Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
Chacun d’entre nous possède un portefeuille d’environ 100 mots de passe. Autant que d’applications. Pour accéder à nos messageries, à nos réseaux sociaux, à notre banque ou à nos services publics dématérialisés, nous devons créer — et mémoriser — un sésame suffisamment robuste pour déjouer toute usurpation d’identité : des majuscules, des minuscules, des chiffres, des caractères spéciaux…
Autant le dire tout de suite : c’est une mission impossible pour la majorité d’entre nous. Comme le reconnaît la société Nordpass, spécialisée dans la cybersécurité : « nous savons pourquoi les internautes utilisent et réutilisent des mots de passe basiques. Ils en ont tout simplement trop à retenir ». Le constat est juste : les mots de passe « 123456 » et « azerty » sont encore abondamment utilisés par les internautes alors que les gestionnaires de mots de passe sont largement sous-employés.
Trop de mots de passe à retenir
En 2004, Bill Gates avait annoncé la fin des mots de passe. Près de vingt ans plus tard, la promesse n’a pas été tenue mais les choses semblent en train de bouger. Au mois de mai dernier, Google, Apple et Microsoft ont annoncé leur intention de remplacer les mots de passe par une norme de connexion développée par l’Alliance Fido (Fast IDentity Online) et le World Wide Web Consortium.
Cette nouvelle procédure permettra aux sites web et aux applications d’offrir aux consommateurs des ouvertures de session sans mot de passe sur tous les appareils et toutes les plateformes.
Concrètement, nous pourrons accéder à nos comptes via des outils que nous utilisons déjà sur nos téléphones : recueil de l’empreinte digitale, reconnaissance du visage/de la voix/de l’iris, ou bien encore un code PIN.
Lire aussi : Les 3 meilleurs gestionnaires de mots de passe gratuits pour sécuriser vos données
« Cette nouvelle approche protège contre le hameçonnage et la connexion sera radicalement plus sûre que les mots de passe et les anciennes technologies multifactorielles telles que les codes d’accès à usage unique envoyés par SMS » explique l’Alliance Fido ; « le passage complet à un monde sans mot de passe commencera par les consommateurs qui en feront un élément naturel de leur vie. Toute solution viable doit être plus sûre, plus facile et plus rapide que les mots de passe ».
Contrairement aux mots de passe, les données biométriques ne peuvent pas être oubliées
Lancée en 2013, l’Alliance Fido est une association industrielle qui a pour objectif de promouvoir des alternatives aux mots de passe. Parmi ses membres, on recense quelques grands noms de la filière numérique : Google, Microsoft, Paypal, Samsung, Thales, Visa, Salesforce… On y trouve également quelques mastodontes du commerce en ligne qui ont tout intérêt à disposer d’une authentification fluide et sécurisée : Amazon, eBay, Ali Baba…
Ses travaux portent notamment sur les technologies biométriques qui permettent l’identification et l’authentification d’une personne à partir de données reconnaissables et vérifiables, qui lui sont propres et qui sont uniques.
« Il s’agit de saisir une donnée biométrique de cette personne, en prenant par exemple une photo de son visage, en enregistrant sa voix, ou en captant l’image de son empreinte digitale. Ces données sont ensuite comparées aux données biométriques de plusieurs autres personnes qui figurent dans une base », explique la société Thales.
Pour le groupe d’électronique français spécialisé dans l’aérospatiale, la défense et la sécurité, « l’utilisation de la biométrie présente de nombreux avantages dont le premier, le niveau de sécurité et de précision, qu’elle garantit. Contrairement aux mots de passe, aux badges, aux documents, les données biométriques ne peuvent pas être oubliées, échangées, volées, et demeurent infalsifiables. La probabilité de trouver deux empreintes digitales semblables, selon les calculs de Sir Francis Galton (cousin de Darwin) est d’une chance sur 64 milliards, même chez les vrais jumeaux (homozygotes). »
Jetons matériels et jetons logiciels
L’Alliance Fido mène également des recherches sur les jetons d’authentification (également appelés jetons de sécurité, jetons USB, clés USB de sécurité, ou jetons cryptographiques). Apparus il y a plusieurs années déjà, ces jetons se présentent sous forme matérielle ou logicielle. Dans le premier cas, il ressemble à un dispositif de type clé USB ou à une carte à puce.
Dans le deuxième cas, il s’agit d’un logiciel installé sur le matériel de l’utilisateur (ordinateur, smartphone, tablette, navigateur…).
Lire aussi : Internautes, voici les meilleurs outils et astuces pour sécuriser vos mots de passe !
« Grâce à la technologie avancée des clés dynamiques aléatoires, un utilisateur peut s’authentifier en utilisant son navigateur comme jeton » explique la société Inwebo, spécialisée dans ces technologies ; « les token (jetons) logiciels présentent plusieurs avantages par rapport aux jetons matériels. Ils sont capables de s’adapter et de maintenir l’équilibre entre expérience utilisateur et sécurité. Les coûts logistiques sont beaucoup plus faibles que pour les jetons matériels : pas de coût supplémentaire pour déployer chaque nouveau jeton et ils sont bien moins susceptibles d’être perdus ou oubliés. Ils sont également constamment à jour car ils peuvent être mis à jour à distance. Cela représente un réel soulagement pour les équipes informatiques par rapport aux jetons matériels. »
Qu’ils se présentent sous forme matérielle ou logicielle, les jetons permettent aux internautes d’accéder à un site web pendant toute la durée de vie du jeton.
Un millier de bêta-testeurs pour France Identité
À côté des alternatives proposées par les géants du numérique, il existe des solutions « made in France » à l’image de l’application France Identité lancée le 11 mai dernier auprès d’un panel d’un millier de bêta-testeurs. Ce service fait une promesse à ses utilisateurs : « gardez la maîtrise de vos données d’identité ». Ce nouveau service permettra notamment de prouver son identité sans divulguer la totalité de ses données et d’éviter l’usurpation d’identité.
Conçu comme un prolongement numérique de la carte d’identité, France Identité devrait éviter aux usagers de devoir scanner leur carte d’identité lorsque cela leur est demandé. Cette version bêta, une fois enrichie des retours des premiers utilisateurs, devrait être généralisée à la fin de l’année 2022.
Lire aussi : En 2023, votre carte d'identité pourra être dématérialisée sur un smartphone
Quant à Docaposte, présent sur le marché de l’identité numérique depuis plusieurs années, « l’avenir se présente sous la forme d’une plateforme Saas, ID360 qui offre aux entreprises, quels que soient leurs usages, l’accès à l’ensemble des moyens de vérification d’identité du marché, de la plus simple à la plus certifiée », explique Candice Dauge, directrice de l'Identité Numérique La Poste ; « face à l’explosion de la fraude documentaire, ce service global permet de bénéficier de toutes les modalités de vérification d’identité à distance via un point d’entrée unique ».
ID360 a obtenu le label #FintechFi, décerné par le comité de labellisation de Finance Innovation, dans la filière « Banque ».