Sécurisez les accès sur votre infrastructure
Le passwordless associé à l’authentification adaptative (comportementale) pour rendre plus sûr votre infrastructure et vos applications legacy

Sécurisez les accès sur votre infrastructure

L’authentification sans mot de passe permet de vérifier l’identité d’un utilisateur sans avoir recours à un mot de passe. À la place, l’authentification sans mot de passe utilise des alternatives plus sécurisées telles que les facteurs de possession (mots de passe à usage unique, smartphones enregistrés) ou la biométrie (lectures d’empreintes digitales ou rétiniennes).

Les mots de passe ne sont plus sûrs depuis longtemps. Ils sont difficiles à mémoriser et faciles à égarer. Ils sont également la cible numéro un des cybercriminels. À tel point que 81 % des violations impliquent des mots de passe faibles ou volés.

Quelques types d’authentifications sans mot de passe 

L’authentification sans mot de passe peut être assurée de plusieurs façons dont :

  • La Biométrie : les caractéristiques physiques, comme les lectures d’empreintes digitales ou rétiniennes, ainsi que les caractéristiques comportementales comme la dynamique de frappe et de toucher d’écran tactile permettent d’identifier une personne de manière unique. Même si l’IA moderne a permis aux pirates d’usurper certaines caractéristiques physiques, les caractéristiques comportementales restent extrêmement difficiles à falsifier.
  • Les Facteurs de possession : authentification via un objet que l’utilisateur possède ou porte sur lui. Il peut s’agir par exemple du code généré par l’application d’authentification d’un smartphone, d’un mot de passe à usage unique reçu par SMS ou encore d’un jeton matériel.
  • Les Liens magiques : l’utilisateur saisit son adresse e-mail à laquelle le système envoie un e-mail. Cet e-mail contient un lien qui donne des droits d’accès à l’utilisateur lorsque celui-ci clique sur ce lien.

Fonctionnement de l’authentification sans mot de passe

L’authentification sans mot de passe fonctionne en remplaçant les mots de passe par d’autres facteurs d’authentification intrinsèquement plus sûrs. Dans l’authentification basée sur un mot de passe, le mot de passe fourni par l’utilisateur est mis en correspondance avec celui qui est stocké dans la base de données.

Dans certains systèmes sans mot de passe, comme la biométrie, la comparaison a lieu de manière semblable, mais à la place des mots de passe, ce sont les caractéristiques distinctives de l’utilisateur qui sont comparées. Par exemple, un système capture le visage d’un utilisateur, en extrait les données numériques, puis les compare avec les données vérifiées présentes dans la base de données.

Dans d’autres implémentations sans mot de passe, les comparaisons peuvent se dérouler différemment. Par exemple, un système envoie par SMS un code secret à usage unique vers le mobile de l’utilisateur. L’utilisateur le reçoit et le saisit dans la zone de connexion. Le système compare alors le code secret qu’il a envoyé à celui que l’utilisateur a saisi.

L’authentification sans mot de passe s’appuie sur les mêmes principes que les certificats numériques : une paire de clés de chiffrement avec une clé privée et une clé publique. Même si elles sont toutes deux appelées des clés, considérez la clé publique comme le cadenas et la clé privée comme la clé qui permet de le déverrouiller.

Les certificats numériques fonctionnent de telle manière qu’il n’y a qu’une seule clé pour le cadenas et qu’un seul cadenas pour la clé. Un utilisateur souhaitant créer un compte sécurisé utilise un outil (une application mobile, une extension de navigateur, etc.) pour générer une paire de clés publiques-privées.

La clé privée est stockée sur l’appareil local de l’utilisateur et n’est accessible qu’à l’aide d’un facteur d’authentification, par exemple une empreinte digitale, un code PIN ou un mot de passe à usage unique. La clé publique est fournie au système sur lequel l’utilisateur souhaite disposer d’un compte sécurisé.

L’authentification sans mot de passe est-elle sûre ?

Que l’authentification sans mot de passe soit sûre ou non dépend de votre définition de la sûreté. Si pour vous, « sûr » signifie plus difficile à craquer et moins vulnérable aux cyberattaques les plus courantes, alors oui, l’authentification sans mot de passe est sûre.

Si par « sûr », vous entendez impossible à pirater, alors non, elle n’est pas sûre. Il n’existe aucun système d’authentification qui ne puisse être piraté. Il n’y a peut-être pas de moyen évident de le pirater, mais cela ne signifie pas que les pirates les plus avancés ne peuvent pas en contourner les défenses.

Cela étant dit, les techniques sans mot de passe sont intrinsèquement plus sûres que les mots de passe. Par exemple, pour pirater un système basé sur un mot de passe, une personne malveillante peut utiliser une attaque par dictionnaire, qui est souvent considérée comme la technique de piratage la plus rudimentaire (essayer différents mots de passe jusqu’à obtenir une correspondance).

Même les pirates amateurs peuvent procéder à des attaques par dictionnaire. À l’inverse, l’infiltration d’un système sans mot de passe requiert un niveau d’expérience de piratage et de sophistication nettement supérieur. Par exemple, seuls les algorithmes d’IA les plus avancés permettent à un pirate d’usurper une empreinte digitale.

MFA et authentification sans mot de passe

L’authentification sans mot de passe remplace simplement les mots de passe par un facteur d’authentification mieux approprié. D’autre part, l’authentification multifacteur (MFA) utilise plusieurs facteurs d’authentification pour vérifier l’identité d’un utilisateur.

Par exemple, un système MFA peut utiliser la lecture d’empreintes digitales comme facteur d’authentification principal ainsi que des mots de passe à usage unique envoyés par SMS comme facteur secondaire.

