Flexible Security for Your Peace of Mind

Vous envisagez de vous passer de mot de passe ? Voici ce qu’il vous faut envisager en premier lieu.

En 2004, Bill Gates faisait une prédiction audacieuse : les mots de passe allaient bientôt disparaître. Presque vingt ans plus tard, force est de constater que le mot de passe est toujours aussi répandu. Si vous êtes ici, c’est que la question vous a probablement déjà traversé l’esprit : pourquoi continuer à utiliser des mots de passe ? La réinitialisation des mots de passe coûte cher et prend du temps aux équipes informatiques, les utilisateurs finaux ont encore du mal à les utiliser correctement et ils sont une source constante de failles de sécurité. 

Ce n’est certainement pas faute d’avoir essayé. Lors de la Worldwide Developers Conference de 2022, Apple annonce que les systèmes d’exploitation iOS 16 et macOS Venture seront dotés de connexions sans mot de passe. Microsoft présente également Windows Hello for Business, qui ne contraint plus les utilisateurs à recourir à des mots de passe pour accéder à leurs comptes et services personnels et professionnels. Pour les utilisateurs d’Android, il existe de nombreux fournisseurs tiers sur le marché qui proposent une authentification sans mot de passe. 

Toutefois, il n’est pas aussi simple qu’il y paraît de passer à l’authentification sans mot de passe. Il s’agit d’un parcours qui pourrait commencer par l’ajout de la MFA à tous les scénarios de mots de passe, puis par l’ajout de la signature unique (SSO) pour réduire le nombre de mots de passe. Pour certaines organisations, cela sera suffisant ; d’autres voudront aller plus loin.

Tout d’abord, nous devons réfléchir à l’utilité des mots de passe lorsqu’ils sont utilisés correctement. Il s’agit d’une simple mesure de sécurité d’accès, qui permet de s’assurer que les bonnes personnes accèdent aux bonnes ressources – systèmes d’exploitation, sites web et applications installées localement. C’est une chose que tous les employés comprennent. C’est pourquoi, avant de s’en débarrasser (ou de réduire considérablement leur nombre), les entreprises doivent évaluer les coûts, la facilité d’utilisation et les limites de la technologie d’authentification de remplacement disponible.

Pourquoi les entreprises envisagent-elles de se passer des mots de passe ?

Chaque entreprise étant différente, les décideurs doivent se demander ce qu’ils espèrent exactement gagner en se débarrassant des mots de passe. Pour la plupart des entreprises, il s’agira probablement de l’une des trois raisons suivantes – et souvent d’une combinaison des trois.

1. Réduire les attaques par mot de passe

C’est le principal problème lié aux mots de passe. Le rapport Verizon DBIR 2023 estime que 86 % des compromissions de données impliquent des informations d’identification volées. Les utilisateurs finaux créent des mots de passe faibles, faciles à deviner et susceptibles de faire l’objet d’attaques par dictionnaire ou par force brute. Si les utilisateurs réutilisent leurs mots de passe professionnels forts sur leurs sites et appareils personnels, le risque se multiplie. Une étude de Specops révèle que 30 % des utilisateurs finaux utilisent le même mot de passe pour tous leurs comptes. Beaucoup d’autres n’ont recours qu’à de très de légères variations. 

Une attaque par mot de passe célèbre est le piratage à l’encontre de Colonial Pipeline, dans laquelle une attaque par ransomware a affecté les consommateurs et les entreprises de toute la côte Est des États-Unis. Les pirates se sont introduits dans le réseau par le biais d’un mot de passe exposé d’un compte VPN, après que l’on ait cru qu’un employé avait utilisé le même mot de passe pour le VPN depuis un autre lieu. Les pirates ont ainsi obtenu un premier point d’entrée pour déployer un ransomware sur le réseau.

Cependant, il n’est pas juste de blâmer uniquement les utilisateurs finaux concernant les attaques par mot de passe. Ils ont souvent trop de mots de passe à retenir et trop peu de soutien de la part de leurs organisations qui ont des politiques de mots de passe faibles. Certaines organisations appliquent des normes plus strictes, mais même les mots de passe forts sont susceptibles d’être réutilisés et de faire l’objet de menaces externes comme le hameçonnage par exemple. Une MFA aurait-elle pu empêcher le piratage de Colonial Pipelines ? C’est possible, mais aucune forme d’authentification ne peut garantir une absence de risque totale.  

Uber a été victime d’une intrusion en septembre 2022 grâce à un pirate informatique (prétendument affilié à Lapsus$) qui s’est emparé des informations d’identification VPN d’un contractant externe – en les achetant vraisemblablement sur le dark web. Le pirate a ensuite bombardé le téléphone de l’entrepreneur de demandes d’approbation de connexion à deux facteurs, qui ont été rejetées dans un premier temps. Le pirate s’est alors fait passer pour un technicien via WhatsApp et a fini par convaincre l’entrepreneur d’accepter une demande de MFA. 

Les mots de passe compromis sont souvent le premier point d’entrée dans ces attaques. Ainsi donc, si les mots de passe sont utilisés comme outil d’authentification, il est important d’être en mesure de détecter leur compromission. C’est pourquoi Specops Password Policy utilise une fonction de Breached Password Protection pour analyser en continu Active Directory à la recherche de mots de passe compromis par des logiciels malveillants, la réutilisation et les brèches – y compris ceux qui sont utilisés dans des attaques en cours.

2. Gagner du temps et de l’argent pour les équipes informatiques

Les réinitialisations de mots de passe représentent une charge de temps pour les équipes informatiques qui préfèrent se concentrer sur d’autres problèmes. Forrester estime que chaque réinitialisation de mot de passe coûte environ 70 $ à l’entreprise, ce qui peut représenter une perte de temps et d’argent considérable pour à grande échelles. Certaines entreprises considèrent la perte de mots de passe comme un moyen d’utiliser plus efficacement le temps et les ressources des équipes informatiques. 

Cependant, il existe d’autres options à faible friction qui pourraient réduire ce fardeau. Par exemple, un logiciel comme Specops uReset permet aux utilisateurs de réinitialiser leurs propres mots de passe de manière simple et sécurisée. Ils peuvent s’authentifier par le biais de services tiers tels que Duo Security, Google Authenticator, Microsoft Authenticator, Okta, PingID, Symantec VIP et Yubikey, ce qui permet au helpdesk de ne plus avoir à se soucier de la réinitialisation des mots de passe.

L’ajout d’un outil comme Specops uReset permet aux utilisateurs finaux de changer leurs mots de passe en toute sécurité, en s’intégrant directement à d’autres services d’authentification. Cela peut réduire considérablement les appels et les tickets auprès du helpdesk, ce qui permet d’économiser des frais et du temps. Certaines organisations peuvent même choisir de définir des mots de passe qui n’expirent jamais – à condition qu’elles disposent d’une méthode suffisamment solide pour détecter les mots de passe compromis.

3. Expérience et productivité de l’utilisateur final

De nombreux problèmes de sécurité sont dus au fait que les utilisateurs finaux n’aiment pas les mots de passe. Les mauvaises expériences vécues par les utilisateurs finaux sont également à l’origine d’appels qui font perdre du temps au helpdesk. Les gens n’aiment pas penser aux mots de passe, s’en souvenir et devoir en créer d’autres à intervalles réguliers. Dans une grande entreprise, le temps passé à réinitialiser les mots de passe et à contacter le helpdesk peut représenter beaucoup d’heures de travail perdues au fil des ans. Certaines organisations envisagent de se passer de mots de passe afin d’offrir une meilleure expérience utilisateur à leurs employés et d’augmenter leur productivité. 

