Numérique

Les mots de passe pourraient bientôt appartenir au passé

kh, ats

16.1.2023 - 09:44

Indispensables, les mots de passe représentent aussi une nuisance et un exercice cérébral. Mais de nouvelles techniques comme l'authentification à deux facteurs les rendent encore plus sûrs et laissent même entrevoir leur disparition.

Le site haveibeenpwned.com recense les identifiants piratés (actuellement, plus de 12 milliards) et vous permet de savoir si le vôtre en fait partie.
Le site haveibeenpwned.com recense les identifiants piratés (actuellement, plus de 12 milliards) et vous permet de savoir si le vôtre en fait partie.
ATS

kh, ats

16.1.2023 - 09:44

D'emblée, un sérieux avertissement s'impose: utiliser le mot de passe d'un compte e-mail à d'autres fins correspond à coller la clé de l'appartement sur la boîte aux lettres. En effet, quiconque a accès au compte de messagerie peut réinitialiser pratiquement tous les mots de passe d'autres services.

Disposer d'un mot de passe de messagerie sûr et utilisé une seule fois constitue certes un bon départ, mais encore faut-il renoncer à adopter des mots de passe standards pour d'autres services. A défaut, une telle situation n'offre pas plus de sécurité que de laisser la clef de l'appartement dans la boîte à lait.

Les chiffres du Centre national pour la cybersécurité (NCSC) montrent que les risques numériques sont réels. L'an dernier, le nombre d'annonces relatives à la criminalité sur internet a bondi de 58%. Une grande partie concernait des fraudes et des vols de mots de passe (hameçonnage).

Milliards d'identifiants piratés

Une visite sur le site haveibeenpwned.com permet de se faire une idée sur les milliards d'informations de compte qui ont déjà été piratées et si les vôtres en font partie. Actuellement, plus de 12,4 milliards d'identifiants ont été piratés.

La méthode la plus sûre consiste évidemment à utiliser un mot de passe différent pour chaque service numérique et, encore mieux, de les changer sporadiquement. Dans la pratique, une telle pratique nécessite toutefois une bonne mémoire ou de nombreux blocs-notes.

Il est plus simple d'utiliser un logiciel de gestion des mots de passe comme KeePassXC (keepassxc.org) et les applications mobiles apparentées KeePassDX (Android) et KeePassium (iOS). Celles-ci ne tiennent pas seulement une liste de mots de passe, mais remplissent aussi automatiquement les champs prévus à cet effet.

2FA – double sécurité

Les banques et autres prestataires soucieux de la sécurité ne se fient toutefois plus depuis longtemps aux seuls identifiants et mots de passe, mais ont intégré un niveau de sécurité supplémentaire. Appelé authentification à deux facteurs (2FA), ce système nécessite généralement un smartphone en plus du mot de passe.

Dans la pratique, l'internaute qui se connecte à un site, par exemple de banque en ligne, reçoit via un SMS sur son téléphone portable, après avoir entré son identifiant et mot de passe, un code unique qu'il doit taper dans le champ correspondant. Il existe même souvent des applications de sécurité spéciales que l'on doit ouvrir sur le téléphone portable lors de la connexion.

Un peu plus complexe à utiliser, l'authentification à deux facteurs apporte une plus grande sécurité. En effet, les criminels ne peuvent pas accéder aux données ou même à l'argent avec le seul mot de passe.

Un standard de sécurité: Fido

Le téléphone portable en tant que deuxième facteur de sécurité présente toutefois aussi des faiblesses, car il est encombrant, se perd ou s'endommage rapidement et peut également être piraté. Ceux qui ont besoin d'une sécurité encore plus forte peuvent utiliser des clés USB spéciales.

Pour se connecter, il faut alors brancher la clé sur le PC. Les fabricants de ces instruments se sont regroupés au sein de l'alliance Fido (Fast IDentity Online) et de plus en plus de sites Internet supportent le standard Fido pour la connexion. Les banques suisses n'en font toutefois pas partie.

Les coffres-forts pour mots de passe mentionnés plus haut offrent déjà aujourd'hui une application utile pour les clés Fido. Ceux-ci ne peuvent être ouverts que si la clé USB est branchée ou couplée sans fil via NFC en la posant au dos du téléphone portable.

Parmi les fabricants connus de telles clés USB, figure notamment la société suédoise Yubico (www.yubico.com) et la genevoise Token2 (www.token2.swiss).

Bientôt sans mots de passe?

La technique utilisée par Fido est si sûre que l'on pourrait en fait se passer de mots de passe. Partageant cet avis, les géants Apple, Microsoft et Google ont rejoint l'alliance et intégré Fido directement dans leurs systèmes d'exploitation. Le tout fonctionne sous le nom de «Passkey» chez Apple, Google (Chrome, Android) et Windows 11.

Passkey utilise alors un téléphone portable comme une clé Fido. Comme deuxième facteur de sécurité, il faut toutefois s'identifier en plus lors de la connexion avec l'empreinte digitale ou la reconnaissance faciale.

Sur le téléphone portable, il est ainsi possible d'utiliser des sites web ou des applications en toute sécurité sans avoir à taper de mot de passe. Sur le PC, il faut poser le téléphone portable à côté de l'ordinateur et le coupler par Bluetooth. Comme Passkey est compatible avec tous les fabricants, on peut même placer un iPhone à côté d'un PC Windows.

Pour que Passkey fonctionne, les services Internet doivent toutefois aussi adapter leurs pages et procédures de connexion. Une étape qui se révèle encore difficile, la liste des services compatibles (https://passkeys.directory) restant pour l'heure bien modeste.

kh, ats