouveaux mots de passe pour chaque application ou site web, et l’application ou le site web n’a pas à s’inquiéter de la perte des mots de passe des utilisateurs en cas de piratage. Mais cela représente un changement profond : internautes et fournisseurs de services vont sous-traiter l’identification à un prestataire extérieur, le fournisseur du smartphone ou du système d’exploitation. « On passe d’un mode propriétaire à un mode locataire, comme cela a été le cas avec la musique : vous ne possédez plus de disques, vous louez l’accès à votre musique à des plateformes de streaming, explique Johnatan Uzan, expert cybersécurité de BCG Platinion. Nous allons abandonner la possibilité de choisir et gérer nos mots de passe nous-même, et la confier à des sociétés privées comme Google ou Apple. Ce n’est pas forcément une mauvaise chose, mais il faut en avoir conscience. »

D’accord pour dépendre encore davantage de Google ?

Le succès de cette initiative dépendra avant tout des fournisseurs de services et des sites web, qui seront libres d’adopter ou pas cette solution, gratuite pour eux. Tout dépendra de la confiance qu’ils seront prêts à accorder aux géants du numérique. « Cela ne se fera pas en une nuit, reconnaît Andrew Shikiar. Je pense que l’adoption va être forte au cours des prochains mois, mais il faudra peut-être deux ou trois ans pour que les utilisateurs voient la différence à grande échelle. »

FIDO, mode d’emploi

La technologie « Multi-device FIDO » repose sur des outils de cryptographie et sur les capteurs biométriques des smartphones.

– L’échange de mot de passe entre un internaute et un serveur est remplacé par une paire de clefs cryptées.

– La clef publique est stockée sur le serveur, et la clef privée sur un terminal appartenant à l’utilisateur – généralement son smartphone.

– Pour se connecter, l’utilisateur doit activer sa clef privée, qui communique avec la clef publique du serveur pour autoriser l’accès. Il le fait en utilisant la technologique de biométrie de son terminal. Selon le modèle, cela peut être la reconnaissance du visage, de l’iris ou de l’empreinte digitale.

– Si l’appareil n’a pas de capteur biométrique, ou si celui-ci ne fonctionne pas, l’utilisateur peut activer sa clef privée avec un code numérique ou un mot de passe, mais celui-ci n’est jamais échangé sur le réseau.

Quand nos comportements peuvent nous identifier

Abacus : c’est le nom d’un projet présenté en 2016 par Google pour remplacer les mots de passe par… les comportements des utilisateurs de smartphones Android. Le postulat est que notre manière de saisir du texte, notre voix et même la façon dont nous marchons sont relativement uniques. Une fois combinés à d’autres éléments (type de terminal, localisation, etc.) et analysés par l’intelligence artificielle, ces éléments peuvent donner un « score de confiance » pour garantir l’identité de l’utilisateur. Une approche habile et innovante, mais un peu inquiétante : si je change ma façon de taper ou de marcher, serais-je encore reconnu ?

Les Echos