Bien entendu, une autre option consiste à rendre les outils et les processus déjà en place plus faciles à utiliser. L’intégration d’un outil tiers comme Specops Password Policy dans votre Active Directory peut aider à guider les utilisateurs lors des changements de mot de passe en lieu et place du message aussi standard que frustrant : « votre mot de passe ne répond pas aux normes de longueur ou de complexité ». Les utilisateurs finaux bénéficient d’une meilleure expérience grâce à un retour d’information dynamique sur l’écran de changement de mot de passe qui les guide vers la création d’un mot de passe fort.

Comment fonctionne la technologie sans mot de passe ?

L’expression « sans mot de passe » peut faire référence à plusieurs scénarios différents. Par exemple, lorsqu’un utilisateur final utilise son empreinte digitale, son visage ou la reconnaissance de son iris pour Windows Hello for Business, il n’a techniquement pas saisi de mot de passe. Cependant, il y a toujours un échange d’informations d’identification et un secret stocké sur le serveur. L’authentification biométrique utilise le secret stocké et, en cas d’échec, comme lorsque Windows Hello a échoué après une mise à jour en octobre 2022, un mot de passe est utilisé comme solution de repli. 

Un autre scénario consiste à s’authentifier sans échanger de mot de passe avec la plateforme sur laquelle l’utilisateur se connecte. Par exemple, lorsqu’un utilisateur s’authentifie par biométrie auprès d’un dispositif FIDO2, il s’authentifie cryptographiquement auprès du service à l’aide de paires de clés. Au cours du processus d’authentification FIDO2, une paire de clés publique/privée est générée lorsqu’un utilisateur s’enregistre auprès d’un service. Aucun mot de passe n’est stocké ou échangé, de sorte que même en cas de violation au niveau du serveur, il n’y a pas de mots de passe à voler. 

La clé privée est stockée dans un coffre-fort matériel sur l’appareil, tandis que la clé publique est partagée avec le service. Lorsqu’un utilisateur souhaite se connecter, le service lui envoie un défi cryptographique. L’utilisateur s’authentifie à l’aide d’un code PIN ou de données biométriques, mais ces informations ne sont jamais partagées sur le réseau – la clé privée FIDO2 reste sur l’appareil de l’utilisateur.

Les deux scénarios d’une authentification sans mots de passe sont valables, mais il est important pour une organisation d’être claire sur ce qu’elle vise.

Limites de sécurité d’une technologie sans mot de passe

La plupart des organisations connaissent déjà la MFA. Elle ajoute une couche de sécurité inestimable au mot de passe en incluant des scans rétiniens, des scans faciaux, des scans d’empreintes digitales, des notifications push, des applications d’authentification, des liens magiques, des notifications SMS, des QR codes, des déverrouillages par motifs, des clés de sécurité USB, des clés de sécurité Bluetooth et des clés de sécurité basées sur le téléphone. 

Alors pourquoi ne pas choisir deux facteurs ou plus dans cette liste et supprimer complètement les mots de passe ? Les mots de passe créent des risques (ou plus exactement de mauvaises politiques de mots de passe créent des risques), mais la vérité est qu’il n’existe pas de système d’authentification capable de résister absolument à l’épreuve du piratage.

Limites de la biométrie

La plupart des gens pensent à la biométrie lorsqu’il s’agit de remplacer les mots de passe, bien qu’elle soit plus souvent utilisée en combinaison avec les mots de passe dans le cadre de la MFA qu’à leur place. Bien entendu, l’omniprésence des Smartphones est la principale raison de la popularité croissante de la biométrie. De meilleurs capteurs et des améliorations apportées à la reconnaissance des visages, de la voix et des empreintes digitales (sur les PC et les tablettes également) en ont fait une option viable. 

