Mot de passe & authentification forte : comment fonctionnent les solutions 2FA, PasswordLess et API Sign-in ?

Mot de passe & authentification forte : comment fonctionnent les solutions 2FA, PasswordLess et API Sign-in ?

On entend souvent parler d’affaires de « databreach », c’est-à-dire de violation de données au sein d’entreprises, dont l’origine est le piratage d’informations sensibles d’utilisateurs (voir l’étude sur la sécurité des données dans les aéroports). L’enjeu principal est de pouvoir sécuriser les données d’utilisateurs, à la fois les données personnelles mais également les données de connexion dont le mot de passe. De nouvelles méthodes d’authentification ont vu le jour il y a quelques années, dont le 2FA pour « two-factor authentification » en anglais, soit la double authentification en français, l’usage d’API tierces de Sign-in (API de connexion) ou encore du Passwordless soit le « sans mot de passe » en français.

Ce dossier va faire le point sur l’historique du mot de passe, et expliquer les raisons de son évolution, l’intérêt de ces nouvelles méthodes de sécurisation, leur fonctionnement afin de le vulgariser à tous.

securité-aéroport-données-privées

À l’origine du problème : des mots de passes utilisés dits faibles (azerty, 123456…) et utilisés de manière identique sur de nombreux sites

Un premier constat au sujet du secteur du e-commerce : cette étude de Dashlane, logiciel de gestion de mot de passe, qui a audité le top 100 du e-commerce, afin de vérifier le niveau de sécurité exigé sur la création du mot de passe. 1 site e-commerce sur 2 n’imposaient pas de mots de passe mélangeant chiffres et lettres, et même 36% de ces sites acceptaient même les mots de passe les plus faibles d’un point de vue sécurité (azerty etc).

Autre constat : il suffit de consulter régulièrement la presse spécialisée, et même la presse généraliste pour découvrir qu’il y a régulièrement des affaires de piratage de grande envergure. Ici l’exemple de 16 sites différents, représentant plus de 600 millions de données personnelles, incluant e-mail et mot de passe, en vente libre sur le dark web. Il est donc facile de récupérer ces informations, et de tenter de pénétrer différents autres sites internet, car une partie importante des internautes utilisent les mêmes codes d’accès sur les différentes plateformes.

L’impact économique du piratage est à prendre au sérieux : une étude d’IBM établit à 3,9M de dollars l’impact financier d’un piratage au sein d’une entreprise. L’enjeu ici est de prendre conscience qu’il faut sécuriser les données de ses utilisateurs / clients, car il existe essentiellement trois catégories de risques :

  • Le 1er cas de figure, c’est l’attaque “spam” par des robots : l’objectif est de savoir s’il s’agit d’un vrai utilisateur ou d’un logiciel qui tente des combinaisons d’identifiant et de mot de passe de façon automatisée.
  • Le 2ème cas de figure, c’est le piratage de compte, on peut imaginer une boite mail piratée dont il est facile de découvrir les différents services utilisés, de réinitialiser les mots de passe et d’y accéder pour effectuer des transactions illégales.
  • Le 3ème cas de figure, c’est tout simplement les cas de fraudes ou de triche, on peut prendre l’exemple d’entreprises avec une offre de bienvenue (bon d’achat pour la première commande), il est facile pour un utilisateur de créer plusieurs boites mails et bénéficier du service plusieurs fois.

On va donc voir quelles sont les solutions principales pour renforcer l’authentification des utilisateurs. On va analyser quelles sont les méthodes aujourd’hui utilisées par les entreprises, pour renforcer le processus d’authentification, aussi bien lors d’une création de compte que lors d’une transaction. Il existe trois approches qu’on va découvrir en détail : le mot de passe dit sécurisé, les systèmes de type API de connexion via un tiers comme Facebook Connect, et la double authentification.

Quelles solutions pour renforcer la sécurité des utilisateurs grâce à une authentification sécurisée ?

Le mot de passe dit sécurisé

La question légitime, finalement, c’est « qu’est-ce qu’on mot de passe sécurisé » ? Il existe trois critères qui définissent un mot de passe hautement sécurisé : il doit être difficile à deviner (décrire les critères), l’utilisateur doit le mettre régulièrement à jour (c’est-à-dire que les entreprises doivent forcer l’utilisateur à le changer régulièrement), et surtout la procédure de renouvellement de mot de passe, en cas d’oubli par exemple, doit être sécurisée, avec une question secrète et un lien d’expiration limité dans le temps.

