Au début était le mot de passe

Le besoin de protéger les accès aux ordinateurs est arrivé dans les années 1960 lorsque les centres de calculs ont commencé à être partagés.
Le mot de passe était né. Il était destiné à durer longtemps, longtemps, longtemps.
L’idée en tant que telle n’est pas neuve. Elle remonte à la nuit des temps : à l’Antiquité, les gardes en demandaient déjà un pour laisser entrer les personnes dans une enceinte sécurisée.

Un secret difficile à garder

Il a suffi à Ali Baba de se cacher dans un arbre pour entendre « Sésame ouvre-toi » et qu’il se voit ouvrir la porte de la grotte aux trésors.
On le voit, le problème du mot de passe, c’est qu’il s’évente facilement. Et si on en croit les films, c’est aussi qu’on peut le deviner (même si dans la réalité c’est plus compliqué que ce qu’on nous montre).
De plus le mot de passe se partage. De manière volontaire, comme dans ces bureaux où la liste des mots de passe de tout le service était affiché à l’entrée. Mais aussi involontairement, quand on le note sur un bout de papier soigneusement caché sous le clavier ou fièrement attaché à l’écran.
Cela a conduit à la définition de règles de bonne hygiène : un mot de passe différent pour chaque service, dûment protégé, que l’on ne communique à personne et que l’on choisit robuste (long et si possible unique dans le monde).

Un secret pas facile à retenir

Avec la multiplication des services internet, l’application des bonnes pratiques nous oblige, en tant qu’utilisateurs, à créer des dizaines, voire maintenant des centaines de mots de passe.
Une première difficulté se présente : les humains ne savent pas imaginer des mots de passe originaux. On retombe toujours sur des éléments de notre entourage : notre famille, nos animaux, nos loisirs. Et ça rend évidemment le travail plus facile aux pirates.
Ensuite, retenir 100 mots de passe de 16 caractères tous complètement différents nous est physiquement impossible.
Des petits malins ont pensé trouver la solution miracle. Ils ont émis la bonne idée de travailler sur un mot de passe racine décliné pour chaque service en en ajoutant le nom à la fin. Ce bruit que vous entendez, c’est le ricanement collectif de tous les pirates du monde, qui sont d’ailleurs secrètement vexés d’être pris pour des idiots.

Les gestionnaires de mot de passe pour s’y retrouver

S’il n’est pas humain de se souvenir de 100 mots de passe, c’est un jeu d’enfant pour un ordinateur.
Les gestionnaires de mots de passe sont faits pour ça. Ils génèrent des mots de passe très résistants, les stockent et les saisissent même à notre place.
Les mots de passe créés sont conformes aux bonnes pratiques : longs de plusieurs dizaines de caractères et complètement originaux. Bonne chance donc aux pirates pour essayer des les deviner, même en appliquant toutes les rainbow tables aux bases fuitées.
Il faut cependant que le service internet cible soit assez bien conçu pour qu’on puisse utiliser un gestionnaire. On en trouve encore qui interdisent le copier/coller de mot de passe. Or c’est comme ça que fonctionnent les gestionnaires. Comme personne ne va saisir à la main 64 caractères aléatoires, ce genre de site se retrouve avec un bon vieux secret à base de Médor ou des Rolling Stones.
D’autres sites imposent des contraintes étranges, comme cette institution financière de premier plan qui n’autorise pas de mots de passe de plus de 20 caractères. Ce qui d’ailleurs est inquiétant à plus d’un titre (il n’est pas hashé le mot de passe ?).

Un secret toujours vulnérable

Avec un gestionnaire, on applique à la lettre toutes les recommandations sur les mots de passe.
Ces recommandations sont nécessaires, mais elles ne sont malheureusement pas suffisantes, car les pirates ont déployé leur arme ultime : le phishing.
Un mail bien tourné, avec un lien qui semble si innocent, et c’est la collecte assurée de magnifiques mots de passe.
Et on peut se raconter toutes les histoires que l’ont veut, tout le monde est une victime potentielle. Même les spécialistes en sécurité les plus endurcis ne sont pas à l’abri (un esprit joueur a fait le test sur les participants à une conférence sur la cybersécurité).
Donc malgré toutes les précautions que l’on peut adopter, rien n’y fait, le mot de passe reste risqué.

