Mais alors que le mot de passe est le mode d’authentification (dit simple) le plus
utilisé, peut-on envisager un autre moyen d’accéder à ses comptes en toute sécurité
 ? Comment la formule « moins de mots de passe = plus de sécurité » peut-elle marcher
 ?

Authentification forte vs authentification unique

Si l’identification requiert des internautes de répondre à la question "Qui
êtes-vous ?" au travers d’un identifiant unique, ceci n’est pas à confondre avec le
processus d’authentification qui, quant à lui, vise à valider l’identité, et peut se
décliner sous deux formes différentes pouvant se compléter :

* L’authentification forte (ou Multi-facteurs), qui demande d’associer plusieurs
preuves en vue d’effectuer cette validation, par exemple quelque chose que l’on
sait (mot de passe, code PIN) avec quelque chose que l’on possède (un élément
biométrique, un objet ou une action)

* L’authentification unique (SSO), utilisant un compte unique donnant accès à
plusieurs applications en ne s’authentifiant qu’une seule fois.
C’est justement ce dernier procédé que le gouvernement français a voulu soutenir via
le dispositif « France Connect » permettant aux citoyens français de s’identifier
sur les principaux sites publics via un seul jeu d’identifiants. Cela permet aux
utilisateurs de s’identifier une seule fois, limitant ainsi les risques en réduisant
le nombre de mots de passe à retenir.

Partant du constat simple que le premier élément de sécurité est l’identité et que
le vrai point faible de l’identité est le mot de passe, l’authentification unique
apparaît également comme une bonne stratégie à adopter pour toute entreprise ou
particulier souhaitant en finir avec la multiplicité des identifiants et des mots de
passe tels que nous les avons connus jusqu’à présent. Cette approche fournit
également une expérience utilisateur améliorée pour les employés, les clients ou les
citoyens. Pourtant, elle ne résout pas seule les enjeux de sécurité associés à
l’authentification.

Alors que la mobilité et le Cloud font voler en éclat le périmètre de sécurité
traditionnel des entreprises, celles-ci doivent s’efforcer de trouver de nouvelles
stratégies pour se protéger.

L’authentification forte, clef de voûte de la sécurité de vos données

Depuis quelques mois, le niveau de créativité des cybercriminels a encore monté d’un
cran, en ce qui concerne les techniques utilisées pour dérober des données
personnelles des consommateurs. Avec l’utilisation accrue d’appareils mobiles et
l’émergence des objets connectés stockant chaque jour d’avantage d’informations
personnelles et confidentielles, il devient critique pour les particuliers et les
entreprises de protéger efficacement leurs données sensibles. Fin 2015, Dropbox
avait donné l’exemple, en annonçant une forme de sécurisation additionnelle de
l’accès à leur service via des clés USB permettant une double authentification de
ses utilisateurs visant à renforcer la sécurité des espaces de stockage de ses
différents utilisateurs.

Par ailleurs, l’apparition de la génération Y et du tout connecté a chamboulé
l’utilisation des appareils aussi bien à la maison qu’au travail, notamment avec
l’avènement du BYOD. Alors que bon nombre d’employés connaissent les bonnes
pratiques en termes de mots de passe, la facilité l’emporte très souvent sur la
sécurité. Ainsi, près de la moitié des employés admettent qu’ils sont susceptibles
de réutiliser des mots de passe personnels pour des comptes liés au travail[1].

Pourtant, l’avènement du BYOD fournit justement de nouveaux moyens de renforcer le
processus d’authentification en adoptant des facteurs logiciels déployés sur
l’équipement (mobile) de l’employé.
Enfin, concernant les services en ligne aux consommateurs (messagerie, collaboratif,
stockage), les vols massifs d’identifiants et mots de passe soulignent d’autant plus
le besoin de renforcer l’authentification avec plusieurs facteurs afin de limiter
les risques de fraude liés à une simple authentification du couple identifiant/mot
de passe. Yahoo en est à ce titre le dernier exemple de taille avec l’annonce il y a
quelques jours d’un piratage de près de 500 Millions d’identifiants et mots de passe
de clients s’étant déroulé plus de 18 mois auparavant !

Vers l’authentification adaptive

Les entreprises doivent donc s’efforcer d’adopter des mesures de sécurité
simplifiées mais néanmoins plus robustes. Dernièrement, plusieurs gros acteurs du
numérique ont choisi d’adopter de nouveaux moyens technologiques afin de s’assurer
un niveau optimal de protection.
La biométrie a été l’une des dernières adoptions en date, alors même qu’elle ne
représente pas une alternative 100% fiable lorsqu’elle est utilisée seule. Il y a un
an, 5,6 millions d’empreintes digitales appartenant à un organisme gérant la
carrière professionnelle des fonctionnaires fédéraux américains avaient été
dérobées. Cette actualité démontre que la biométrie – ce système de reconnaissance
basé sur des caractéristiques physiques ou comportementales d’un individu pour
vérifier son identité – ne serait pas aussi fiable qu’on pourrait le penser et reste
un moyen d’authentification encore fragile. Début 2015, un hacker était déjà parvenu
à cloner l’empreinte digitale de la ministre fédérale de la Défense Allemande en la
reconstituant grâce à des photos publiques en haute définition.
On peut imaginer renforcer la sécurité grâce à l’authentification adaptative et
ainsi éviter de sacrifier l’expérience utilisateur. L’authentification adaptative
permet de tenir compte de données telles que les adresses IP, la géolocalisation, la
distance parcourue ou les empreintes comportementales pour attribuer un niveau de
risque qui détermine si le client doit faire l’objet d’une demande
d’authentification complémentaire. Si un client Uber commande un véhicule à New York
et qu’une nouvelle commande se fait à Paris quelques minutes après, le contexte
permettra d’établir un niveau de risque et, en fonction de celui-ci, d’appliquer une
méthode d’authentification complémentaire telle que la biométrie, un jeton numérique
(par exemple généré depuis le smartphone référencé du client) ou d’autres
combinaisons de facteurs permettant de sécuriser la transaction.

Le couple SSO / Authentification Forte

Le couplage de l’authentification unique à l’authentification forte rend un double
service auprès des utilisateurs : d’une part le consommateur ou l’employé bénéficie
d’une expérience améliorée (et d’un réel confort), et d’autre part il permet
d’élever de manière très conséquente la sécurité des services rendus tout en
diminuant le risque de fraude. L’avenir est à la combinaison de ces deux moyens.
Les solutions de gestion des identités connaissent une adoption de plus en plus
généralisée car elles proposent une expérience client homogène et répondent à des
contraintes strictes en matière de sécurité, de performances et de besoins
techniques. Beaucoup d’entreprises et autres organismes ont déclaré que la fin du
mot de passe était proche, il faut maintenant se pencher sur ce qui vient après.