Microsoft et la fin des mots de passe ?

Non que ces technologies ne fonctionnent pas et ne soient pas éprouvées : la double authentification pour générer des numéros de CB à usage unique au-delà d’un certain montant fonctionne avec pas mal de banques et ce depuis plusieurs années. La biométrie est elle aussi éprouvée, les possesseurs des derniers modèles de smartphone l’utilisent tous les jours. Ce qui pose question, c’est que dans un monde où tout est risque, j’aimerai bien consulter la matrice SWOT, ou l’étude comparée coût bénéfice, ou quel que soit le nom qu’on lui donne, du passage d’une technologie millénaire (les mots de passe) à une plus récente. En clair : on gagne quoi, on perd quoi ?

Utilisant depuis plusieurs mois un iPhone avec déverrouillage par empreinte digitale, je peux affirmer que c’est génial, sauf quand cela ne marche pas et que l’utilisateur se retrouve à devoir taper son bon vieux code PIN, comme par exemple lorsque l’on sort de s’être prélassé dans son bain pendant trois plombes et que le capteur refuse obstinément de lire les bouts des doigts tout fripés (faites le test si vous ne me croyez pas). Et des sites spécialisés regorgent de démo où on blouse allègrement une reconnaissance faciale avec une bête photo de visage, où un appareil est infichu de faire la différence entre deux jumeaux, etc.

Autre aspect plus ennuyeux, lorsque le second facteur d’authentification est momentanément indisponible. Je vois bien le cas où un usager va casser son beau smartphone une veille de long week-end avec pont, et devra attendre trois jours avant d’aller en urgence aller s’acheter un autre appareil...juste pour se connecter. Et je ne parle pas des situations telles la perte ou vol de smartphone. Pour avoir sécurisé jusqu’au bout mon compte Dropbox (compte + mot de passe, plus double authentification en cas d’accès depuis un nouvel appareil) je me suis posé la question de savoir comment je ferai si je perdais à la fois mon mot de passe, et mon téléphone (par exemple lors d’un cambriolage). Résultat : pour parer à toutes les situations, je dois stocker des mots de passe et des grilles de recouvrement à usage unique, le tout chiffrés avec un nouveau mot de passe. Bref, l’horreur.

J’ai un début d’explication à ces tentatives nombreuses de nous débarrasser de nos mots de passe : nous transférer – à nous, les utilisateurs – les emm…. Je m’explique : depuis 5 ans, quasiment tous les grands sites mondiaux ont connu une fuite totale ou partielle de leurs base de compte : Dropbox, Linkedin, etc. Or, dans la plupart des cas, il s’agit de fautes internes, soit qu’un administrateur a été négligent dans la protection de la base chiffrée des mots de passe (cf l’affaire Deloitte) soit, encore mieux, que la base en question n’était même pas chiffrée. Dernier exemple en date, celui de Twitter qui brille par son incompétence si l’on en croit cet article(4), et qui (heureusement) demande en prévention à tous ses utilisateurs de changer les mot de passe. Dans le cas où l’authentification va se faire par des moyens tels ceux mis en œuvre par Microsoft, on nous transfère la responsabilité de préservation du second facteur voire de ne pas poster des photos de nous de face sur Facebook, ce qui permettrait de détourner la reconnaissance faciale (véridique).

Evidemment, je ne réfute nullement le fait que les mots de passe, « it sucks », mais tout à fait entre nous, le jour où notre téléphone sera utilisé comme second facteur sur tous les sites sur lesquels nous sommes enregistrés (dans mon cas, 139), un bon conseil : réfléchissez-y à deux fois avant de changer de numéro de téléphone portable.

(1) http://www.zdnet.fr/actualites/windows-10-microsoft-imagine-un-monde-sans-mots-de-passe-39867808.htm 

(2) http://www.zdnet.fr/actualites/windows-10-bientot-la-fin-des-mots-de-passe-avec-authenticator-39863920.htm 

(3) http://www.zdnet.fr/actualites/la-fin-des-mots-de-passe-sur-windows-10-microsoft-se-tourne-vers-la-biometrie-de-fujitsu-39863994.htm 

(4) https://www.francetvinfo.fr/internet/reseaux-sociaux/facebook/la-faille-informatique-chez-twitter-n-est-pas-un-bug-mais-une-erreur-presque-une-faute-juge-un-expert-en-cyber-securite_2736407.html