L’authentification forte à la rescousse 

Que le mot de passe ne soit pas la panacée, on l’a perçu très rapidement.
Des spécialistes ont donc phosphoré à l’époque sur le problème et sont arrivés au constat que pour être authentifié, on pouvait compter sur différents facteurs:
• ce que je sais (le mot de passe en est l’exemple le plus parfait)
• ce que je suis (mes caractéristiques biométriques ou mon comportement)
• ce que j’ai (le badge que l’on m’a confié pour entrer dans un bâtiment par exemple)
Une authentification est faible si elle ne met en jeu qu’un seul facteur.
Pour une authentification plus fiable, on doit au moins combiner plusieurs facteurs. On parle alors de MFA (Multi-factor authentication).
Pendant longtemps, les archétypes de l’authentification MFA ont été la carte à puce et la calculette à mot de passe tournant. Dans les deux cas, il faut fournir un code PIN qui débloque le dispositif que l’on a physiquement en main et qui est connu par le service protégé.

MFA est-elle une authentification forte ?

Une authentification forte doit reposer sur plusieurs facteurs, mais cette seule qualité n’est pas suffisante.

On peut d’ailleurs se demander ce qui constitue une authentification forte. Et internet n’est pas d’accord sur le sujet. La confusion est souvent faite entre MFA et authentification forte, car historiquement les deux notions coïncidaient. Car on parle bien de deux concepts différents :
– l’authentification forte fait référence à un niveau de sécurité
– la MFA est une description technique d’un mécanisme

Il fut un temps où jouer sur plusieurs facteurs différents donnait effectivement une garantie sur le niveau de sécurité de l’authentification.

Mais avec le développement des techniques arrivant à récupérer plusieurs facteurs, ce n’est désormais plus le cas.
Considérons la calculette à mot de passe tournant (OTP). C’est de la MFA puisque j’ai besoin d’un code PIN (ce que je sais) pour débloquer un dispositif physique (ce que j’ai) qui génère un mot de passe à durée de vie limitée, que je saisis dans le champ mot de passe de mon service internet, qui le vérifie à réception.
Or ce mécanisme MFA est facilement défait par les proxy de phishing du type Evilginx 2 qui interceptent en temps le mot de passe saisi par l’utilisateur puis alertent un pirate pour une exploitation immédiate.
Il l’est aussi par le social engineering, avec l’arnaque WhatsApp OTP (un message prétendant venir du support technique signale un dysfonctionnement qui ne peut être corrigé qu’après une vérification de l’identité consistant à envoyer le code OTP, qui est promptement utilisé par l’attaquant pour se connecter en direct).
On est donc dans le cas d’une MFA qui ne peut plus être considérée comme authentification forte.

Qu’est-ce qu’une authentification forte ?

On ne peut pas se placer sur un plan technique pour définir ce qui fait qu’une authentification est forte, car la technique évolue.
Une définition que je trouve intéressante est qu’une authentification forte offre une garantie de résistance aux attaques.
Car c’est ce que l’on recherche avec l’authentification forte. Qu’elle se fasse d’une manière ou d’une autre importe peu, à condition qu’on ait des assurances sur sa robustesse.
Avec une telle définition, les calculettes OTP étaient considérées comme fortes il y a 10 ans, mais plus maintenant. Or ce n’est pas la technique qui a changé, ce sont les méthodes d’attaque.
De plus, on ne peut que se baser sur le moyen de vérifier l’identité pour se prononcer sur la robustesse de l’authentification. On doit aussi considérer le contexte global et en particulier le processus d’attribution et de fourniture de ce moyen. Si un moyen d’authentification est intercepté lors de son envoi, l’authentification en tant que telle est forte, mais l’identité n’est pas garantie.
C’est pour cela que les normes eIDAS ou NIST sont plus globales et parlent de niveaux garantie sur l’identité réelle de la personne, en insistant sur les processus de vérification en amont.

Quelques dispositifs d’authentification forte

On développe dans un autre article ce qui fait à notre sens qu’un moyen d’authentification est fort ou pas, du moins dans le contexte actuel.
Mais comme on a affirmé que la calculette OTP n’en faisait pas partie, il n’est pas inutile de donner quelques exemples de dispositifs robustes.
La carte à puce a longtemps été utilisée dans les contexte sensibles. C’est toujours le cas, que ce soit avec le même format de carte, ou que le principe en ait été repris au sein de clés USB (faisant office de lecteur et de carte dans un même dispositif). Son utilisation est cependant circonscrite au poste de travail car il est difficile de l’étendre aux équipements modernes que sont le téléphone et la tablette.
La norme FIDO2 est capable de réaliser des authentifications fortes, notamment lorsqu’elle est appliquée à des clés physiques. Les clés FIDO2 sont d’ailleurs plus souples que les cartes à puce car la compatibilité NFC les ouvre aux équipements mobiles.
On notera que certaines clés USB sont compatibles à la fois avec les normes de type puce embarquée et avec FIDO2.