Il y a parfois confusion entre l’authentification sans mot de passe et l’authentification MFA ou les deux méthodes sont utilisées de manière interchangeable. Cela s’explique par le fait que de nombreux systèmes de connexion traditionnels, basés sur un mot de passe ont commencé à utiliser une technique sans mot de passe comme facteur d’authentification secondaire.

Comment implémenter l’authentification sans mot de passe ?

Voici comment vous pouvez procéder à l’implémentation de l’authentification sans mot de passe :

  1. Choisissez votre mode : la première étape consiste à choisir votre facteur d’authentification favori. Les options disponibles vont des lectures d’empreintes digitales et rétiniennes aux liens magiques, en passant par les jetons matériels.
  2. Nombre de facteurs : il est recommandé d’utiliser plusieurs facteurs d’authentification avec ou sans mot de passe. Le recours à un seul facteur, même s’il peut sembler sûr, est déconseillé.
  3. Achetez le matériel/les logiciels requis : vous devrez peut-être acheter un équipement pour implémenter l’authentification sans mot de passe basée sur la biométrie. Pour les autres modes, tels que les liens magiques ou les mots de passe à usage unique envoyés sur mobile, vous ne devrez peut-être que vous procurer le logiciel nécessaire.
  4. Provisionnez les utilisateurs : commencez à enregistrer des personnes sur votre système d’authentification. Par exemple, pour un système de reconnaissance faciale, vous devez analyser les visages de tous vos collaborateurs.

L’implémentation de l’authentification sans mot de passe en interne peut être chronophage et complexe. C’est pourquoi de nombreuses entreprises préfèrent l’externaliser auprès de fournisseurs IAM tiers (par exemple OneLogin). Le processus s’en trouve alors accéléré, et les problèmes et les coûts de maintenance sensiblement réduits.

L’avenir sera-t-il sans mot de passe ?

Même si les mots de passe sont beaucoup moins répandus qu’auparavant, ils restent utilisés dans le monde entier La principale raison est qu’un système de connexion basé sur un mot de passe est le plus facile et le moins cher à implémenter. Cependant, nous nous attendons à ce que l’authentification sans mot de passe prenne bientôt le dessus.

Le nombre de cyberattaques n’a jamais été aussi élevé que ces deux dernières années. De nombreuses sociétés tirent la sonnette d’alarme et investissent de plus en plus dans la biométrie et l’authentification adaptative (détaillée dans la prochaine section).

De plus, nombre de sociétés ont compris que les mots de passe sont la principale raison des violations de données. Le coût de l’implémentation d’un système sans mot de passe n’est rien comparé aux pertes et pénalités financières encourues suite à une violation de données.

Enfin, et surtout, les mots de passe sont une nuisance pour les utilisateurs. Leur mémorisation est difficile et leur réinitialisation fastidieuse. D’autre part, les techniques sans mot de passe, comme la biométrie, sont pratiques et beaucoup plus conviviales.

Associez l’authentification sans mot de passe à l’authentification adaptative (comportementale)

Même si l’authentification sans mot de passe est une amélioration majeure par rapport à l’utilisation des mots de passe, elle n’est pas infaillible. Les données biométriques peuvent être usurpées, les mots de passe à usage unique peuvent être interceptés et les jetons matériels volés. C’est pourquoi vous avez besoin d’un système allant au-delà des seuls facteurs d’authentification pour vérifier l’identité, à savoir l’authentification adaptative.

L’authentification adaptative utilise l’apprentissage automatique pour développer des schémas de comportement d’utilisateur typique. Chaque fois que le système détecte un écart par rapport au schéma, il considère la tentative de connexion comme risquée et prend les mesures appropriées.

Par exemple, supposons qu’un utilisateur se connecte au système, via son ordinateur portable, tôt le matin, tous les jours de la semaine. Au fil du temps, le système détermine qu’il s’agit là de son comportement de connexion type. Puis un jour, l’utilisateur se connecte au système un samedi.

Il utilise toujours le même ordinateur portable, tôt en début de matinée et également dans la même zone géographique. Le système calcule un score de risque relativement plus élevé pour ce comportement, ce qui justifie l’utilisation d’un facteur d’authentification secondaire, par exemple un mot de passe à usage unique envoyé par SMS.

Quelques jours plus tard, le système détecte une tentative de connexion du même utilisateur, provenant d’un autre pays et d’un autre appareil. Il calcule un score de risque exponentiellement plus élevé et bloque l’utilisateur. Par la suite, il s’avère qu’il s’agissait d’une tentative de connexion d’un cybercriminel qui avait usurpé l’identité de l’utilisateur.

L’association d’un système sans mot de passe à l’authentification adaptative peut augmenter considérablement la résilience de votre système. Il est plus difficile, mais pas impossible de pirater des facteurs sans mot de passe ; l’authentification adaptative vous aide à ajouter une autre couche de protection optimisée par l’IA.

Guylaine NGOUDJO

Identity Security Specialist

1 ans

Bravo pour cet article, ça résume la tendance actuelle.

Gaston Ndoumbe

Analyste Technologique - MC-azAD |MC-azA| MCT| M365Expert| Instructeur Udemy

1 ans

Très bel article . L'avenir sera certainement au Passwordless . Mais quand je lis cet article le combo gagnant c'est : Passwordless avec cle fido 2 ou Microsoft Auth + Azure AD Identity Protection pour calcul de score et Conditionnal Access pour bloquer quand le risque est élevé. 😉 . C'est pas mal ca " Nous travaillons actuellement sur un cours de Securite Azure AD qui sera disponible bientôt pour apprendre a faire tout ceci. Stay tune...

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets