Publicité en cours de chargement...

Publicité en cours de chargement...

Microsoft et la fin des mots de passe ?

07 mai 2018 - 17:22,
Tribune - Cédric Cartau
Le webzine ZDNet a récemment publié pas moins de trois articles sur la fin des mots de passe selon Microsoft (ici[1], ici[2]et ici[3]). Grosso-modo, deux techniques sont mises en avant : la biométrie et l’authentification à partir d’un terminal de confiance (par exemple un SMS envoyé sur un mobile précédemment appareillé). Super génial, sauf que certains – dont votre serviteur – sont légèrement dubitatifs.

Non que ces technologies ne fonctionnent pas et ne soient pas éprouvées : la double authentification pour générer des numéros de CB à usage unique au-delà d’un certain montant fonctionne avec pas mal de banques et ce depuis plusieurs années. La biométrie est elle aussi éprouvée, les possesseurs des derniers modèles de smartphone l’utilisent tous les jours. Ce qui pose question, c’est que dans un monde où tout est risque, j’aimerai bien consulter la matrice SWOT, ou l’étude comparée coût bénéfice, ou quel que soit le nom qu’on lui donne, du passage d’une technologie millénaire (les mots de passe) à une plus récente. En clair : on gagne quoi, on perd quoi ?

Utilisant depuis plusieurs mois un iPhone avec déverrouillage par empreinte digitale, je peux affirmer que c’est génial, sauf quand cela ne marche pas et que l’utilisateur se retrouve à devoir taper son bon vieux code PIN, comme par exemple lorsque l’on sort de s’être prélassé dans son bain pendant trois plombes et que le capteur refuse obstinément de lire les bouts des doigts tout fripés (faites le test si vous ne me croyez pas). Et des sites spécialisés regorgent de démo où on blouse allègrement une reconnaissance faciale avec une bête photo de visage, où un appareil est infichu de faire la différence entre deux jumeaux, etc.

Autre aspect plus ennuyeux, lorsque le second facteur d’authentification est momentanément indisponible. Je vois bien le cas où un usager va casser son beau smartphone une veille de long week-end avec pont, et devra attendre trois jours avant d’aller en urgence aller s’acheter un autre appareil...juste pour se connecter. Et je ne parle pas des situations telles la perte ou vol de smartphone. Pour avoir sécurisé jusqu’au bout mon compte Dropbox (compte + mot de passe, plus double authentification en cas d’accès depuis un nouvel appareil) je me suis posé la question de savoir comment je ferai si je perdais à la fois mon mot de passe, et mon téléphone (par exemple lors d’un cambriolage). Résultat : pour parer à toutes les situations, je dois stocker des mots de passe et des grilles de recouvrement à usage unique, le tout chiffrés avec un nouveau mot de passe. Bref, l’horreur.

J’ai un début d’explication à ces tentatives nombreuses de nous débarrasser de nos mots de passe : nous transférer – à nous, les utilisateurs – les emm…. Je m’explique : depuis 5 ans, quasiment tous les grands sites mondiaux ont connu une fuite totale ou partielle de leurs base de compte : Dropbox, Linkedin, etc. Or, dans la plupart des cas, il s’agit de fautes internes, soit qu’un administrateur a été négligent dans la protection de la base chiffrée des mots de passe (cf l’affaire Deloitte) soit, encore mieux, que la base en question n’était même pas chiffrée. Dernier exemple en date, celui de Twitter qui brille par son incompétence si l’on en croit cet article(4), et qui (heureusement) demande en prévention à tous ses utilisateurs de changer les mot de passe. Dans le cas où l’authentification va se faire par des moyens tels ceux mis en œuvre par Microsoft, on nous transfère la responsabilité de préservation du second facteur voire de ne pas poster des photos de nous de face sur Facebook, ce qui permettrait de détourner la reconnaissance faciale (véridique).

Evidemment, je ne réfute nullement le fait que les mots de passe, « it sucks », mais tout à fait entre nous, le jour où notre téléphone sera utilisé comme second facteur sur tous les sites sur lesquels nous sommes enregistrés (dans mon cas, 139), un bon conseil : réfléchissez-y à deux fois avant de changer de numéro de téléphone portable.


(1) http://www.zdnet.fr/actualites/windows-10-microsoft-imagine-un-monde-sans-mots-de-passe-39867808.htm 

(2) http://www.zdnet.fr/actualites/windows-10-bientot-la-fin-des-mots-de-passe-avec-authenticator-39863920.htm 

(3) http://www.zdnet.fr/actualites/la-fin-des-mots-de-passe-sur-windows-10-microsoft-se-tourne-vers-la-biometrie-de-fujitsu-39863994.htm 

(4) https://www.francetvinfo.fr/internet/reseaux-sociaux/facebook/la-faille-informatique-chez-twitter-n-est-pas-un-bug-mais-une-erreur-presque-une-faute-juge-un-expert-en-cyber-securite_2736407.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Illustration Arnaques bancaires : le bon vieux temps de Charles Ponzi

Arnaques bancaires : le bon vieux temps de Charles Ponzi

09 juin 2025 - 21:08,

Tribune

-
Cédric Cartau

Charles Ponzi, inventeur fameux de l’arnaque à la pyramide financière qui porte désormais son nom , restera à jamais dans l’Histoire. Bernard Madoff, même s’il a manipulé des sommes d’argent considérables dans une arnaque du même genre qui lui a valu de finir ses jours en prison (et qui, accessoirem...

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.