Préparez-vous à l’internet sans mots de passe

Pourquoi tout le monde veut la mort des mots de passe ?

Partager sur:
Sauvegarder cet article
Aimer cet article 2
VPN and internet security by Mike MacKenzie(CC BY 2.0) Image via www.vpnsrus.com

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Préparez-vous à l’internet sans mots de passe

Publié le 7 juillet 2022
- A +

Article disponible en podcast ici.

C’est la dernière nouvelle de la messe Apple 2022. L’entreprise lance son service passkey pour permettre à des sites internet d’utiliser les capteurs biométriques FaceID ou TouchID pour s’authentifier. L’objectif est clair : tuer les mots de passe.

Mais pourquoi vouloir tuer les mots de passe ? Est-ce une lubie californienne ? Les GAFAM ont-ils des arrière-pensées ?

 

Qui veut tuer les mots de passe ?

Un site internet gère des milliers d’utilisateurs, toutes les données sont regroupées dans un stockage commun appelé base de données. Le serveur doit donc faire le tri dans sa base entre chaque requête utilisateur. Or toutes les requêtes utilisateur se ressemblent !

Il est donc primordial d’authentifier l’utilisateur pour pouvoir sécuriser ses données. Depuis le début d’internet, on utilisait le paradigme d’un secret que l’on sait. Lors de votre inscription, vous donnez votre mot de passe au site, c’est le secret. Ensuite pour se connecter, il vous faut redonner ce secret.

Comme seuls vous et le site connaissez le secret, cette technique permet de vous authentifier avec certitude. Ou presque… Car avec le temps, on se rend compte que l’humain est très mauvais pour générer aléatoirement un secret et s’en souvenir. On se retrouve donc avec des utilisateurs qui utilisent des mots de passe faibles et réutilisés sur plusieurs sites.

Il faut savoir qu’une carte graphique moderne peut essayer de craquer 20 millions de mots de passe par seconde. Elle peut donc tester les 200 000 mots d’un dictionnaire 100 fois par seconde. N’importe quel mot de passe se basant sur un mot du dictionnaire y compris avec des variantes comme Marseill13! ou piano123? reste un mot de passe faible.

En théorie, la méthode par mots de passe semble parfaite. En pratique, elle rend très facile le piratage des comptes utilisateurs, car les secrets imaginés par les humains ne sont en fait pas du tout secrets et facilement retrouvables par un ordinateur.

Au final, tout le monde veut la mort des mots de passe : les ingénieurs logiciels qui se retrouvent avec un casse-tête de sécurité sur les bras ; les utilisateurs qui en ont marre d’oublier leurs mots de passe et de les gérer ; les entreprises qui ne veulent ni freiner l’adhésion client avec trop de sécurité ni avoir des poursuites en cas de fuite de données.

 

Comment faire autrement ?

Depuis plusieurs années, le paradigme reposant sur une information que l’on sait se voit remplacer par un nouveau paradigme basé sur ce que l’on a, qui peut prendre plusieurs formes.

Utiliser un compte tiers

C’est le fameux « Se connecter avec Google ». L’authentification est déportée chez Google, ainsi il faut posséder un compte Google pour s’authentifier. On a donc un compte Google très sécurisé utilisé pour s’authentifier sur d’autres sites internet.

Capteur biométrique

Ce système est très présent sur les smartphones, notamment chez Apple avec son FaceID et TouchID. Ses capteurs servaient déjà à authentifier l’utilisateur pour déverrouiller son smartphone et s’authentifier dans des applications. Maintenant, Apple souhaite le rendre accessible aux sites web avec passkey.

Microsoft a quant à lui proposé la solution Hello pour ouvrir son ordinateur Windows grâce à son empreinte digitale ou son visage.

Code à usage unique

On utilise aujourd’hui l’authentification par mail ou SMS. Pour prouver que vous possédez bien ce mail ou ce numéro, le site web va vous envoyer un code unique, qu’il faudra recopier sur la page de connexion.

Clé USB FIDO

Bien moins connues et pourtant très pratiques, des clés USB spéciales appelées clé FIDO permettent de s’authentifier en ligne. Il faut brancher votre clé dans l’ordinateur lors de l’accès au site internet. Vous pouvez vous procurer l’originale haut de gamme (la Yubikey) ou des concurrentes moins chères.

 

Est-ce dangereux ?

Alors, d’un point de vue de la cybersécurité, toutes ces méthodes réduisent drastiquement le risque de se faire pirater via le mot de passe.

Mais si l’on regarde bien, avec le paradigme de ce que l’on a, on remarque que notre authentification repose sur un service externe. Là où avec le mot de passe, il n’y a que vous et le site web pour faire l’authentification. Maintenant, il va falloir un service tiers.

Avec le « Connecter avec… » ou le passkey et Hello, vous dépendez de Google, Facebook, Apple ou Microsoft à chaque fois que vous vous authentifiez en ligne. Même chose pour recevoir les codes, il vous faut garder votre mail et votre numéro de téléphone.

Seule la clé USB évite la dépendance, puisque le système est autonome, il n’a besoin que du site web et de vous pour fonctionner.

 

Conclusion

Un monde sans mots de passe reste un monde meilleur pour notre sécurité en ligne. Les GAFAM qui gèrent et sont responsables de milliards de comptes utilisateurs ont donc intérêt à mettre fin aux mots de passe.

Il ne faut pas les prendre pour des enfants de chœur pour autant, chacun avance ses pions pour proposer sa technologie afin de rendre l’utilisateur encore plus dépendant d’eux.

Aussi, je recommande de se tourner davantage vers les codes par mails ou par SMS ainsi que la clé FIDO. D’autant plus que ces méthodes étant souvent disponibles simultanément, on se met donc à l’abri d’une trop grande dépendance à un service mail ou un opérateur téléphonique.

Voir les commentaires (3)

Laisser un commentaire

Créer un compte Tous les commentaires (3)
  • Cela fait des années qu’on nous promet la fin des mots de passe. En pratique on a toujours les mots de passe et on complète avec d’autres moyens comme ceux listés dans l’article. Je ne connaissais pas Yubikey. C’est pas donné mais cela semble très complet et très simple à l’usage. Et surtout c’est supporté par Google et Microsoft.

  • Je ne veux pas qu’une entité liée au deep state connivent US ou EU possède (officiellement, hors hack,) des données biométriques sur ma pomme. Simple et définitif.
    Apple, Microsoft etc., avec tous leurs « software as service » et autres logiciels exclusifs pour accéder au contenu des appareils peuvent bouffer mes shorts en vinaigrette et s’étrangler.
    J’abandonnerai toute activité électronique m’obligeant à fournir de telles données. A ce sujet je recommande à tous ceux qui le peuvent de ré-apprendre à se balader sans boulet électronique en poche.

    Par contre je pourrais imaginer de payer pour un service d’ID fournissant une « clé » physique sur le modèle de ce qui se fait pour les cryptos.

    • Eh bien moi, je veux qu’en cas d’urgence le médecin puisse retrouver mon dossier médical même si je ne suis pas en état de le lui fournir. Et je me moque bien que les US ou l’UE puissent me reconnaître tant qu’ils ne peuvent pas usurper mon identité.

  • Les commentaires sont fermés.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Article disponible en podcast ici.

La Russie est connue pour ses compétences en piratages informatiques. Elle les utilise actuellement en Ukraine et pourrait se lancer à l’assaut de l’Europe pour déstabiliser des pays comme la France.

Aussi, il est de notre devoir de ne pas faciliter la vie des pirates russes en optant pour trois bonnes pratiques.

 

Garder les systèmes à jour

Si un pirate russe tombe sur une faille, il n’y a plus rien à faire. Il peut corrompre l’ordinateur de sa victime en appuyant sur une se... Poursuivre la lecture

Article disponible en podcast ici.

Simple outil de communication pour nous, enjeux de puissance pour les États, les réseaux sociaux canalisent les tensions à mesure qu’ils montrent tout leur potentiel.

 

Médias, guerres et États

La volonté des États de contrôler l’information pour manipuler l’opinion publique ne date pas des réseaux. Et dire qu’ils se servent des médias à cette fin est un pléonasme.

En effet, le mot média est le pluriel du mot latin médium, soit un milieu, un intermédiaire, contrairement à imm... Poursuivre la lecture

1
Sauvegarder cet article

Article disponible en podcast ici.

On dit qu’une blockchain est sûre, que personne ne peut voler vos cryptos sur blockchain. Alors pourquoi les personnes de Celsius ont perdu leur argent ? Pourquoi les personnes de Voyager ont perdu leur argent ? Pourquoi les utilisateurs de Slope ont perdu leur argent ? Pourquoi les utilisateurs de Terra ont perdu leur argent ?

Depuis quelques semaines, les failles et les faillites se succèdent et les victimes se comptent en nombre. Une blockchain est sûre à condition de bien s’en servir !

... Poursuivre la lecture
Voir plus d'articles