Le 29 octobre 2019 marquera le 50e anniversaire de la toute première transmission réalisée sur l’ARPANET, ancêtre de notre Internet actuel, en 1969. A l’aube de cette échéance, les controverses concernant la protection de la vie privée et la sécurité en ligne abondent. Bien que le problème de l’authentification ne soit pas nouveau, il a pris de l’importance ces dernières années, car de nombreuses atteintes très médiatisées à la protection des données ont été attribuées à la compromission d’un même type d’informations : la combinaison d’un nom d’utilisateur et d’un mot de passe. Le problème est aggravé par la pratique très risquée, mais relativement courante, qui consiste à stocker ces identifiants dans des bases de données centrales facilement accessibles, devenues des cibles faciles à infiltrer pour des pirates informatiques de plus en plus qualifiés. Nouvelle preuve, s’il en fallait, que les mots de passe on fait leur temps.

Il y a toutefois de bonnes nouvelles dans ce domaine. Les plus grandes organisations mondiales se réunissent pour élaborer des normes qui visent à remplacer l’authentification faible par mot de passe par une authentification matérielle forte, en intégrant notamment des technologies telles que la biométrie.

Une alternative sûre aux mots de passes toujours trop présents

Malgré une prise de conscience croissante de l’inadéquation des mots de passe – en effet, plus de 2,3 milliards de mots de passe ont été volés au cours de l’année écoulée – ils restent omniprésents dans la sécurité numérique. À tel point que l’humanité passe au total l’équivalent de 1 300 années à saisir ces mots de passe chaque jour. Force est de constater que les développements technologiques dépassent les processus d’authentification, et les récentes cyberattaques dévoilées confirment le retard des infrastructures de sécurité. Des méthodes d’authentification beaucoup plus sûres, parmi lesquelles figure la biométrie, sont désormais à la portée des consommateurs qui accèdent aux services en ligne. Cela peut renforcer leur sécurité et la protection de leur vie privée, tout en améliorant l’expérience utilisateur.

En pratique, un utilisateur fait glisser un doigt, prononce une phrase, regarde un objectif, ou appuie sur le bouton d’un système d’authentification matériel pour se connecter, payer un article, ou utiliser un service en ligne. Cette vérification de l’utilisateur est utilisée comme un facteur initial, pour ensuite déverrouiller un deuxième facteur plus sûr : une clé cryptographique privée qui authentifie l’utilisateur au service. Comme les données biométriques et clés cryptographiques sont stockées sur des dispositifs locaux, et ne sont jamais envoyées sur le réseau – éliminant ainsi les secrets partagés – les identifiants des utilisateurs sont sécurisés, même si les fournisseurs de services sont piratés, ce qui empêche les violations de données à grande échelle.

Un facteur de simplification du parcours utilisateur

Au cours de l’année 2019, la biométrie contribuera de plus en plus à la simplification de l’expérience client en matière d’authentification en ligne. La nouvelle version de 3D Secure, par exemple, sera entièrement adaptée aux appareils mobiles, et permettra la mise en œuvre de technologies d’identification biométrique sécurisée telles que les empreintes digitales, la lecture de l’iris et la reconnaissance faciale. Plus les consommateurs seront à l’aise avec l’authentification biométrique, plus les limites et les inconvénients des mots de passe deviendront évidents. Quoique bien accueilli, ce développement impose à l’industrie de se rallier à des normes techniques et aux meilleures pratiques établies, ainsi qu’à la réglementation émergente autour de cette technologie.

Soutien à la mise en conformité

Les banques au sein de l’UE sont tenues de se conformer aux exigences d’authentification forte du client (Strong Customer Authentication, ou SCA) prévues dans la directive sur les services de paiement (DSP2) d’ici septembre 2019. Nous assisterons inévitablement, dans le cadre de leur mise en conformité, à un investissement accru des banques dans l’authentification forte et notamment dans la biométrie.

En outre, la capacité des plateformes en ligne à tirer parti des protocoles d’authentification forte devrait contribuer à faire de la SCA la règle plutôt que l’exception : La prise en charge d’une authentification forte standardisée dans l’ensemble des navigateurs web, ainsi que dans Windows 10 et Android, laisse envisager que l’authentification forte continuera à se déployer vers des millions de nouveaux utilisateurs d’Internet cette année.

Bien qu’il reste encore beaucoup à faire, on peut espérer que le 50e anniversaire d’Internet marquera l’adoption généralisée de l’authentification forte moderne, améliorant considérablement la confidentialité, la sécurité et l’expérience de l’utilisateur dans ce processus.