Toutefois, la biométrie présente certaines limites. Malgré l’amélioration de la technologie, il existe de nombreuses exemples dans lesquels le visage et les empreintes digitales d’une mauvaise personne ont permis de déverrouiller un appareil. Elles posent également des problèmes de protection de la vie privée si une entreprise envisage de mettre en place l’authentification biométrique. Votre visage et vos empreintes digitales sont uniques, mais comment ces caractéristiques biométriques sont-elles enregistrées, stockées et accessibles ? Certaines personnes pourraient ne pas apprécier de confier des données encore plus personnelles à des entreprises comme Apple, Google et Microsoft.

Un autre problème posé par les données biométriques est que si elles sont compromises, elles sont impossibles à réinitialiser. Les données biométriques peuvent être falsifiées. Et si elles étaient compromises ou échouaient, à quoi pourrions-nous nous raccrocher ? Le mot de passe.

Ingénierie sociale

Bien que les mots de passe soient plus vulnérables aux attaques rudimentaires comme les techniques de dictionnaire et de force brute par exemple, aucun facteur d’authentification n’est invulnérable aux pirates. Les données biométriques peuvent être usurpées, les notifications par SMS sont susceptibles d’être bombardées et les jetons matériels peuvent être volés. 

Le phishing est le moyen le plus courant de voler les mots de passe, mais les solutions sans mot de passe peuvent également faire l’objet d’un phishing. Les pirates peuvent envoyer aux utilisateurs un courriel ou un lien texte qui les incite à visiter un site web de type « man-in-the-middle », qui peut tout capturer même après une connexion avec un jeton d’authentification sans mot de passe.

Les outils d’authentification basés sur FIDO2 sont les plus fiables dont nous disposons, mais ne sont pourtant pas eux non plus infaillibles. Un compte de messagerie sur l’appareil peut être compromis, l’appareil lui-même peut être physiquement volé, et la suppression des mots de passe signifie qu’il n’existe pas de solution de repli vers l’option la plus simple et la plus rapide à modifier si une autre méthode d’authentification est compromise. 

La technologie sans mot de passe est-elle plus rentable ?

Sur une longue période, il est possible que la suppression des mots de passe réduise les coûts. En particulier dans les organisations au sein desquelles les politiques à ce sujet sont insuffisantes et qui sont confrontées à de nombreuses compromission et à un flux constant d’appels auprès du helpdesk pour des réinitialisations. Mais la suppression des mots de passe n’est pas une idée nouvelle, alors pourquoi les entreprises ne sont-elles pas plus nombreuses à franchir le pas ? La réponse est simple : cette transition n’est (pour l’instant) pas financièrement réalisable à court terme pour de nombreuses organisations.

Les outils d’authentification ne sont pas toujours compatibles avec le système d’exploitation ou les appareils d’une entreprise. Pensez aux différents répertoires, applications et services de votre organisation qui nécessitent des mots de passe. Il faudrait probablement un certain temps pour les énumérer tous. Imaginez à présent les mettre à jour ou tous les réviser pour permettre une transition vers l’authentification sans mot de passe. 

Il pourrait également être coûteux pour certaines organisations d’équiper la myriade d’appareils utilisés afinq u’ils accèdent à leur réseau via la biométrie ou les jetons conformes à la norme FIDO2. Les anciens appareils ou le matériel spécifique à un secteur pourraient ne pas être compatibles avec les dernières technologies d’authentification sans mot de passe. Peut-être qu’un jour tout le monde pourra les mettre en place, mais pour l’instant, beaucoup d’entreprises n’ont ni le matériel ni les logiciels en place pour réaliser une transition complète vers la suppression des mots de passe. 

Les dispositifs FIDO2 peuvent également être plus coûteux, de sorte que certaines organisations pourraient décider que le jeu n’en vaut tout simplement pas la chandelle, alors que les mots de passe (utilisés correctement) peuvent faire un travail « suffisant ».

La suppression des mots de passe offre-t-elle une meilleure expérience à l’utilisateur ?

