Les solutions d’authentification résistant au phishing

par | Avr 15, 2025 | Authentification

Nous allons voir comment les solutions d’authentification sans mot de passe peuvent faciliter l’accès aux applications web, tout en étant hautement résistant au phishing, ce risque de cybersécurité qui représente encore l’un des risques majeurs de cyberattaque.

AU SOMMAIRE DE CET ARTICLE

Le patchwork des solutions d’authentification

En voulant se connecter aux applications de votre entreprise, internes ou externes sur internet, vous  vous authentifiez selon des procédures disparates :

  • avec un nom d’utilisateur + un mot de passe
  • avec un nom d’utilisateur + un mot de passe, et un second facteur simple (SMS ou OTP one time password), que vous devez saisir pour confirmer votre identité.
  • avec un nom d’utilisateur + un mot de passe, et un second facteur par mail. Vous recevez un mail avec un code à saisir pour confirmer votre identité.
  • avec un nom d’utilisateur + un mot de passe, et un second facteur par une application propriétaire qui permet de valider la demande de connexion.

Chaque solution basée sur un mot de passe sera  efficace, à la condition de définir un mot de passe complexe, unique et de ne jamais le partager. Or la réalité est un peu différente, pour se souvenir d’un mot de passe, celui-ci est rarement complexe et il est souvent réutilisé dans  plusieurs comptes.

J’interviens personnellement à distance sur des sites clients de grands comptes, et il n’est pas rare que je voie sur l’écran d’un utilisateur un fichier ouvert avec les mots de passe qu’il doit saisir de nombreuses fois durant la journée. Il est en cours de partage de son écran  avec plusieurs personnes qui peuvent voir ses mots de passe, cela vous donne une idée de la confidentialité des mots de passe …

Il est bien entendu possible d’utiliser un gestionnaire de mot de passe, mais vous devez alors définir un mot de passe maître pour accéder à l’ensemble de vos mots de passe. Il faudra alors définir un mot de passe maître qui soit assez complexe pour ne pas être trouvé, mais pas trop complexe non plus car il faudra le saisir plusieurs fois par jour.

Aujourd’hui chaque utilisateur est confronté à une combinaison de ces différentes solutions d’authentification, comparable à un patchwork assemblé de tissus et de couleurs différents.

Ce patchwork de solutions d’authentification devient difficilement gérable, et même source de stress et d’agacement à l’usage. Il offre également un angle d’attaque aux hackers qui exploitent le nombre de confirmations de login nécessaires pour soumettre de fausses demandes que vous pourriez valider involontairement.

Les solutions éprouvées en 2025

Pour dépasser les solutions basées sur les mots de passe, il existe le standard FIDO (Fast Identiy Online) qui simplifie l’authentification par des solutions sans mot de passe et résiste au phishing. FIDO se décline en 3 types de solutions :

  • UAF : authentification sans mot de passe et utilisant votre smartphone pour vous authentifier. Cette solution enregistre votre smartphone auprès du service web, lorsque vous devez vous authentifier à ce service web, celui-ci va demander à votre smartphone de valider votre identifié, ce qui sera effectué avec le(s) capteur(s) biométrique(s) de votre smartphone. Il s’agit d’une solution simple et liée à votre smartphone, remplaçant les solutions avec mot de passe et robuste.
  • U2F : il s’agit essentiellement d’un second facteur d’authentification à l’aide d’une clé de sécurité. Vous devez saisir un nom d’utilisateur + mot de passe, ensuite vous devez valider votre identité avec la clé de sécurité (du type Yubikey). Bien qu’utilisant un mot de passe, cette solution est très robuste, car personne ne peut valider votre identité sans votre clé physique, rendant impossible de se connecter à votre place.

Ces deux solutions renforcent considérablement le niveau de sécurité et sont résistantes au phishing. Elles sont par contre limitées à un smartphone ou une combinaison mot de passe + clé de sécurité. C’est alors que la 3ème solution apporte une vraie réponse au login sans mot de passe et indépendante des appareils avec FIDO2.

FIDO2 : est une solution d’authentification forte, conçue pour être sans mot de passe et disponible sur plusieurs appareils avec un même identifiant. Elle combine la cryptographie à clé publique avec l’authentification biométrique. La clé privée de l’utilisateur reste stockée sur un périphérique, pendant que la clé publique est partagée avec le service auprès duquel ils doivent vous authentifier. Une implémentation du standard FIDO2 est constituée par les passkeys, il s’agit d’un identifiant basé sur une clé publique / privée et authentifié soit par la biométrie, soit par une clé de sécurité physique. L’implémentation des passkeys existe en deux variantes à ce jour:

Les passkeys synchronisés entre des périphériques : c’est le cas en utilisant un stockage cloud (comme iCloud, Google Password Manager ou Microsoft Authenticator). Cette solution est pratique, facile à mettre en œuvre et robuste. Elle permet à plusieurs appareils de vous authentifier par la biométrie (empreinte digitale, reconnaissance faciale) de manière identique, et d’ajouter un nouveau périphérique de manière simple.