2FA comme complément au mot de passe

Si la MFA est une authentification à plusieurs facteurs, dans la réalité, on se cantonne la plupart du temps à deux facteurs (faire une vérification d’empreinte à partir d’un dispositif enrôlé confirmée par un code PIN, ça beaucoup).

Mais alors si MFA c’est finalement une authentification à deux facteurs, pourquoi avoir introduit la notion de 2FA (authentification à 2 facteurs), que l’on peut comprendre aussi comme une authentification à deux facteurs ?

La nuance vient du traitement des deux facteurs.

En MFA, les deux facteurs font partie intégrante de la même opération d’authentification, avec un niveau de sécurité global.

La 2FA, c’est l’ajout un facteur à une cinématique d’authentification par mot de passe. On distingue donc deux étapes indépendantes :

  • une première authentification par mot de passe, réalisée de manière classique
  • puis la vérification d’un facteur supplémentaire, souvent lié au téléphone mobile par saisie d’un code OTP ou par confirmation sur une app

De fait, on traduit de plus en plus 2FA par 2-step vérification, c’est-à-dire une vérification en deux étapes.

On a donc deux authentifications, dont l’addition ne résulte pas dans de la MFA et pas toujours dans une authentification forte.

2FA n’est souvent pas une authentification forte mais reste indispensable

Si on s’en tenait à une définition de l’authentification forte basée sur l’utilisation de plusieurs facteurs, 2FA serait qualifiée de forte.
Mais en considérant qu’une authentification forte résiste aux attaques, le paysage est changé. En d’autres termes, deux authentifications faibles, c’est mieux qu’une seule, mais ça ne constitue pas une authentification forte.
Pour un attaquant, il ne s’agit pas de défaire un mécanisme robuste, mais de faire tomber l’un après l’autre deux mécanismes faibles.
Il pourra ainsi relativement aisément :
• récupérer le mot de passe de la victime par du phishing
• puis lui envoyer un message WhatsApp pour lui demander un code OTP
L’intérêt de 2FA, c’est quand même que ça rend l’attaque plus complexe, on a donc un niveau de sécurité meilleur qu’avec le simple mot de passe.
Un autre intérêt de 2FA, c’est de rendre possible l’authentification adaptative, c’est-à-dire une modulation de la cinématique en fonction du risque associé au contexte.

2FA pour l’authentification adaptative

Le principal avantage du mot de passe, c’est sa facilité d’utilisation. Car dès lors que l’on ajoute un facteur supplémentaire, les contraintes s’accumulent. Il faut avoir l’équipement à proximité, aller le chercher sinon, perdre du temps précieux à attendre qu’il s’active ou à lancer une app.
Cette perte d’ergonomie est antinomique de l’expérience utilisateur souhaitable pour des services digitaux. Déjà qu’avec un mot de passe le taux d’abandon est élevé, avec ces contraintes supplémentaires il atteint des sommets.
Pour contrer ce phénomène, on adapte en temps réel le moyen d’authentification au contexte de l’utilisateur et au risque associé. Depuis le poste de travail habituel, dans des conditions normales, un simple mot de passe suffit, voire du passwordless. Si une configuration inhabituelle est détectée, comme un accès depuis un pays étranger ou depuis un nouveau poste, une confirmation supplémentaire est demandée sous la forme d’un facteur additionnel.
On entre alors exactement dans la définition du 2FA, mais qui doit s’appuyer sur des moyens connus et maîtrisés par l’utilisateur : le téléphone ou le mail la plupart du temps.

2FA plus facile pour l’utilisateur

Mettre en place de la vraie MFA ou une vraie authentification forte implique de déployer des mesures contraignantes spécifiques (matériel à déployer, procédures d’enrôlement complexes). Elles ne se justifient que pour certains cas d’usage où l’utilisateur a bien conscience de l’intérêt du dispositif.
Mais cela ne doit pas laisser le reste des services internet vulnérable à des attaques basiques.
2FA n’a pas toujours les caractéristiques de l’authentification forte, mais elle élève quand même le niveau de sécurité de manière substantielle. Son déploiement par Goggle ou Microsoft a vu une chute très significative des intrusions.
Il est donc une bonne idée d’encourager les utilisateurs à employer une authentification 2FA, à condition qu’ils puissent le faire avec facilité.
C’est désormais le cas avec la norme TOTP qui est implémentée dans les app de Google ou de Microsoft pour générer un code à usage unique.

