L’utilisation des mots de passe et leur gestion est l’un des ennuis quotidiens les plus courants de la vie moderne. Comme la plupart des gens aujourd’hui, j’ai plus de 50 mots de passe. Pour faire face à une telle quantité, j’utilise un programme de gestion de telle sorte qu’ils soient tous différents et complexes. Le gestionnaire de mots de passe est un outil pratique, mais il devient aussi un unique point de défaillance. En effet, s’il est compromis, tous mes mots de passe sont révélés.
Mon mot de passe est un moyen d’authentification basé sur un secret que moi seul connaît. Lorsque j’utilise un gestionnaire, je n’ai besoin que d’en connaître un qui déverrouille l’accès à tous mes mots de passe. Il y a cependant d’autres moyens d’authentification.
Un deuxième est basé sur quelque chose de physique que je suis le seul à posséder, par exemple mon smartphone ou une clé USB spéciale. Ce deuxième moyen est couramment utilisé en plus d’un mot de passe lors d’une authentification à deux facteurs. Mais il pourrait être utilisé seul.
L’objectif de l’alliance FIDO
Une troisième façon de m’authentifier est basé sur quelque chose que je suis, c’est-à-dire une partie de ma biologie: empreinte digitale, faciale, iris, voix, etc.
En substance, une combinaison des trois catégories de facteurs que j’ai énumérés ci-dessus devrait offrir une garantie décente pour une authentification sûre, mais les deux dernières sont définitivement gagnantes en termes de commodité. De grandes entreprises telles que Google, Microsoft et plus de 200 autres dans le monde l’ont compris et ont formé l’alliance FIDO (Fast IDentity Online), dont l’objectif est de renforcer l’authentification sans mot de passe.
L’objectif de l’alliance FIDO est de définir un mécanisme, incarné par les identifiants FIDO, pour remplacer les mots de passe sans compromettre la commodité et l’expérience des utilisateurs, en plus d’être résistants contre plusieurs types d’attaques comme le phishing par exemple.
Des solutions pour se passer des mots de passe
Les entreprises ont commencé à proposer des solutions pour se débarrasser des mots de passe dans la pratique, en mettant en œuvre la spécification FIDO. On peut citer notamment la start-up Nextday Vision, l’un des trois lauréats du récent programme Tech4Trust, un incubateur ciblant les jeunes entreprises dans le domaine de la cyber-sécurité, qui s’est déroulé récemment à l’EPFL. Le programme a été dirigé par Lan Zuo Gillet et a sélectionné 14 startups qui ont participé à un programme de quatre mois et ont reçu une série de prix en argent.
Nextday Vision est une entreprise co-fondée par Philippe Kapfer et Sabrina Gessier qui se concentre sur le déploiement de protocoles d’authentification sans mot de passe et conformes à la spécification FIDO dans des industries tel que les prestataires de services médicaux. Un développement intéressant sera la manière dont ces solutions seront adoptées au-delà des applications industrielles. Bien que la reconnaissance des empreintes digitales et du visage soit déjà utilisée pour déverrouiller les smartphones et se connecter à Microsoft Windows 10, je ne connais pas de mécanisme purement biométrique permettant de me connecter à mes comptes bancaires en ligne (lorsqu’il existe, il est toujours associé à un mot de passe).
En fin de compte, ce sera probablement à chacun de choisir comment il souhaite être identifié, c’est-à-dire par ce qu’il sait, ce qu’il possède, ce qu’il est, ou par une combinaison de ces trois éléments.
*Professionnel dans la cybersécurité