Oubliez votre mot de passe ! C'est bon pour votre sécurité…

Elgon a récemment entrepris de mettre en œuvre une stratégie passwordless globale. Laurent Miltgen, Chief Operating Officer de la filiale du Groupe POST dédiée aux technologies Microsoft, nous en expose le contexte.

Paru sur Techsense

L'authentification sans mot de passe libère les entreprises du fardeau que représente la sécurisation des identités et offre aux utilisateurs une flexibilité accrue. Soucieuse de renforcer la sécurité de ses systèmes d’information et désirant envoyer un message aux entreprises, Elgon a récemment entrepris de mettre en œuvre une stratégie passwordless globale. Laurent Miltgen, Chief Operating Officer de la filiale du Groupe POST dédiée aux technologies Microsoft, nous en expose le contexte.

L'authentification sans mot de passe est une évolution de l’authentification multi-facteurs (MFA) qui remplace les mots de passe par un facteur d'authentification plus sécurisé, physique ou logiciel, qui s’accompagne d’une validation de la présence de l’utilisateur par code PIN et/ou validation biométrique. C’est la clé physique ou le logiciel qui échange directement avec le service auquel l’utilisateur souhaite accéder. Le code PIN ou la validation biométrique ne sont là que pour authentifier localement l’utilisateur et sa clé mais ne sont en aucun cas échangés avec le service.

Pour faire simple, l'authentification passwordless repose sur l’échange de challenges entre la clé et le service. Ce sont plus ou moins les mêmes principes que les certificats numériques : une paire de clés de chiffrement composée d'une clé privée et d'une clé publique. Même si les deux composantes sont appelées "clés", il est plus pertinent de considérer la clé publique comme un cadenas et la clé privée comme la clé à proprement parler qui déverrouille ce cadenas. Il existe une seule clé pour le cadenas et un seul cadenas pour la clé.

Pour continuer l’analogie, la clé attend un type de cadenas bien précis avant de tenter de l’ouvrir, ce qui rend une usurpation de service beaucoup plus difficile à mettre en œuvre contrairement à une authentification classique où l’on envoie un couple utilisateur/mot de passe à un service sans forcément être certain qu’il s’agisse bien d’un service légitime.

Combattre le phishing

"Notre stratégie s’appuie d’une part sur les technologies Microsoft - notamment Azure Active Directory et l’application Microsoft Authenticator - et d’autre part sur des clés physiques YubiKey du constructeur Yubico", commente Laurent Miltgen. 

"Ces clés utilisent le protocole FIDO2 pour sécuriser l’authentification des utilisateurs, soit en tant que second facteur d'authentification, soit en remplacement de l’échange d'un mot de passe entre l’utilisateur et le système auprès duquel il désire s’identifier et s’authentifier. Cette solution passwordless permet de renforcer la sécurité en évitant les possibilités d'attaque par phishing". Le dernier rapport DBIR de Verizon pointe en effet que 85 % des compromissions impliquent le facteur humain. Le phishing se retrouve dans 36 % des compromissions observées, un taux en forte progression par rapport aux 25 % de l'année précédente.

Plus de souplesse

L'authentification sans mot de passe basée sur le standard Fast IDentity Online 2 (FIDO2) libère donc les services informatiques du fardeau que représente la sécurisation des mots de passe. Un autre avantage de l'authentification sans mot de passe, c'est que l'utilisateur peut choisir l'outil qu'il utilise pour s'authentifier. Il peut s'agir d'une application mobile, d'un appareil biométrique ou d'un outil physique, comme une YubiKey. L'application ou le site web sur lequel un individu s'authentifie est agnostique : peu lui importe la façon dont l'utilisateur crée sa paire de clés et s'authentifie.

"L’authentification des utilisateurs d’Elgon était déjà sécurisée depuis plusieurs années par l’utilisation d’un processus d’authentification multi-facteurs", explique Laurent Miltgen. "Le second facteur reposait soit sur l’envoi d’un code par SMS, soit sur l’utilisation de l’application Microsoft Authenticator installée sur les téléphones mobiles de nos collaborateurs".

Une mise en œuvre progressive pour une adoption optimale

"La mise en œuvre de notre stratégie de renforcement de la sécurité au niveau de l’authentification a débuté par la distribution d’une clé YubiKey à chacun de nos collaborateurs", raconte Laurent Miltgen. 

"Ceux-ci ont pu choisir le format de leur clé selon leurs besoins et leur matériel : USB A et NFC, USB C ou encore en format discret affleurant pouvant rester branché sur un ordinateur portable. Une fois les clés distribuées, les utilisateurs ont disposé d’une période de transition de quelques semaines pour procéder à l’enrôlement de leur clé comme facteur d'authentification supplémentaire, en plus des deux solutions existantes, MS Authenticator et OTP".

"Au terme de cette période, l’utilisation de codes OTP par SMS a été définitivement supprimée. Cette solution est en effet désormais considérée comme potentiellement inefficace et risquée car il existe des méthodes de contournement qui permettent d’usurper les codes OTP", précise-t-il.

Tourner la page

L'authentification sans mot de passe est appelée à s’étendre, y compris vers le grand public. La plupart des organisations utilisent toujours les mots de passe traditionnels comme méthode d'authentification principale. Cependant, il ne fait guère de doute que les problématiques bien connues posées par les mots de passe pousseront les entreprises à passer à l'authentification sans mot de passe.

"Comme souvent en matière de sécurité de l'information, l'acceptation par les utilisateurs est un facteur de réussite essentiel. Lancer une campagne de sensibilisation à l'authentification sans mot de passe peut aider les gens à comprendre et à adopter ces nouvelles façons de s'authentifier. Personne n'aime les mots de passe, mis à part les cybercriminels", conclut Laurent Miltgen.

Propos recueillis par Michaël Renotte