Les passkeys liés à une clé de sécurité unique, celle-ci étant partagée entre des périphériques. Cette solution nécessite de disposer d’une clé de sécurité et doit être configurée, elle est moins facile à mettre en œuvre, par contre elle représente le plus haut de degré de protection, car la clé privée de cryptographie ne quitte jamais le périphérique comme l’exige le standard FIDO2. Avec cette variante, le passkey est associé et enregistré sur la clé, il est par conséquent impossible de s’authentifier sans disposer de la clé physique.

A la lecture de ce qui précède, UAF et U2F sont deux implémentations limitées de FIDO2, en ce sens que UAF est lié à un smartphone pour vous authentifier auprès d’un service web, et U2F combine un mot de passe avec une clé phyisique.

Par contre, les passkeys constituent une implémentation ouverte de FIDO2 et se trouve en cours d’adoption sur le marché. Les grands éditeurs (Google, Microsoft, Apple) ont en effet intégrés les passkeys dans leurs solutions.

Pour résumer :

  • Les passkeys permettent une authentification sans mot de passe et partagée entre plusieurs appareils.
  • Les passkeys sont résistants au phishing, au vol et à l’usurpation d’identité.
  • La variante des passkeys synchronisés est davantage utilisé à titre personnel par sa simplicité de mise en œuvre.
  • La variante des passkeys liés à une clé de sécurité est davantage utilisée en entreprise par le niveau maximum de sécurité assuré.

Une véritable simplification pour les utilisateurs

En terme d’expérience utilisateur, les passkeys représentent l’implémentation la plus aboutie de login sans mot de passe. Par exemple, pour se connecter à Google, il suffit de saisir son e-mail, puis de valider la clé de sécurité (un code PIN peut être demandé pour protéger la clé de sécurité).

  • L’expérience est fluide, rapide et adaptée à l’utilisation de plusieurs appareils (smartphone, PC, tablette).
  • Il n’y a plus de mot de passe à créer, à changer, à réactiver et à saisir.
  • Il n’y a plus de risque de vol d’identité et de phishing pour les comptes configurés avec un passkey.
  • L’authentification associe l’appareil qui stocke le passkey, qui ne peut alors pas être copié, transmis à un tiers ou imité.
  • Les identifiants peuvent être utilisés sur de systèmes d’exploitation ou des browsers différents.

Il existe également des clé de sécurité avec une reconnaissance biométrique intégrée, ce qui combine une clé physique + la biométrie, donc « quelque chose que vous possédez » et « quelque chose que vous êtes ». La reconnaissance biométrique est traitée par la clé, qui n’échange jamais vos empreintes ou identifiants hors de la clé.

Si vous utilisez un gestionnaire de mot de passe pour maîtriser des dizaines de logins, vous pouvez également y stocker vos passkeys ou les TOTP (mot de passe basé sur le temps). Ce qui peut être une solution élégante pour centraliser vos mots de passe et vos passkeys / TOTP.

La cybersécurité dispose à présent des standards, des solutions techniques et se déploie progressivement. Les grands acteurs du marché s’investissent dans ces solutions, ce qui est une condition essentielle pour leur adoption à grande échelle. Il reste encore les acteurs de plus petite taille qui doivent intégrer les passkeys dans leurs développements. Ce qui va prendre encore quelques années et va progressivement créer deux familles d’applications : les applications sécurisées et résistant au phishing, et d’autre part les applications toujours exposées aux risques de phishing.

Le patchwork des solutions d’authentification commence à avoir moins de couleurs et de tissus différents, devenant plus homogène et cohérent dans son utilisation. Afin de favoriser l’adoption des passkeys, n’hésitez pas à les configurer lorsqu’une application vous propose de créer un passkey pour vous authentifier. Vous augmenterez votre propre sécurité et celle de l’application en question.

Prochainement

Nous venons de voir comment les passkeys simplifient les login et sont résistant au phishing.. Dans notre prochain article, nous allons aborder les risques majeurs de cybersécurité pour les PMEs..

Rédigé par Michel Sauty

Consultant Sénior IAM

Découvrez nos services

Login sans mot de passe pour renforcer votre sécurité

par | Sep 18, 2024 | Authentification

Nous sommes confrontés au quotidien à la nécessité de se connecter à nos ordinateurs et smartphones, et en même temps au risque croissant de cyber-attaques pouvant tous nous concerner.

AU SOMMAIRE DE CET ARTICLE

Le login à nos PC est fasitidieux si nous voulons utiliser un mot de passe robuste et, en même temps, nos mots de passe constituent la première cible de cyber-attaques.

Un mot de passe identifié par un hacker devient un risque majeur pour nos données, nos applications et les données que nous partageons avec d’autres utiliateurs. Nous allons voir comment le Login sans mot de passe nous protège et améliore notre sécurité.

Limites des login avec mot de passe

Complexité des mots de passe

Hive Systems a démontré depuis 2020 qu’un mot de passe peut être trouvé à l’aide de la puissance de calcul d’un processeur graphique du commerce. Par exemple pour un mot de passe de 8 caractères ils donnent les temps suivants selon leur complexité :

  • Chiffres seuls : en 37 secondes
  • Lettres minuscules : en 22 heures
  • Lettres majuscule/minuscule : en 8 mois
  • Chiffres + lettres majuscule/minuscule : en 3 ans
  • Chffres + lettres majuscule/minuscule + caractères spéciaux : en 7 ans

Il ressort de leur étude qu’un mot de passe peut résister aux hackers en 2024. Pour cela, il devrait être composée de 13 caractères minimum avec une combinaison de chiffres + lettres majuscule/ minuscule + caractères spéciaux (#, $, ^, …). Il nécessiterait alors  11 milliards d’années de calcul.

La complexité du mot de passe est donc le premier critère pour être résistant aux hackers.

    Algorithme de hachage

    L’étude de Hive Systems en 2024 a mis en évidence un second critère : l’algorithme de hachage. Par exemple un mot de passe de 8 caractères (chiffres + lettres majuscule/minuscule + caractères spéciaux) serait trouvé :

    • en 1 seconde avec l’agorithme MD5.
    • en 5 jours avec l’algorithme bcrypt.

    Hachage : algorithme utilisé pour convertir le mot de passe saisi en une chaîne codée de texte. Par exemple le mot de passe « MonMotdePasse2024 » génère le code « E3F8B8436A2ED35AE3A4AFC82BB421E9 » avec l’algorithme MD5. Ce code est non réversible, ce qui signifie qu’il n’existe pas d’algorithme pour obtenir le mot de passe en clair à partir du code et c’est ce code qui est stocké.

    L’algorithme bcrypt est conçu pour mettre plus de temps à convertir le mot de passe. Il est donc plus résistant aux techniques dites de force brute. Par contre l’algorithme SHA-256 est conçu pour être plus rapide à convertir un mot de passe, il sera privilégié par les applications nécessitant de fréquentes saisies de mot de passe.

    Le calcul du temps nécessaire à trouver un mot de passe dépend donc de sa complexité et de l’algorithme de hachage utilisé dans nos applications.

    Les mots de passe sont vulnérables

    Dans la réalité de tous les jours, les mots de passe sont clairement vulnérables. Ils sont trop courts ou utilisent des séquences de lettres ou chiffres identifiables instantanément. Si vous gérez plusieurs dizaines de mots de passe, comme la moyenne des utilisateurs, il est fréquent de réutiliser un mot de passe pour plusieurs comptes ou de faire varier un mot de passe avec une séquence de chiffre que l’on incrémente à chaque modification.

    En résumé, il est possible d’utiliser des mots de passe forts et résistants aux hackers. Mais il n’est tout simplement pas réaliste de déverrouiller son PC avec un mot de passe complexe plusieurs dizaines de fois par jour.

    Solutions de login sans mot de passe

    Solution de login sans mot de passe

    Les solutions de login sans mot de passe sont aujourd’hui supportées par le système d’exploitation de votre PC (Windows ou Mac OS) et de vos smartphones (Android ou IOS). Leur activation dépend du matériel : PC, capteur ou caméra.

    Les solutions de login sans mot de passe s’appuient sur 3 types de solution pour vous authentifier :

    • Ce que vous connaissez : un code PIN ou un schéma (mouvement à réaliser sur une image).
    • Ce que vous êtes: vos empreintes digitales, votre visage ou vos iris.
    • Ce que vous possédez: une clé de sécurité ou un badge.

    Il s’agit de solutions de login pour ouvrir une session sur un PC ou déverrouiller une session active. Il ne faut pas les confondre avec les solutions d’authentification dans vos applications en local ou en web. Celles-ci vont être complétées de facteurs supplémentaires (MFA) ou de solutions plus élaborées permettant de partager un login avec plusieurs applications (SSO).