La suppression des mots de passe ne garantit pas toujours une meilleure expérience pour l’utilisateur final :en décembre 2021, seuls 2,6 % des utilisateurs de Twitter avaient volontairement activé la 2FA. La biométrie est rapide en soi, mais attendre un SMS et saisir des codes prend plus de temps que de taper un mot de passe. Certains utilisateurs finaux pourraient considérer le changement de mot de passe, celui qu’ils ont utilisé toute leur vie, comme pénible et essayer de le contourner. Il se peut qu’ils ne soient pas à l’aise pour communiquer leurs données biométriques à leur entreprise, ce qui pose des problèmes supplémentaires de confidentialité en matière de stockage et d’effacement. Les entreprises devront former les utilisateurs et faire face à ces difficultés initiales. 

Dans certains secteurs, la transition vers la suppression des mots de passe sera plus difficile que dans d’autres. Dans un entrepôt, par exemple, où les travailleurs de première ligne utilisent des identifiants ou des appareils partagés, les mots de passe peuvent restés plus appropriés. Dans un hôpital, la rapidité est essentielle et une connexion biométrique pourrait être utile. Mais que se passe-t-il lorsque la technologie sans mot de passe tombe en panne, perd un accès en ligne crucial ou a besoin d’être sauvegardée lors d’une situation critique ? L’humble mot de passe se devra de venir à sa rescousse.

Quatre questions à se poser avant d’opter pour un système sans mot de passe

Avant de vous engager dans une démarche sans mot de passe, voici quatre questions importantes à se poser. Les réponses à ces questions façonneront votre stratégie et vous amèneront peut-être à vous demander si la suppression des mots de passe est la meilleure solution pour votre entreprise à l’heure actuelle :

1. Quels sont les services et applications de mon entreprise qui nécessitent des mots de passe ?

Parmi ces services et applications, quels sont ceux dont je peux contrôler la politique en matière de mots de passe ? En d’autres termes, serais-je en mesure de les utiliser sans mot de passe ? 

2. Combien de services et d’applications utilisent des mots de passe en guise de sauvegarde pour la connexion sans mot de passe – et comment vais-je sécuriser ce mot de passe de sauvegarde ? 

Si l’objectif est de réduire les attaques par mots de passe, il faut garder en tête que les attaquants pourront toujours utiliser des mots de passe pour contourner les authentifications sans mot de passe et accéder à votre réseau. Il peut s’agir d’un risque caché sérieux si ces mots de passe de sauvegarde sont « oubliés » par rapport à ceux qui sont utilisés régulièrement et bien mémorisés. 

3. Quels sont les besoins de mes utilisateurs et comment la suppression des mots de passe les affectera-t-elle ?

Quels types d’appareils utilisent-ils – des appareils fournis par l’entreprise ou un mix avec des appareils personnels ? Se sentent-ils à l’aise pour s’adapter aux nouvelles technologies ? 

4. Pourrions-nous utiliser moins de mots de passe plutôt que pas de mots de passe du tout ?

Vous pourriez réduire l’utilisation des mots de passe en encourageant l’utilisation du SSO, mais il est important de se demander si votre AD est vérifié régulièrement et de manière fiable pour les mots de passe compromis – car les gens ont tendance à se fier à l’AD comme connexion pour le SSO. 

Alléger l’utilisation des mots de passe avec Specops 

La sécurité, l’expérience utilisateur et la réduction des coûts sont les principaux moteurs de la suppression des mots de passe au sein d’une organisation. Cependant, vous pourriez être surpris de voir à quel point il est facile de réduire ces casse-têtes avec de simples outils tiers existants qui s’intègrent à votre Active Directory. Les mots de passe en soi ne sont pas un problème – les mots de passe faibles en sont un véritable en revanche. Vous n’êtes pas convaincu par la suppression des mots de passe, mais vous voulez vous assurer que les mots de passe que vous avez sont sûrs ? Contactez-nous dès aujourd’hui pour découvrir comment nous pouvons vous aider.

(Dernière mise à jour le 08/03/2024)

Revenir sur le blog