Pourquoi la Journée mondiale du mot de passe devrait être la dernière

Pourquoi les mots de passe sont plus que jamais une sécurité faillible, et explique comment les utilisateurs peuvent se protéger contre les attaques de phishing ?

Alors que la croissance d’Internet se poursuit mondialement, et les nouvelles technologies émergentes comme l'IA prenant de plus en plus d’importance, la portée et la sophistication des cyberattaques progressent de pair. En conséquence, les traditionnels noms d'utilisateur et mots de passe ne sont plus suffisants pour garantir la sécurité - cependant, ils demeurent l'une des formes d'authentification les plus largement utilisées à l'échelle mondiale. Ce qui rend leur utilisation persistante étonnante, c'est qu'ils sont pourtant largement décriés, tant par les utilisateurs que par les professionnels de la cybersécurité.

Dans certains cas, les utilisateurs ont tendance à choisir des mots de passe faibles ou à les réutiliser sur plusieurs comptes, ce qui augmente le risque de compromission des données en cas de cyberattaque réussie. A l’inverse, ils sont complexes et plus régulièrement mis à jour comme recommandés dans le cadre des bonnes pratiques, mais dans ces cas-là, ils sollicitent davantage la mémoire des utilisateurs et ont de fait un impact direct et négatif sur leur expérience, voire amènent à de mauvaises pratiques de sécurité, comme le fait de les noter sur un post-it.  

Les attaques par phishing, au cours desquelles les cybercriminels tentent de voler les identifiants en piégeant leur cible ou par le biais d’ingénierie sociale, sont le point de départ de nombreuses cyberattaques. Une fois qu'un mot de passe est compromis, les acteurs malveillants peuvent contourner avec succès de nombreuses formes d'authentification multi-facteurs (MFA) comme les codes à usage unique (OTP) envoyés par SMS. Une protection fiable contre les cyberattaques modernes nécessite donc une authentification multi-facteurs moderne, résistante au phishing. Les clés de sécurité matérielles font aujourd’hui partie des moyens de lutter efficacement contre les cybermenaces, car elles procurent aux utilisateurs une couche supplémentaire de sécurité en nécessitant la possession physique de l'appareil pour accéder aux comptes en ligne, ce qui rend la tâche des cybercriminels considérablement plus difficile.

La transition que doivent opérer les utilisateurs pour moderniser leurs solutions d’authentification et tendre vers un monde sans mot de passe est aujourd’hui possible, facilitée par des dispositifs compatibles avec les protocoles modernes et aboutis, tels que FIDO2 ou WebAuthn. Ces deux standards permettent en effet une authentification sans mots de passe via la biométrie, un terminal mobile ou encore des clés de sécurité, assurant un niveau de sécurité maximal. Alors que des milliards d'identifiants volés sont aujourd’hui disponibles sur le Dark Web et que les cybercriminels lancent des tentatives de connexion automatisées à l’aide de mots de passe compromis, il est temps de tirer définitivement un trait sur ces derniers, véritables vecteurs de vulnérabilités, et de faire évoluer les pratiques de sécurité.