    Solution Code PIN / Schéma

    Ces solutions de login vous donnent accès à une session sur votre PC et implicitement à votre compte Windows. Cette distinction entre la session et le compte a son importance pour les deux solutions utilisant le code PIN ou le schéma.

    En effet, le code PIN n’est pas une simplification du mot de passe avec un code numérique à 6 chiffres, qui pourrait sembler moins robuste qu’un mot de passe. Le code PIN utilise un credential stocké sur votre PC (Trusted Platform Module basé sur un chip matériel), celui-ci est ensuite utilisé pour vous authentifier à votre compte. Il est donc fiable et ne peut pas être utilisé sur un autre PC.

    Solutions bio-métriques

    Login bio-métrique

    Les solutions bio-métriques sont les plus simples d’utilisation, car réellement sans saisie, et personne ne peut les utiliser à votre place. Ces solutions nécessitent une configuration pour capturer vos empreintes ou numériser votre visage, qui sont ensuite stockés de manière sûre sur votre PC, votre smartphone ou directement sur le capteur.

    Les solutions avec reconnaissance d’empreinte digitale sont aujourd’hui courantes, il faut toutefois s’assurer dans le cas de capteur externe qu’il utilise la technologie “Match on Chip” et le protocole SDCP. Ce qui assure que les empreintes soient traitées en interne au capteur et que la communication avec le PC soit sécurisée. Pour l’anecdote, ne pas oublier de configurer au moins 2 empreintes de chaque main, ce qui peut être utile en cas de blessure à un doigt.

    Les solutions avec reconnaissance faciale utilisent une caméra avec infrarouge, ce qui permet de travailler dans des conditions d’éclairage mauvaises et empêche l’usurpation d’identité à partir d’une photo. Leur utilisation permet par exemple de déverrouiller un PC sans retirer ses lunettes, ce qui rend le système rapide et fluide.

    Solutions clé de sécurité ou badge

    Clé de sécurité

    Les clés de sécurité ou badge sont les solutions les plus robustes et les plus flexibles. Une clé de sécurité, type Yubikey, est un composant matériel que vous insérez dans un lecteur USB ou que vous connectez en NFC. Il s’agit d’une clé matérielle, au même titre que la clé de votre habitation, sans la clé vous ne pouvez pas vous connecter à votre PC. La même clé peut être utilisée pour plusieurs PC, et il existe une version bio-métrique de ces clés que vous pouvez déverrouiller avec vos empreintes digitales. Elle permettent de stocker des credentials et supportent de plus les protocoles FIDO2, U2F, Smart Card, OpenPGP ou OTP ce qui permet de les utiliser pour s’authentifier dans des applications ou sur le web en tant que facteur multiple.

    En résumé, pour vous affranchir du login avec mot de passe, vous avez 3 approches :

    • Code PIN ou schéma : efficace et rapide si vous utilisez votre PC à la maison.
    • Empreinte digitale ou reconnaissance faciale : efficace et rapide également en déplacement, n’ayant pas à exposer vos mots de passe ou votre code PIN aux regards indiscrets.
    • Clé de sécurité : robuste et portable d’un PC à un autre, de plus extensible aux authentifications MFA.

    Simplification et renforcement de la sécurité

    A l’emploi, les solutions sans mot de passe apportent une vraie simplification pour l’utilisateur. Il n’est plus nécessaire de se rappeler un mot de passe complexe, qu’il faudra changer une fois par mois ou par trimestre. De plus le temps de login s’en trouve réduit et l’expérience utilisateur beaucoup plus fluide.

    Les protocoles utilisés par chaque solution améliorent grandement la sécurité du login à un PC, s’appuyant sur des standards matériel et d’authentification qui rendent encore plus difficile à un hacker de contourner le login. Nous quittons ainsi le débat sur le temps pour craquer un mot de passe, pour entrer dans un environnement apportant une réelle simplification et une sécurité accrue.

    La tendance du marché va clairement dans la direction du login sans mot de passe, mais comme tout changement, cela prendra plusieurs années. Il faut en effet faire évoluer le matériel, leur configuration et les habitudes. Le changement d’habitudes étant le plus délicat, il suffit de se rappeler le débat pour passer au passeport bio-métrique et les peurs que cela a généré lors de sa mise en oeuvre.

    Prochainement

    Nous venons de voir comment le login sans mot de passe simplifie le login utilisateur et renforce la sécurité. Dans notre prochain article, nous allons présenter comment étendre l’authentification sans mot de passe à vos applications en local en en web, tout en renforçant la sécurité d’accès.

    Michel Sauty

    Rédigé par Michel Sauty

    Consultant Sénior IAM

    Découvrez nos services