Andrew Shikiar : "Je pense que nous n'utiliserons plus de mots de passe d'ici cinq ans"

L'alliance industrielle Fido (Fast IDentity Online) est en guerre depuis une dizaine d'années contre les mots de passe. Son combat gagne de l'écho au gré des piratages retentissants comme celui de Twitter, début juillet. Son standard d'authentification (standard comme le Wifi ou le Bluetooth), par des clés cryptographiques et/ou de la biométrie pour les mobiles, les ordinateurs et les navigateurs est maintenant utilisé par Facebook, Microsoft ou Google, qui participent également à son développement. Andrew Shikiar, à la tête de l'alliance, esquisse les contours d'un monde sans mots de passe.

L'Express. À quoi ressemblerait un monde sans mots de passe?

Andrew Shikiar : Pour commencer, nous cesserons de voir les gros titres sur les violations de données, car les mots de passe sont à l'origine de 85% de ces attaques qui coûtent des milliards d'euros aux entreprises et aux consommateurs par an. Le mot de passe est frustrant. On l'oublie, on se trompe, on le réutilise et surtout, ils sont tous stockés sur des serveurs qui sont, eux aussi, très souvent attaqués. Du point de vue du consommateur, il sera beaucoup plus facile et sécurisé d'accéder aux services en ligne et d'effectuer des transactions sans mot de passe. En outre, cela facilitera la sécurisation de la prochaine génération d'appareils connectés. Quiconque a essayé de saisir un mot de passe sur une "smartTV" peut attester de l'horreur d'une telle expérience.

LIRE AUSSI >> Voici comment savoir si des pirates connaissent votre mot de passe

Mais qu'en sera-t-il d'une voiture intelligente ou d'autres "choses" qui n'ont même pas d'interfaces utilisateurs ? Le passage à une ère sans mot de passe est essentiel pour sécuriser l'IoT (Internet of things, l'Internet des objets) en plus de tous les services auxquels nous sommes habitués à nous connecter (lorsque nous nous souvenons de nos mots de passe !) tous les jours.

Comment fait-on pour l'abandonner ?

On s'en passe déjà, à vrai dire. Grâce à la biométrie (son visage, ses doigts...), il est possible de déverrouiller son téléphone ou un ordinateur portable. Ce n'est donc pas différent de ce qu'il existe actuellement sur Android, iOS ou encore Windows Hello pour les ordinateurs. Ce qu'il faut comprendre, c'est qu'il est désormais possible de protéger l'internaute par la cryptographie. Sur chaque service où vous souhaitez vous connecter est créée une paire de clés chiffrée unique, avec une clé publique et une clé privée. La publique n'a aucune valeur aux yeux des pirates. La privée, elle, qui sert à authentifier l'internaute, ne quitte jamais son téléphone ou l'ordinateur. Et seul lui - par un geste, un regard, un code PIN, une clé USB ou Bluetooth spécialement dédiée à cet effet - peut activer cette clé privée et s'authentifier. Aucun mot de passe n'entre en compte dans ce processus. Des banques, certains gouvernements aussi, comme au Royaume-Uni, utilisent déjà cette méthode.

Quel est le frein majeur, là encore, à la démocratisation de l'authentification ce biais ?

La première raison est technique. La deuxième est plutôt d'ordre pédagogique. Mais la bonne nouvelle, c'est que nous faisons des progrès des deux côtés. D'un point de vue technique, nous devons voir plus d'appareils sur le marché qui peuvent utiliser l'authentification Fido. Nous avons fait de grands progrès dans ce domaine au cours des 18 derniers mois environ - passant d'une situation où très peu d'utilisateurs pouvaient se connecter à des sites web à l'aide de Fido, à plus de 85% des navigateurs actifs pouvant le prendre en charge.

LIRE AUSSI >> Pourquoi le piratage massif de comptes Twitter aurait pu avoir de graves conséquences

D'un point de vue de l'éducation, les consommateurs doivent s'habituer à se connecter sans mot de passe - mais je pense que ce sera un petit obstacle car beaucoup de personnes sont habituées à utiliser des codes PIN et de la biométrie sur leurs téléphones. Lorsque TouchID et des technologies similaires sont sortis pour la première fois, il y a eu une certaine crainte, mais assez rapidement, les clients se sont habitués à ce moyen plus simple et plus sûr de déverrouiller leurs appareils.

Le petit saut mental que les gens doivent faire est que la même action qu'ils utilisent actuellement pour "déverrouiller" peut maintenant être utilisée pour "se connecter". Il faudra plusieurs années pour que le monde devienne vraiment sans mot de passe, mais je suis convaincu que les principaux services Internet donneront aux utilisateurs la possibilité de se connecter sans mot de passe dans les 4 à 5 prochaines années. Et finiront par arriver au point où ces derniers pourront détruire tous les mots de passe.

Est-ce que des exemples retentissants, comme le récent piratage de Twitter, accélèrent la chute du mot de passe ?

Chez Twitter, le piratage a montré à quel point le 2FA "traditionnel" (l'authentification à double facteur) ne protège pas aussi bien que ça. Les pirates ont utilisé une combinaison d'ingénierie sociale ainsi que ce que l'on appelle une attaque de relais pour surmonter le 2FA. Une attaque de relais est lorsqu'un pirate informatique utilise un site web usurpé ou un autre moyen (dans ce cas, un appel téléphonique) pour se faire passer pour un site ou une autorité légitime. En récupérant par ce biais le code d'authentification, ils ont pu rentrer dans les comptes de personnes travaillant pour Twitter. On connaît la suite.

Le standard Fido empêche ce genre d'évènements de se dérouler. D'une part parce qu'il est difficile de vous voler votre oeil ou votre doigt pour vous authentifier. Et même un code PIN ne sort jamais de votre téléphone ou de votre ordinateur. Pour que ce soit le cas, il faudrait que le pirate puisse aussi voler votre matériel. Google l'a testé et prouvé : plus de 75 000 de ses employés ont utilisé des clés de sécurité pour se connecter aux systèmes Google et aucun n'a été hameçonné avec succès.