En détail, la définition d’un mot de passe sécurisé :

  • 12 caractères minimum mélangeant lettres en majuscules, minuscules, chiffres et caractères spéciaux
  • doit être changé obligatoirement au moins tous les 6 mois minimum
  • doit pouvoir être recréé de façon sécurisée grâce à un système de questions secrètes, avec un lien à expiration de 24 heures maximum

La CNIL donne des recommandations à ce sujet, et propose même un générateur de mot de passe sécurisé en ligne.

L’autre question qui découle de cela : est-ce suffisant d’utiliser un mot de passe sécurisé aujourd’hui ? Une étude menée par Lab42, un institut indépendant, a sondé un panel de personnes sur leur façon de choisir leurs mots de passe aux États-Unis. Près de 6 personnes sur 10 utilisent le même mot de passe sur tous leurs comptes. Il suffit de questionner son entourage, familles, amis, pour se rendre compte que ce n’est pas un micro phénomène mais vraiment une tendance de fond. Pire encore, 47% avouent utiliser les mêmes mots de passe sur leur compte professionnel & personnel, avec comme principale raison d’avoir peur de l’oublier. Donc même si vos utilisateurs renseignent un mot de passe sécurisé, il y a de fortes chances qu’ils utilisent le même ailleurs, et donc vous n’aurez aucune garantie que le compte n’est pas piraté ou utilisée par une autre personne.

L’utilisation d’une API de connexion tierce pour sécuriser l’authentification de vos utilisateurs

Reste la solution des API de connexion via un tiers, comme Facebook Connect ou encore Google Sign-In, et même dernièrement Apple s’y est mis avec « Sign in with Apple« .

Le problème reste cependant le même : rien ne garantira que les données transmises par ce tiers seront bonnes, puisqu’on sait que Google ou Facebook ont dans leur base des milliers de faux utilisateurs ou de comptes non authentifiés. Par ailleurs, il faut savoir que les consommateurs souhaitent de plus en plus distinguer leur vie privée de leur vie dite “sociale”, et ont de plus en plus conscience du poids des GAFAM dans leur vie quotidienne. Cela peut donc présenter un frein à la conversion si vous n’exploitez que ces modules comme élément d’authentification des utilisateurs.

Bon à savoir : le gouvernement a lancé une initiative, permettant d’avoir une alternative aux GAFAM, qui s’appelle FranceConnect. Ce système permet donc d’avoir un compte commun sur tous les services publics (Impôts, sécurité sociale, La Poste…), mais des entreprises privées peuvent également exploiter cette technologie pour leur système d’authentification. Il existe déjà 9 millions d’utilisateurs. La seule question qui se pose, c’est la pertinence pour l’utilisateur d’associer des transactions financières d’ordre privé (achat en ligne, souscription à des services etc) à un service d’authentification créé par le gouvernement.

Le principal défi, pour les entreprises, c’est de trouver le bon équilibre entre une expérience client réussie et un niveau de sécurité optimal ne représentant pas un frein pour le consommateur. Et c’est là que l’authentification forte offre une solution à la fois flexible et user-friendly.

L’authentification forte à double facteur dite 2FA

Pour définir l’authentification forte, il faut réunir au moins trois critères :

  • Qui je suis : via l’identifiant qu’on appelle également le login
  • Ce que je sais : l’authentifiant plus communément appelé mot de passe
  • Ce que je possède : un élément prouvant qu’il s’agit bien de moi
  • En option ce que je suis : une empreinte biométrique par exemple

C’est là que la technologie du 2FA est une excellente solution compatible avec cette approche d’authentification forte. On va donc voir en détails ce qu’est le 2FA, comment cela fonctionne et les conseils de mise en place.

Définition du principe de double authentification, appelé communément 2FA pour two factor authentication : c’est une méthode de vérification en deux étapes par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d’identité distinctes.

Le 2FA existe sous plusieurs formes, mais la combinaison la plus répandue aujourd’hui est le mot de passe de l’utilisateur, associé à une vérification via son smartphone, à travers le SMS ou l’appel voix.

La combinaison la plus fréquente : un code associé à une vérification via SMS ou via un appel voix

Le Passwordless : l’authentification sans mot de passe

Pour aller plus loin, il existe également ce qu’on appelle le Passwordless : le Passwordless consiste à remplacer le mot de passe traditionnel par l’envoi d’un code à usage unique via SMS, voix ou notification push. C’est une solution qui évite à l’utilisateur de devoir mémoriser un mot de passe, et nécessite au préalable de s’assurer que l’entreprise détient bien les bonnes informations de l’utilisateur pour pouvoir l’activer, à minima son numéro de téléphone afin de lui transmettre ce code.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *