Lorsqu'une récente nouvelle a circulé au sujet de milliards de mots de passe divulgués sur Internet, les administrateurs informatiques du monde entier ont probablement poussé un soupir de désespoir.
Le vol d'identifiants reste une demande d'authentification majeure pour les entreprises. Dans ce cas, plusieurs rapports ont indiqué que cette exposition signalée n'est probablement qu'un ensemble d'identifiants précédemment compromis. Mais que les identifiants soient nouveaux ou non, l'incident rappelle brutalement à quel point le vol d'identifiants est omniprésent et l'importance de fournir d'autres formes d'authentification.
L'identité est la pierre angulaire de la sécurité à l'ère de l'IA, des services cloud, des architectures distribuées et des équipes à distance. Il ne devrait pas être surprenant pour la plupart que les identités des utilisateurs soient une cible principale des attaquants. Dans le dernier rapport d'Okta sur les tendances en matière d'identité client, les recherches ont révélé que 32 % des personnes interrogées étaient « très préoccupées » par la fraude d'identité. De plus, en 2024, en moyenne 46 % de toutes les tentatives d'inscription sur la Auth0 platform répondaient aux critères d'une attaque d'inscription. La proportion médiane des tentatives de connexion quotidiennes présentant un comportement malveillant évident était de 16,9 %.
Alors que les attaquants tourbillonnent, de nombreux utilisateurs ne se facilitent pas la vie. Près de 7 consommateurs sur 10 (68 %) ont admis réutiliser le même mot de passe pour plusieurs comptes, 53 % expliquant que les mots de passe uniques étaient trop difficiles à mémoriser. Cette réalité met les Enterprise dans une impasse. D'un point de vue de la sécurité, les mots de passe — même uniques et forts — sont considérés comme difficiles à retenir et restent la cible des hameçonneurs et des voleurs d'informations. Cependant, ils demeurent omniprésents et populaires auprès des consommateurs.
"« Les vieilles habitudes ont la vie dure », déclare Chitra Dharmarajan, Vice-présidente de l'ingénierie de la sécurité et de la confidentialité chez Okta. « Les utilisateurs ont des décennies d'expérience avec les mots de passe. » Saisir un mot de passe semble simple et familier.
Elle a ajouté que cette familiarité s'accompagne d'un compromis potentiel. Les mots de passe sont moins sécurisés et plus faciles à pirater que les autres méthodes d’authentification. Les mots de passe faibles peuvent être attaqués par force brute, et le phishing est à la fois omniprésent et de plus en plus sophistiqué. Même avec l’authentification multifactorielle (MFA), qui offre une protection supplémentaire, des techniques telles que les attaques de fatigue MFA et les attaques Adversary-in-the-Middle (AiTM) peuvent permettre aux attaquants de la contourner. Les attaques de connexion par force brute restent une menace. Selon les données du dernier rapport sur les tendances de l'identité client, bien que les attaques d'authentification multifacteur soient en baisse, la proportion médiane quotidienne d'Événements d'authentification multifacteur sur la plateforme Auth0 jugés malveillants était de 7,3 %.
« L'authentification multifacteur (MFA) réduit le risque d'usurpations de compte (ATO) et peut agir comme un avertisseur dans une mine de charbon », déclare Dharmarajan. « Les invites d'authentification multifacteur non sollicitées peuvent indiquer qu'une attaque est en cours. »
Cela peut sembler une maigre consolation pour quiconque s'est fait voler son mot de passe.
« Tant que les mots de passe restent courants, les utilisateurs et les entreprises doivent prendre certaines mesures pour réduire le risque de compromission des comptes », déclare-t-elle. « Ne pas réutiliser les mots de passe est une règle, et choisir des mots de passe forts avec 12 caractères ou plus en est une autre. » Évitez d'utiliser des mots du dictionnaire et des chiffres séquentiels comme 1234, et mélangez les types de caractères : des lettres majuscules et minuscules, des symboles, etc.
L'application de ces règles incombe aux systèmes de gestion des mots de passe et aux employés du service d'assistance.
« Pensez au temps que les services d'assistance consacrent uniquement à réinitialiser les mots de passe », ajoute-t-elle.
Un monde sans mot de passe.
Dharmarajan affirme que pour inciter les utilisateurs à essayer quelque chose de différent, il faudra se concentrer sur la sensibilisation des utilisateurs et l'expérience utilisateur. Les utilisateurs doivent savoir qu'une approche sans mot de passe sera transparente et sécurisée, et peut potentiellement les protéger des brèches de données dont ils entendent souvent parler.
Cependant, il reste encore du travail à faire pour convaincre les consommateurs dans leur parcours vers une approche sans mot de passe. Le rapport Tendances de l'identité client a révélé que 73 % des personnes interrogées considéraient les mots de passe comme « pratiques » (33 %) ou « très pratiques » (40 %). Parallèlement, le nombre de personnes qui partageaient le même avis concernant la technologie biométrique d'empreinte digitale et FaceID était plus faible, les personnes interrogées de la génération des baby-boomers et de la génération X les évaluant moins favorablement que les personnes de la génération Z et les milléniaux. Cependant, 71 % des répondants dans l'ensemble ont estimé que les empreintes digitales constituaient une méthode de connexion « très sécurisée » ou « sécurisée », et 62 % ont exprimé la même opinion concernant FaceID.
Les chiffres montrent que de nombreux consommateurs sont ouverts à l'authentification sans mot de passe. Dans les environnements Enterprise, les dirigeants devraient adopter une approche progressive pour l'adoption interne, en se concentrant sur les applications individuelles. Avant de déployer des technologies sans mot de passe, vous devriez commencer par poser quelques questions clés, explique Dharmarajan.
« Existe-t-il un fournisseur d'identité centralisé capable de gérer l'authentification unique (SSO) pour chaque application de l'Enterprise ? » Le provisionnement et le déprovisionnement des utilisateurs peuvent-ils être automatisés ? Les mêmes identités et privilèges resteront-ils en place lorsqu'une nouvelle méthode d'authentification sera introduite ? « Il faut répondre à ces questions avant de pouvoir continuer », dit-elle
Les solutions sans mot de passe doivent également s'intégrer aux systèmes hérités.
« Les dirigeants d'Enterprise devraient s'efforcer d'adopter plus largement les technologies sans mot de passe dans l'ensemble de l'entreprise », ajoute-t-elle
Qu'il s'agisse de consommateurs ou d'employés d'une entreprise, obtenir le support aux méthodes sans mot de passe nécessitera de se concentrer sur l'éducation et l'expérience utilisateur. Tout ce qui augmente trop la friction pour l'utilisateur sera rejeté. Selon le rapport sur les tendances de l'identité client, près d'un quart des personnes interrogées ont déclaré qu'elles abandonnent « toujours » ou « souvent » leurs achats en ligne lorsqu'elles rencontrent des problèmes d'inscription ou de connexion, et 40 % ont déclaré qu'elles le font « parfois ».
« En tant que responsables de la sécurité, nous observons souvent une tension entre une sécurité robuste et une expérience utilisateur fluide », déclare Dharmarajan « Toutefois, l'adoption généralisée de pratiques plus sûres dépend de la réduction des frictions. » Notre objectif doit être de concevoir des solutions de sécurité intrinsèquement faciles à utiliser, faisant du choix le plus sûr le chemin de moindre résistance pour nos consommateurs.
Lisez le Customer Identity Trends Report 2025 complet pour obtenir plus d'informations sur l'hygiène des mots de passe, les expériences d'inscription et de connexion, et les menaces auxquelles l'identité client est confrontée aujourd'hui.
