Authentification sans mot de passe : les spécialistes de la sécurité informatique disent qu’impossible !
Le géant américain Microsoft avait annoncé qu’avec Windows 11, il voulait franchir une nouvelle étape dans l’expérience de l’authentification.
Microsoft projette simplement de supprimer l’utilisation des mots de passe, en favorisant ainsi l’authentification biométrique ou par jetons cryptographiques ou plusieurs moyens.
Cet article va aussi vous intéresser : Pourquoi Microsoft veut en finir avec le mot de passe ?
Cependant, les chercheurs en sécurité informatique WatchGuard Threat Lab ont déclaré que la stratégie est quelque chose qui est déjà voué à l’échec.
Il faut avouer que la volonté pour Microsoft de se débarrasser des mots de passe remonte depuis 2019 maintenant. Pour la société américaine éditrice de Windows, le fait de pouvoir passer le cap des mots de passe sera une avancée importante dans le domaine de la connexion sécurisée. Depuis Windows 10 déjà, la firme de Redmond avait lancé les prémices de sa politique actuelle. Elle proposait déjà des connexions sans mot de passe. Depuis maintenant septembre 2021, les utilisateurs de service de Microsoft peuvent tout simplement décider de supprimer leur mot de passe de leur compte Microsoft, remplaçant cela par d’autres méthodes d’identification tel que :
- Windows Hello ;
- Microsoft authentificator ;
- Ou autre solution biométrique…
Avec Windows 11, le géant américain voit ici l’opportunité d’évoluer en imposant d’une certaine manière son point de vue qui exclut totalement la méthode la plus analogique de d’identification qui existe.
Cette vision de Microsoft ne semble pas être en accord avec l’observation par tous apparemment. En effet, les professionnels de la cyber sécurité de chez watchGuard Threat Lab le disent sans aucune hésitation : « une expérience Windows sans mot de passe est vouée à l’échec, l’entreprise répétant les mêmes erreurs que par le passé ». Pourtant, Windows 11 se présente comme étant le système d’exploitation qui permettra aux géant de Redmond de pouvoir imposer sa philosophie qui voit fonctionner tout sans les mots de passe. L’idée est de le remplacer par d’autres méthodes qui sont déjà courantes.
Notamment :
– Les méthodes faisant appel à la biométrie : reconnaissance faciale, scanners d’empreinte digitale… ;
– Les tokens d’authentification ;
– Les clés de sécurité ;
– Les e-mail contenant un mot de passe unique…
Des méthodes qui sont censées pousser les anciens mots de passe aux oubliettes. Cependant, le géant américain continue de commettre toujours la même et unique erreur selon les chercheurs : le fait de ne pas imposer à ses utilisateurs l’authentification à multiples facteurs.
Selon ces derniers de chez WatchGuard, toutes les méthodes d’authentification ou d’identification sont à la base, des méthodes pouvant être contournées. À plusieurs reprises des pirates informatiques l’ont démontré et les chercheurs continue de faire des démonstrations sur ces faits. Par conséquent, la société n’aurait dû imposer l’utilisation de l’authentification multifacteurs.
« Microsoft aurait vraiment pu résoudre le problème de la validation de l’identité numérique en rendant la MFA obligatoire et facile à utiliser dans Windows. Les organisations devraient obliger les utilisateurs à jumeler deux méthodes d’authentification, comme la biométrie ou les tokens avec une notification push envoyée sur votre smartphone via un canal chiffré par exemple », note Corey Nachreiner, CSO de WatchGuard Technologies. « Les sociétés d’assurance vont également militer pour la mise en place systématique de deux protocoles de sécurité conjoints. Selon eux, ce n’est qu’une question de temps avant que les assureurs en sécurité informatique ne réalisent que les coûts nécessaires pour couvrir les cybermenaces comme les ransomwares ont augmenté de façon spectaculaire. », note le professionnel.
Par ailleurs il faut s’attendre à ce que les sociétés d’assurance augmentent de manière objective leur prix surtout lorsqu’elles vérifieront au cours de certains audits de manière attentive le système de sécurité de leurs clients potentiels. Et cela avant même de proposer une quelconque couverture. « En 2022, si vous n’avez pas mis en place les protections adéquates, notamment la MFA, vous risquez de ne pas obtenir la cyberassurance dont vous avez besoin au prix que vous souhaitez », souligne Corey Nachreiner de WatchGuard Technologies.
Accédez maintenant à un nombre illimité de mot de passe :