Publicité en cours de chargement...

Publicité en cours de chargement...

Microsoft et la fin des mots de passe ?

07 mai 2018 - 17:22,
Tribune - Cédric Cartau
Le webzine ZDNet a récemment publié pas moins de trois articles sur la fin des mots de passe selon Microsoft (ici[1], ici[2]et ici[3]). Grosso-modo, deux techniques sont mises en avant : la biométrie et l’authentification à partir d’un terminal de confiance (par exemple un SMS envoyé sur un mobile précédemment appareillé). Super génial, sauf que certains – dont votre serviteur – sont légèrement dubitatifs.

Non que ces technologies ne fonctionnent pas et ne soient pas éprouvées : la double authentification pour générer des numéros de CB à usage unique au-delà d’un certain montant fonctionne avec pas mal de banques et ce depuis plusieurs années. La biométrie est elle aussi éprouvée, les possesseurs des derniers modèles de smartphone l’utilisent tous les jours. Ce qui pose question, c’est que dans un monde où tout est risque, j’aimerai bien consulter la matrice SWOT, ou l’étude comparée coût bénéfice, ou quel que soit le nom qu’on lui donne, du passage d’une technologie millénaire (les mots de passe) à une plus récente. En clair : on gagne quoi, on perd quoi ?

Utilisant depuis plusieurs mois un iPhone avec déverrouillage par empreinte digitale, je peux affirmer que c’est génial, sauf quand cela ne marche pas et que l’utilisateur se retrouve à devoir taper son bon vieux code PIN, comme par exemple lorsque l’on sort de s’être prélassé dans son bain pendant trois plombes et que le capteur refuse obstinément de lire les bouts des doigts tout fripés (faites le test si vous ne me croyez pas). Et des sites spécialisés regorgent de démo où on blouse allègrement une reconnaissance faciale avec une bête photo de visage, où un appareil est infichu de faire la différence entre deux jumeaux, etc.

Autre aspect plus ennuyeux, lorsque le second facteur d’authentification est momentanément indisponible. Je vois bien le cas où un usager va casser son beau smartphone une veille de long week-end avec pont, et devra attendre trois jours avant d’aller en urgence aller s’acheter un autre appareil...juste pour se connecter. Et je ne parle pas des situations telles la perte ou vol de smartphone. Pour avoir sécurisé jusqu’au bout mon compte Dropbox (compte + mot de passe, plus double authentification en cas d’accès depuis un nouvel appareil) je me suis posé la question de savoir comment je ferai si je perdais à la fois mon mot de passe, et mon téléphone (par exemple lors d’un cambriolage). Résultat : pour parer à toutes les situations, je dois stocker des mots de passe et des grilles de recouvrement à usage unique, le tout chiffrés avec un nouveau mot de passe. Bref, l’horreur.

J’ai un début d’explication à ces tentatives nombreuses de nous débarrasser de nos mots de passe : nous transférer – à nous, les utilisateurs – les emm…. Je m’explique : depuis 5 ans, quasiment tous les grands sites mondiaux ont connu une fuite totale ou partielle de leurs base de compte : Dropbox, Linkedin, etc. Or, dans la plupart des cas, il s’agit de fautes internes, soit qu’un administrateur a été négligent dans la protection de la base chiffrée des mots de passe (cf l’affaire Deloitte) soit, encore mieux, que la base en question n’était même pas chiffrée. Dernier exemple en date, celui de Twitter qui brille par son incompétence si l’on en croit cet article(4), et qui (heureusement) demande en prévention à tous ses utilisateurs de changer les mot de passe. Dans le cas où l’authentification va se faire par des moyens tels ceux mis en œuvre par Microsoft, on nous transfère la responsabilité de préservation du second facteur voire de ne pas poster des photos de nous de face sur Facebook, ce qui permettrait de détourner la reconnaissance faciale (véridique).

Evidemment, je ne réfute nullement le fait que les mots de passe, « it sucks », mais tout à fait entre nous, le jour où notre téléphone sera utilisé comme second facteur sur tous les sites sur lesquels nous sommes enregistrés (dans mon cas, 139), un bon conseil : réfléchissez-y à deux fois avant de changer de numéro de téléphone portable.


(1) http://www.zdnet.fr/actualites/windows-10-microsoft-imagine-un-monde-sans-mots-de-passe-39867808.htm 

(2) http://www.zdnet.fr/actualites/windows-10-bientot-la-fin-des-mots-de-passe-avec-authenticator-39863920.htm 

(3) http://www.zdnet.fr/actualites/la-fin-des-mots-de-passe-sur-windows-10-microsoft-se-tourne-vers-la-biometrie-de-fujitsu-39863994.htm 

(4) https://www.francetvinfo.fr/internet/reseaux-sociaux/facebook/la-faille-informatique-chez-twitter-n-est-pas-un-bug-mais-une-erreur-presque-une-faute-juge-un-expert-en-cyber-securite_2736407.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Illustration Un nouveau partenariat entre la Cnil et l’Agence de l’innovation en santé

Un nouveau partenariat entre la Cnil et l’Agence de l’innovation en santé

22 sept. 2025 - 22:06,

Brève

- Damien Dubois, DSIH,

Le 15 septembre, la Cnil et l’Agence de l’innovation en santé ont annoncé sur LinkedIn la signature d’une convention de partenariat pour renforcer la protection des données à caractère personnel dans le secteur de la santé.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.