Podle akademiotoelektronik, 12/11/2022

Pourquoi supprimer les mots de passe est-il un progrès en terme de sécurité ?

Microsoft vient de rendre disponible un outil permettant d’accéder à son compte Outlook sans mot de passe. Une méthode qui, contrairement à ce qu’on pourrait croire, est plus sécurisée que nos vieux « azerty » ou « motdepasse123 »

Vous pourrez bientôt vous passer de votre mot de passe pour vous connecter à votre boite mail Outlook ou votre espace de stockage OneDrive. Microsoft a annoncé le 15 septembre 2021, le déploiement d’une solution d’identification sans mot de passe.

Les dangers que représentent les mots de passe pour la sécurité informatique sont assez largement documentés. Ils sont souvent trop simples, réutilisés sur plusieurs services et facilement devinables. Résultat, les pirates n’ont aucun mal à pénétrer dans des comptes qui ne leur appartiennent pas.

Pas de mot de passe : pourquoi est-ce plus sécurisé ?

Pour contrer ce phénomène vieux comme l’Internet, Microsoft veut donc mettre les mots de passe derrière nous et proposer de nouvelles manières de s’identifier.

Bien évidemment, l’entreprise propose l’authentification biométrique via Windows Hello (reconnaissance faciale ou lecteur d’empreintes), mais il est aussi possible d’utiliser l’application Microsoft Authenticator, une clé de sécurité U2F, ou même un code de vérification reçu par SMS.

Pourquoi supprimer les mots de passe est-il un progrès en terme de sécurité ?

Pour remplacer votre mot de passe, Microsoft vous propose d’utiliser votre téléphone // Source : Microsoft

Cela peut paraître contre-intuitif, mais se débarrasser de vos mots de passe est en fait une des meilleures choses que vous pouvez faire pour sécuriser vos comptes sur le web. En se reposant sur un facteur d’authentification extérieure, plutôt que sur un mot de passe, vous ne laissez plus la possibilité aux internautes mal intentionnés de deviner votre mot de passe, ou de vous le soutirer via des campagnes de phishing.

Seule une approbation de connexion depuis votre téléphone ou depuis une adresse mail secondaire vous permet de vous identifier. Cela vous offre plus de contrôle. La probabilité qu’un hacker ait aussi accès votre téléphone n’est pas nulle, mais elle est faible. C’est d’ailleurs pour ça que l’authentification à deux facteurs est si largement conseillée aujourd’hui.

Pour résumer, en éliminant le mot de passe, Microsoft élimine le facteur humain (et toutes ses faiblesses) de la logique d’identification.

Une philosophie qui a ses limites

« Les mots de passe faibles sont le point d’entrée de la majorité des attaques contre les comptes d’entreprise et les comptes personnels », explique Vasu Jakkal, un responsable de la sécurité chez Microsoft. Microsoft n’est d’ailleurs pas le seul à vouloir se débarrasser des mots de passe. Lors de la WWDC 2021, Apple a présenté son système Passkeys qui propose de s’identifier via une donnée biométrique plutôt que via un mot de passe.

La question qui se pose alors est : que faire si je me fais voler mon téléphone ? Eh bien, d’après la foire aux questions de Microsoft, si vous ne pouvez plus vous identifier grâce à l’appli Authenticator, vous pourrez toujours utiliser une adresse mail secondaire pour vous identifier. Ou un code par SMS si vous avez accès à votre numéro de téléphone.

Malheureusement, cette philosophie a aussi ses limites. Si votre adresse mail de récupération est protégée par un mot de passe, alors la manipulation n’a pas grand intérêt. De plus, certains appareils ont été pensés autour d’une authentification via mot de passe. Microsoft l’écrit noir sur blanc : sa Xbox 360 ne supporte pas l’authentification sans mot de passe.

On peut saluer l’effort fait par Microsoft pour tenter de sécuriser au moins l’accès à ses services. Cependant, tant que tous les acteurs du web ne se synchroniseront pas pour proposer des solutions alternatives aux mots de passe, il y aura toujours un risque.

Tagy: