Pourquoi Microsoft veut en finir avec le mot de passe ?
Aujourd’hui, on peut le dire avec simplicité que les mots de passe ne facilitent pas vraiment la vie aux utilisateurs.
Si de façon pratique ils sont important voire nécessaire dans certains aspects, on ne peut pas nier qu’ils sont peu fiables aujourd’hui.
Cet article va aussi vous intéresser : Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline
Dans la stratégie de Microsoft à long terme, tout sera mis en œuvre pour s’en passer définitivement. Du moins c’est ce qu’ils espèrent.
Au sein de Microsoft, le géant américain des technologies, la politique des mots de passe est très strict. En effet chaque 71 jour, tous les mots de passe doivent être changés sans exception. Et cela est une politique initiée par Bret Arsenault, le responsable de sécurité informatique de la société de Redmond. C’est un employé de la société américaine depuis maintenant 31 ans.
« C’est la première fois que j’ai été applaudi en tant que responsable de la sécurité et dirigeant », affirme ce dernier. « Nous avons dit que nous désactivions la rotation des mots de passe au sein de Microsoft. ».
Du haut de son poste, Bret Arsenault à de lourdes responsabilités. Il doit veiller à la fois à la sécurité informatique des réseaux informatiques internes de la société en même temps des produits fournis par le géant de Redmond. Il faut d’ailleurs à rappeler que le réseau interne de Microsoft est utilisé par près de 160 000 employés. Si on doit ajouter à ce nombre les fournisseurs, cela monte à près de 240 000 comptes à gérer tous les jours de l’année. Face à tout ce travail à abattre, l’objectif majeur de ce spécialiste est de supprimer les mots de passe pour le remplacer par d’autres méthodes d’identification multifactorielles.
Cette lutte pour l’amélioration de sa sécurité prend un tournant décisif en janvier 2019 chez Microsoft. Avec le processus de l’expiration d’un mot de passe en sur une durée de 1 ans. De plus plusieurs autres changements ont dû intervenir et les recommandations envers ses clients et c’est partenaires vise à revoir leurs méthodes d’identification.
Pour Bret Arsenault, il faudrait procéder à l’élimination des mots de passe et cela sans tarder.
« Si j’élimine les mots de passe et que j’utilise la biométrie, c’est beaucoup plus rapide, et l’expérience est meilleure »
« Parce que personne n’aime les mots de passe. Vous les détestez, les utilisateurs les détestent, les services informatiques les détestent. Les seules personnes qui aiment les mots de passe sont les criminels – ils les adorent », note le RSSI.
« Je me souviens que nous avions pour devise de généraliser l’AMF ; rétrospectivement, c’était le bon objectif de sécurité, mais la mauvaise approche. Il faut se concentrer sur le résultat pour l’utilisateur et passer à « nous voulons éliminer les mots de passe ». Mais les mots que vous utilisez sont importants. Il s’est avéré que ce simple changement de langage a changé la culture et la vision. Plus important encore, cela a changé notre conception et ce que nous avons construit, comme Windows Hello pour les entreprises », note ce dernier.
« 99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement » déclare ce dernier.
Sur les ordinateurs fournis sous Windows 10, l’expérience de la sécurité sans mot de passe passant par la biométrie est gérée par Windows Hello. Pour les applications de Microsoft tournant sous Android et iOS, les accès sont le plus souvent par Microsoft authentificator. Un système qui géré du mieux possible les connexions à ses applications de Microsoft Office. Car il peut exploiter les données biométriques qui sont déjà disponibles sur les mobiles Android ou les smartphones sur iOS.
« Aujourd’hui, 99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement. Cela dit – le progrès l’emporte sur la perfection – il existe encore des applications anciennes qui demanderont toujours [un mot de passe] », souligne ce dernier.
À regarder de près, le combat semble être rude et l’objectif une gageure. En effet, seulement 18 % des clients du géant de Redmond, activer L’authentification à multiples facteurs. Un chiffre qui est de manière absurde très bas. Surtout lorsqu’on sait que l’activation de l’AMF est gratuite pour l’ensemble des clients Microsoft, particulièrement dans un contexte où une attaque au rançongiciel peut coûter des millions de dollars à cause d’un seul compte qui est mal protégé.
Si d’une manière certaine, l’utilisation de l’authentification multifactorielle ne stoppe pas définitivement les cyberattaques, celle-ci peut quand même les ralentir et rendre difficile leur tâche beaucoup plus que cela n’est aujourd’hui. Elle permettra aussi de combler certaines faiblesses qui sont inhérentes même à l’utilisation des méthodes de connexion habituelles, dont un simple hameçonnage peut les rendre totalement vulnérable. Les mots de passe sont inconvenants. L’attaque informatique subie par SolarWinds et les conséquences à l’échelle mondiale explique comment il faudrait s’en méfier.
« Tout le monde a des applications anciennes qui ne peuvent pas prendre en charge l’authentification moderne, comme la biométrie, et je pense donc que ce que beaucoup de gens devraient et doivent faire, c’est adopter une approche basée sur le risque : il faut d’abord mettre en place l’AMF pour les groupes à haut risque/de valeur comme les administrateurs, les RH, le groupe juridique et ainsi de suite, puis passer à tous les utilisateurs. Il peut s’agir d’un projet de plusieurs années, selon la rapidité avec laquelle vous voulez faire quelque chose », Explique Bret Arsenault.
Accédez maintenant à un nombre illimité de mot de passe :