Que se passera-t-il quand tous les services seront 2FA ou MFA ? 

On est encore dans une phase où le mot de passe est prévalent et où toute avancée vers des authentifications plus sécurisées est la bienvenue.
Les contraintes que cela engendre pour les utilisateurs sont encore gérables, du fait de la faible diffusion de la 2FA et de la MFA.
Mais il faut dès maintenant se préparer à un monde où un nombre croissant d’authentifications requéront un facteur supplémentaire et où les utilisateurs devront passer un temps considérable d’abord à retrouver quel facteur ils doivent saisir puis à faire les opérations.
Il est probable que l’on ait alors besoin d’un équivalent aux gestionnaires de mot de passe pour s’y retrouver dans tous les codes à saisir. D’ailleurs de nombreux gestionnaires actuels intègrent des authentificateurs TOTP qui se chargent de tout.
Ou peut-être que tout le monde aura une clé FIDO2 pour toutes les authentifications ?
Il faudra aussi penser à s’occuper de manière efficace de la perte du facteur supplémentaire. Avec un Google Authenticator ou une clé FIDO2, il faut se réenregistrer auprès de tous les sites.

Et le passwordless ?

Comme son nom l’indique, l’authentification passwordless se fait sans mot de passe.
C’est donc une authentification avec un seul facteur (de niveau donc faible), et ce facteur est de type « ce que j’ai » ou « ce que je suis ».
L’intérêt est double
• facilité pour l’utilisateur quand n’a plus à se souvenir de son mot de passe
• meilleure sécurité lorsque la solution retenue est résistante au phishing
Ce type d’authentification se fait actuellement essentiellement avec le téléphone, avec des fonctionnements de type push : on saisit un identifiant, puis il suffit de valider l’accès sur une app.
Les clé FIDO sont aussi utilisables en passwordless (il faut alors appuyer sur la clé pour une vérification de présence).
Avec le passwordless FIDO, on a le paradoxe d’avoir une authentification faible résistante au phishing, plus sécurisée qu’avec une authentification MFA de type OTP, considérée jusqu’à récemment comme forte.

A mort le mot de passe !

Après des décennies pendant lesquelles la disparition du mot de passe était annoncée comme imminente, la prophétie s’accomplira-t-elle avec le passwordless ?
On peut l’espérer, car les conditions sont désormais favorables : tout le monde a un téléphone avec des connexions internet à peu près permanentes.
Mais il manque toutefois encore un standard qui ferait que tout le monde aurait une app installée et que cette app soit compatible avec tous les sites.

S’il faut acheter un dispositif particulier ou installer une app différente pour chaque service internet, l’adoption du passwordless va être limitée.
Le mot de passe a donc peut-être encore une longue vie devant lui.

Finalement quelle authentification proposer ?

Avec l’éclairage qui vient d’être apporté, on comprend que le choix se situe pas entre entre MFA, 2FA et passwordless.
Il faut plutôt considérer des éléments comme :
• le niveau de sécurité attendu, avec des gradations d’authentification faible jusqu’à authentification forte
• l’expérience utilisateur
• les contraintes de logisitique.
Les questions de logistique ne sont pas neutres. L’ubiquité du téléphone n’est pas la solution à tous les problèmes, car il est compliqué d’obtenir un niveau de sécurité élevé. Une authentification forte robuste nécessite le déploiement de dispositifs dédiés.
Le point sur l’expérience utilisateur est essentiel, car on sait que si les utilisateurs ne perçoivent pas de corrélation entre les efforts qui lui sont demandés et la criticité de ce qui est à protéger, ils sont très imaginatifs en termes de stratégies de contournement.
Si on souhaite tracer des grandes perspectives, on pourrait avancer :
• que pour un service critique, une authentification forte est évidemment recommandée, mais qu’on devra parfois se contenter d’un niveau de sécurité un peu moins élevé
• que pour un service où la sécurité est importante, mais qui est peu utilisé, on pourra passer en 2FA pour que l’authentification se fasse de manière simple
• que pour un service utilisé souvent, on conseille une authentification adaptative, avec des élévations en 2FA selon le contexte
• pour le reste, le mot de passe reste l’option la plus adaptée. On pourra proposer du passwordless, mais actuellement uniquement en complément
Pour finir, il faut garder à l’esprit que la méthode d’authentification ne fait pas seule le niveau de sécurité. La logistique de son attribution et son recouvrement en cas de perte doivent être pensés en conséquence car ils influent tout autant sur le niveau de sécurité du système.

Auteur : Marc (Directeur technique)