Autrefois considérés comme une méthode sûre d’authentification en ligne, les mots de passe sont aujourd’hui largement décriés pour leur vulnérabilité et la façon dont ils exposent leurs utilisateurs à des risques de phishing et d’autres formes de cyberattaques. Même les mots de passe les plus complexes peuvent être devinés ou volés, ouvrant ainsi la porte aux hackers pour contourner les systèmes d’authentification multi-facteurs (MFA) traditionnels et accéder aux informations personnelles de leur victime.
Face à ces menaces, les organisations réalisent désormais les risques liés à l'utilisation exclusive des mots de passe et cherchent à renforcer la sécurité de leurs comptes en ligne. Cependant, des progrès restent nécessaires pour améliorer la cyber-résilience et réduire l’impact du phishing. Pour y répondre, il est urgent de remplacer les mots de passe par des méthodes d'authentification résistantes au phishing, tout en sensibilisant les utilisateurs.
Vers une élimination totale des mots de passe
Cette transition peut être accélérée par l'adoption des passkeys, une avancée majeure en matière d'authentification. Stockées sur des appareils comme les téléphones ou les clés de sécurité, ces technologies utilisent une cryptographie asymétrique avec une clé publique conservée par le site et une clé privée sur l'appareil de l'utilisateur. Ainsi, leur intégration est essentielle pour renforcer la protection contre les cybermenaces avancées, telles que le phishing. En effet, les passkeys assurent une défense solide, même contre les attaques à distance, car elles nécessitent un accès physique pour s’authentifier.Lors de la connexion à des comptes et services en ligne, l'authentification passe par un échange de clés (le « handshake »), ce qui réduit les vulnérabilités des mots de passe traditionnels. Ces clés, résistantes au phishing, sont attachées individuellement à un site ou une application, empêchant ainsi l'envoi d'identifiants à des sites de phishing. Et ce, même en cas de fraude. Les services prenant en charge les clés de sécurité offrent souvent le choix entre des passkeys synchronisées et des passkeys matérielles. Ces dernières, sans batterie ni connexion Internet, assurent une authentification fiable, y compris dans des environnements restrictifs.
En définitive, utiliser des passkeys associées à des appareils et stockées sur des clés de sécurité est la méthode la plus sûre pour protéger les identifiants, adaptée aussi bien aux particuliers qu'aux entreprises soumises à des normes de conformité strictes.
La popularité et l’adoption des passkeys devraient connaître une accélération significative dans les années à venir, en raison de la prise de conscience croissante des dangers associés aux mots de passe et de l’urgence de passer à des solutions MFA efficaces contre le phishing. Celles-ci constitueront un axe clé des politiques de bonnes pratiques de sécurité pour de nombreuses organisations, et sont déjà mises en œuvre par les géants de la Tech. À mesure que les passkeys se déploient à l’échelle mondiale, il faut s’attendre à une diminution progressive de l’utilisation des mots de passe, ce qui pourrait entraîner une réduction considérable des attaques de phishing à l’échelle globale.
Sensibiliser les utilisateurs au phishing
Si le déploiement d’outils de protection est une première étape, la technologie seule ne suffit pas à contrer les attaques de phishing. Les entreprises doivent également s’efforcer de sensibiliser les utilisateurs aux risques. Traditionnellement, leur système de contrôle se concentrait sur la prévention du phishing au moment de l'authentification, mais l’introduction de nouvelles méthodes a laissé de nombreux comptes dans un état hybride, avec des identifiants vulnérables et résistants. En particulier, il est crucial de surveiller attentivement les moments clés comme l’enregistrement des utilisateurs et la récupération des comptes, qui sont souvent les maillons faibles dans la chaîne de sécurité.Les techniques d'authentification traditionnelles, telles que les mots de passes combinés à des codes envoyés par SMS, restent vulnérables au phishing, et nécessitent des améliorations dans les processus d'envoi d'identifiants et d'enregistrement des appareils. Or, de nombreuses entreprises continuent de s’appuyer sur ces pratiques obsolètes, ce qui offre des opportunités aux cybercriminels et complique la protection homogène des systèmes et des données, tout en compromettant la conformité aux normes et réglementations. Une approche proactive, avec des solutions MFA simple à déployer et utiliser, et capables de réduire les risques en éliminant les opportunités d'attaque tout au long du cycle de vie de l'utilisateur est donc cruciale, tant pour les usages personnels que professionnels ; les deux sphères étant aujourd’hui étroitement liées au cœur d’un environnement ultra-connecté
Dès lors, il devient nécessaire de mettre en place une authentification sécurisée adaptée à tous les appareils, plateformes et services. Assurer une résistance au phishing dans les processus d'enregistrement, d'authentification et de récupération contribue à protéger les utilisateurs, à renforcer la cybersécurité, et à sécuriser les données et opérations sensibles. L'adoption de clés de sécurité matérielles, accompagnée d'une transition vers des méthodes d'authentification plus récentes, permet de renforcer les défenses de l’organisation ; un enjeu majeur au regard de l’omniprésence des cybermenaces.
Par Fabrice de Vésian, Sales Manager chez Yubico