Google sur le point de rendre l’authentification multifacteur incontournable : quel avenir pour les mots de passe ?
Mark Risher, Director of Product Management, Identity and User Security chez Google, souhaite reléguer les mots de passe aux oubliettes et les remplacer par des dispositifs plus fiables comme l’authentification multifacteur (MFA). Pourquoi une telle décision et comment les fournisseurs de services managés (MSP) peuvent-ils tirer profit de la MFA ?
C’est lors du World Password Day, qui s’est déroulé en mai dernier, que Google a choisi d’annoncer qu’il allait supprimer les mots de passe de ses services, ce qui a fait réagir les utilisateurs et les spécialistes en cybersécurité. Mark Risher justifie cette décision comme suit :
« On n’en a pas toujours conscience, mais les mots de passe constituent la menace la plus importante pour notre sécurité en ligne : ils sont faciles à voler et à oublier, et leur gestion est fastidieuse. Beaucoup pensent qu’un bon mot de passe doit être long et compliqué, mais bien souvent ça ne fait en réalité qu’aggraver le problème. Les utilisateurs ont souvent tendance à utiliser les mots de passe compliqués sur plusieurs comptes. D’ailleurs, 66 % des Américains reconnaissent utiliser le même mot de passe sur plusieurs sites. Tous ces comptes se retrouveraient donc vulnérables si un seul d’entre eux venait à être piraté. »
Validation en 2 étapes et autres mesures
Pour appuyer cette annonce, M. Risher a révélé des chiffres qui parlent d’eux-mêmes : en 2020, Google a constaté une hausse de 300 % des recherches sur la robustesse des mots de passe. Il s’agirait là d’une des raisons justifiant le choix de la société d’investir dans une gestion de mots de passe simplifiée, avec pour objectif leur suppression pure et simple. Mais comment les utilisateurs vont-ils pouvoir confirmer leur identité en toute sécurité ?
Pour le moment, le géant américain a jeté son dévolu sur l’authentification multifacteur et, en particulier, sur la validation en 2 étapes (2SV). D’après M. Risher, cette mesure de sécurité réduit considérablement le risque de piratage des comptes par rapport à une protection par mot de passe standard.
Pour l’instant, la 2SV sera obligatoire pour les utilisateurs qui ont déjà commencé à la mettre en œuvre. Mark Risher recommande cependant à tout le monde de protéger son compte avec ce dispositif. En parallèle, Google adopte également des mesures de sécurité complémentaires, comme les clés de sécurité, qui font déjà partie des fonctionnalités directes des appareils Android, ou Google Smart Lock sur les appareils iOS.
Fiabilité et gestion simplifiée
En matière de cybersécurité, il faut toujours partir du principe qu’aucun dispositif ou système ne peut garantir une protection à 100 %. C’est aussi vrai pour la MFA, comme l’explique notre précédent billet intitulé « Les systèmes d’authentification multifacteur sont-ils tous sécurisés ? ». Mark Risher n’en a pas moins raison lorsqu’il avance qu’une bonne MFA réduit de manière considérable les chances de réussites des pirates informatiques.
C’est précisément ce que permet de faire AuthPoint, le service d’authentification multifacteur de WatchGuard. Grâce à ses fonctionnalités, les fournisseurs de services managés peuvent protéger les comptes et les identités de leurs entreprises-clientes. Avec l’authentification push ou par QR code, tous les employés peuvent accéder facilement aus ressources par le biais d’une application mobile pratique. Terminée la saisie laborieuse des mots de passe : une fois l’accès accordé, il ne leur reste qu’à confirmer leur identité, ce qui se fait très rapidement, en une seule étape. Par ailleurs, les administrateurs peuvent dormir sur leurs deux oreilles, car ils savent que les téléphones mobiles utilisés sont des appareils autorisés. « L’ADN mobile » est une technologie qui vérifie que les demandes d’accès aux systèmes proviennent bien d’appareils autorisés, et bloque les tentatives frauduleuses effectuées à l’aide d’une carte SIM clonée sur un autre appareil.
Toutefois, si l’entreprise préfère opter pour un système autre que l’accès via appareil mobile, WatchGuard AuthPoint propose également des tokens matériels. Ces dispositifs électroniques hermétiques génèrent automatiquement des mots de passe à usage unique valables pendant 30 secondes. En fin de compte, quelle que soit la méthode choisie, la charge de travail des administrateurs se voit réduite. Toutes les autorisations et authentifications peuvent être gérées sans difficulté au travers du portail AuthPoint dans WatchGuard Cloud.
En définitive, il est impossible de prédire si le monde sans mot de passe qu’évoque Mark Risher est pour demain ou pour plus tard, mais nous sommes convaincus que les entreprises doivent s’appuyer sur des mécanismes dont l’efficacité en matière de protection contre les cyberattaques a été démontrée, comme c’est le cas pour l’authentification multifacteur.