Véritable plaie pour les utilisateurs, le mot de passe est révolu… On assiste à une convergence de technologies alternatives pour les remplacer et permettre une authentification simple, conviviale et sécurisée. Petit tour d’horizons de ces technologies que tout DSI doit connaître… et envisager!

Par François Lasnier, Vice-président solutions de gestion des accès chez Thales

Dans le contexte actuel, où l’attention du monde entier se focalise à juste titre sur la lutte contre le Covid-19, les pirates informatiques profitent de la situation pour lancer des attaques par harponnage et par hameçonnage, utilisant comme leurre des informations sur le virus.

Alors que de plus en plus d’entreprises prennent conscience des enjeux liés à la sécurité en ligne, nous constatons une convergence des technologies pour créer des solutions alternatives en matière de validation des identifiants.

Un large éventail d’options est d’ailleurs d’ores et déjà disponible. D’ici 2022, Gartner prévoit que 60 % des grandes entreprises mondiales auront adopté l’authentification sans mot de passe, un énorme bond par rapport aux 5 % actuels.

Ainsi, alors que le mot de passe traditionnel est sur le point de tirer sa révérence, le temps presse de déployer des solutions alternatives dans les entreprises. Vu le nombre d’options déjà disponibles, l’avenir de l’authentification sans mot de passe s’annonce prometteur. Petit tour d’horizon des possibilités :

L’EMPREINTE NUMÉRIQUE

L’analyse des caractéristiques des appareils peut tenir lieu de mot de passe, dans la mesure où il existe une régularité de comportement dans l’utilisation du réseau et de l’appareil. Ces caractéristiques constituent alors une sorte « d’empreinte numérique ».
Ainsi, lorsqu’une activité inhabituelle est détectée, comme par exemple le fait de se connecter depuis un emplacement inaccoutumé ou en utilisant l’ordinateur d’une autre personne, alors l’accès sera refusé ou bien le compte déclenchera une vérification de sécurité, telle que l’envoi d’une alerte de sécurité par e-mail ou d’une notification push.

L’EMPREINTE DIGITALE

Lancée il y a quelques années, la fonctionnalité Touch ID reste toutefois dépendante d’un type d’appareil et peut être contournée par l’utilisation d’un mot de passe. À l’avenir, d’autres appareils que les mobiles, les ordinateurs portables ou de bureau, par exemple les voitures électroniques, voire même les portes d’entrées, pourraient se déverrouiller par le toucher.
En attendant, l’utilisation de la technologie de l’empreinte digitale dans le cadre d’une authentification multifactorielle, par exemple en combinaison avec un code PIN, est à encourager car elle permet d’optimiser la sécurité.

LE SMS

Dans le domaine de la consommation, de plus en plus de services en ligne utilisent les SMS comme moyen de vérification. Les utilisateurs fournissent un numéro de téléphone qui est généralement rattaché à un compte. Lorsqu’ils se connectent, les utilisateurs reçoivent alors par SMS un code à saisir. Aucun mot de passe n’est requis.

LA CLÉ DE SÉCURITÉ MATÉRIELLE

Se connectant en USB, NFC ou encore Bluetooth, les clés de sécurité peuvent être utilisées pour passer, en toute sécurité, d’un appareil à l’autre, qu’il s’agisse d’un smartphone, d’un ordinateur portable ou de bureau.
Au moment de la connexion au compte, il suffit à l’utilisateur d’insérer la clé de sécurité FIDO (Fast ID Online) dans l’appareil pour s’authentifier : une solution particulièrement pratique pour ceux qui alternent entre différents appareils.

LES RÉSEAUX SOCIAUX

Au travers de connexions cryptographiques, l’authentification pourrait se faire par les pairs. Sur la base des liens établis entre eux, des collègues peuvent se porter garants les uns des autres, autorisant ainsi l’accès aux comptes.

LE RYTHME CARDIAQUE

Des chercheurs ont trouvé le moyen d’utiliser le rythme cardiaque des gens à des fins de sécurité. En effet, grâce aux équipements portables, il est possible de surveiller les battements cardiaques des gens et, par le biais d’un électrocardiogramme, de transformer ces battements en clés uniques pour déverrouiller les téléphones ou ouvrir des applications.

LES SCANNERS D’IRIS

Allant encore plus loin dans le domaine de la reconnaissance de l’iris, les scanners d’iris du futur permettront aux utilisateurs de déverrouiller leur téléphone ou de se connecter à leur compte bancaire grâce aux mouvements de l’œil.
Cette technique biométrique pourrait être déployée sur tous les appareils mobiles dans le futur.

LES ONDES DU CERVEAU

Au lieu de demander un mot de passe, un ordinateur pourrait, pour authentifier l’utilisateur, avoir recours aux ondes émises par son cerveau. L’activité cérébrale, mesurée par des capteurs via un casque EEG (électroencéphalogramme), permettrait de déclencher une action logicielle, comme par exemple le déverrouillage d’un appareil mobile.

Pendant ces deux dernières décennies, le déclin du mot de passe a alimenté bon nombre de débats sans que beaucoup d’alternatives ne soient proposées. Les options se multiplient, mais il est devenu certain que l’identification de demain sera une identification multi-facteurs qui combinera empreinte numérique et scanner de l’iris ou rythme cardiaque et SMS. Toutes les associations sont envisageables, il ne reste plus qu’à les mettre en œuvre !