Publicité en cours de chargement...
Microsoft et la fin des mots de passe ?
Non que ces technologies ne fonctionnent pas et ne soient pas éprouvées : la double authentification pour générer des numéros de CB à usage unique au-delà d’un certain montant fonctionne avec pas mal de banques et ce depuis plusieurs années. La biométrie est elle aussi éprouvée, les possesseurs des derniers modèles de smartphone l’utilisent tous les jours. Ce qui pose question, c’est que dans un monde où tout est risque, j’aimerai bien consulter la matrice SWOT, ou l’étude comparée coût bénéfice, ou quel que soit le nom qu’on lui donne, du passage d’une technologie millénaire (les mots de passe) à une plus récente. En clair : on gagne quoi, on perd quoi ?
Utilisant depuis plusieurs mois un iPhone avec déverrouillage par empreinte digitale, je peux affirmer que c’est génial, sauf quand cela ne marche pas et que l’utilisateur se retrouve à devoir taper son bon vieux code PIN, comme par exemple lorsque l’on sort de s’être prélassé dans son bain pendant trois plombes et que le capteur refuse obstinément de lire les bouts des doigts tout fripés (faites le test si vous ne me croyez pas). Et des sites spécialisés regorgent de démo où on blouse allègrement une reconnaissance faciale avec une bête photo de visage, où un appareil est infichu de faire la différence entre deux jumeaux, etc.
Autre aspect plus ennuyeux, lorsque le second facteur d’authentification est momentanément indisponible. Je vois bien le cas où un usager va casser son beau smartphone une veille de long week-end avec pont, et devra attendre trois jours avant d’aller en urgence aller s’acheter un autre appareil...juste pour se connecter. Et je ne parle pas des situations telles la perte ou vol de smartphone. Pour avoir sécurisé jusqu’au bout mon compte Dropbox (compte + mot de passe, plus double authentification en cas d’accès depuis un nouvel appareil) je me suis posé la question de savoir comment je ferai si je perdais à la fois mon mot de passe, et mon téléphone (par exemple lors d’un cambriolage). Résultat : pour parer à toutes les situations, je dois stocker des mots de passe et des grilles de recouvrement à usage unique, le tout chiffrés avec un nouveau mot de passe. Bref, l’horreur.
J’ai un début d’explication à ces tentatives nombreuses de nous débarrasser de nos mots de passe : nous transférer – à nous, les utilisateurs – les emm…. Je m’explique : depuis 5 ans, quasiment tous les grands sites mondiaux ont connu une fuite totale ou partielle de leurs base de compte : Dropbox, Linkedin, etc. Or, dans la plupart des cas, il s’agit de fautes internes, soit qu’un administrateur a été négligent dans la protection de la base chiffrée des mots de passe (cf l’affaire Deloitte) soit, encore mieux, que la base en question n’était même pas chiffrée. Dernier exemple en date, celui de Twitter qui brille par son incompétence si l’on en croit cet article(4), et qui (heureusement) demande en prévention à tous ses utilisateurs de changer les mot de passe. Dans le cas où l’authentification va se faire par des moyens tels ceux mis en œuvre par Microsoft, on nous transfère la responsabilité de préservation du second facteur voire de ne pas poster des photos de nous de face sur Facebook, ce qui permettrait de détourner la reconnaissance faciale (véridique).
Evidemment, je ne réfute nullement le fait que les mots de passe, « it sucks », mais tout à fait entre nous, le jour où notre téléphone sera utilisé comme second facteur sur tous les sites sur lesquels nous sommes enregistrés (dans mon cas, 139), un bon conseil : réfléchissez-y à deux fois avant de changer de numéro de téléphone portable.
(1) http://www.zdnet.fr/actualites/windows-10-microsoft-imagine-un-monde-sans-mots-de-passe-39867808.htm
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.