Dans le paysage numérique actuel, garantir une vérification sécurisée et fiable de l’identité relève de l’effort collectif. Tout le monde sait que les informations personnelles et l’accès aux comptes font l’objet d’un commerce sur des forums criminels sur Internet. Dans ce contexte, la façon traditionnelle de protéger les comptes, avec des mots de passe, semble insuffisante, tant en termes d’expérience utilisateur que de fiabilité. Selon notre Directeur technique et Responsable sécurité, Robert Hoffmann, il y a une prise de conscience croissante du fait que les prestataires de services doivent répondre à cette menace en adoptant une approche plus robuste et plus sophistiquée. Des certificats qualifiés, cautionnés par un chiffrement à clé public-privé, sont une solution d’avenir, mais la bascule vers ce système est lente et non harmonisée.
L’état actuel de l’authentification par mot de passe
Existant avant Internet lui-même, les mots de passe sont depuis longtemps un moyen de s’authentifier. Sur la plupart des sites web, le processus de login se résume à la saisie d’un nom d’utilisateur prédéfini (ou d’une adresse email) et d’un code secret (mot de passe), partagé entre l’utilisateur et le site. En termes de sécurité, les mots de passe passent à travers les câbles sous forme dématérialisée lors du login ; ils sont également stockés sur les serveurs Internet. Mais il subsiste un risque qu’ils soient piratés.
Dans le monde moderne, où sécurité et facilité d’utilisation doivent aller de pair, l’authentification basée sur un mot de passe constitue une difficulté majeure pour toutes les personnes impliquées. « De l’authentification multi-facteur à la vérification rudimentaire de l’identité, en passant par les justificatifs de domicile, les étapes supplémentaires utilisées par les prestataires de services pour établir un lien de confiance montrent clairement que les mots de passe ont atteint leur limite. De plus, d’emblée, il y a ici deux bémols supplémentaires en termes de sécurité : la réutilisation du mot de passe et le fait que les prestataires de services ne mettent pas tous en place des étapes supplémentaires. Cela ouvre une brèche pour les hackers, qui peuvent accéder aux comptes des utilisateurs même sur des sites très sécurisés, en piratant d’abord des sites peu sécurisés », indique Robert.
Aujourd’hui, en moyenne, un utilisateur d’Internet va régulièrement sur plusieurs dizaines de sites sécurisés par un mot de passe, ce qui rend de plus en plus difficile le fait de les stocker et de les gérer de façon sûre. Selon Robert, dans ce cas, les gestionnaires de mots de passe sont une bonne solution de sécurité, mais elle se fait au détriment de l’ergonomie pour l’utilisateur. « Même si nous créons des mots de passe sûrs et mettons en place un gestionnaire de mots de passe, des modifications sont inévitables. Les appareils tombent en panne, sont volés ou mis à jour et certains prestataires de services demandent aux utilisateurs de modifier régulièrement leur mot de passe. De plus, la plupart des utilisateurs ont plusieurs appareils en même temps, ce qui nécessite de synchroniser le gestionnaire de mots de passe pour chaque appareil. Garantir la sécurité avec un tel niveau de fluctuation mobilise inutilement beaucoup de ressources, alors qu’une alternative claire est en vue », précise Robert.
Les certificats qualifiés sont l’avenir
Tandis que les identités des utilisateurs, choisies d’un commun accord (mot de passe, nom d’utilisateur, etc.) peuvent être facilement usurpées, les certificats qualifiés peuvent être facilement cautionnés par la réglementation européenne et reposer sur une clé cryptographique public-privé. « Cette méthode d’authentification est inégalée, tant sur le plan de la sécurité que sur celui de l’expérience utilisateur. Les utilisateurs s’enregistrent via un prestataire de services de confiance qui vérifie leur identité et émet une clé privée. Lorsqu’un utilisateur interagit avec un prestataire de services, les deux parties ont une clé privée et conviennent – pour la session concernée et uniquement cette session – d’un cryptage secret partagé. Il s’agit de la clé de la session et elle sera différente à chaque interaction. Faire appel à ce type de cryptage pour le processus d’authentification garantit un bien meilleur niveau de sécurité. Cela vaut aussi pour le piratage : si un compte utilisateur, protégé par un mot de passe, est volé, il est très difficile de le récupérer. Mais si un prestataire de services utilise une authentification basée sur un certificat selon la norme eIDAS, alors les utilisateurs peuvent facilement récupérer leur identité en se réinscrivant via un prestataire de services de confiance », a déclaré Robert.
Pourquoi la bascule prend-elle si longtemps ?
Le grand nombre d’étapes supplémentaires mises en place pour l’authentification reposant sur un mot de passe montre clairement que les grands prestataires de services et les entités gouvernementales ont déjà pris conscience du fait que les mots de passe seuls ne sont plus suffisants. Mais, selon Robert, il y a encore beaucoup d’obstacles sur la voie d’une adoption large des certificats qualifiés. « L’acceptation par les utilisateurs est l’un des plus gros défis à relever à ce stade. Les gens sont habitués au système nom d’utilisateur – mot de passe : ‘j’ai le mot de passe que j’ai créé et que je suis seul(e) à connaître, ce qui signifie qu’il n’y a que moi qui puisse me connecter, n’est-ce pas ?’ En comparaison, les certificats et les clés cryptographiques public-privé paraissent ésotériques, même si, côté informatique, tout le monde s’accorde à dire qu’il s’agit d’une solution plus sûre », dit-il. Les défis techniques ne doivent pas non plus être sous-estimés, en particulier parce que mettre en œuvre une authentification reposant sur un certificat nécessite des ressources dont ne disposent pas encore les petits acteurs de ce secteur d’activité. C’est flagrant car nous observons encore que certains d’entre eux luttent ne serait-ce que pour mettre en place l’authentification multifactorielle.
Autre élément expliquant la réticence des utilisateurs : le débat sur l’anonymat. Les certificats qualifiés représentant l’identité réelle, ces inquiétudes sont légitimes. Mais Robert tient à souligner que le partage de données personnelles est un élément essentiel de 99% des transactions de toute façon. « Je ne dis pas que les gens donnent trop d’importance à l’anonymat – c’est très important. Mais lors d’une transaction commerciale, les deux parties doivent se connaître. Même si vous achetez sur Internet sous le nom de joe123, le site aura besoin de savoir où vous livrer et à qui facturer. Les certificats qualifiés permettent d’échanger les informations de façon sécurisée, et ils couronnent le tout par un niveau de sécurité des données que les mots de passe ne peuvent pas garantir », relève notre Directeur technique et Responsable sécurité.