Pour ce tout premier rendez-vous 2022, l’authentification était à nouveau au cœur des débats! En effet après plusieurs échanges organisés en 2021 autour de solutions dites « passwordless » (biométrie, …), et les premiers enseignements tirés (robustesse cybersécurité & antifraude, niveau d’adoption, ergonomie et parcours, client, capacité d’intégration SI, enjeux règlementaires, …) l’association a cette fois proposé à ses adhérents une présentation concernant une solution … »passwordfull »! Faut-il du coup comprendre que le passwordless n’est finalement pas la panacée et qu’il vaut mieux revenir à des techniques (usage de mots de passe) que beaucoup décrivent comme dépassées ? Non le message n’est bien évidemment pas celui-là.
Il est clair que l’authentification par mots de passe « a la peau dure », ce qui n’empêche pas pour autant certains adhérents Ocssimore de s’engager sur des projets leur permettant in fine d’exclure les mots de passes de certains parcours. En effet ce type d’authentification a ses limites:
- Le choix du mot de passe d’abord, laissé à la main de l’utilisateur, doit avoir une entropie suffisante. Mais comme on peut l’imaginer, cette notion d’entropie reste éloignée des préoccupations de l’utilisateur qui reste plutôt concentré sur le temps qu’il perd à le choisir, à se le remémorer, à le saisir, à le réinitialiser
- L’outillage disponible pour gérer ses mots de passe est ensuite insuffisant. Certes, les gestionnaires de mot de passe sont légion, mais leur ergonomie et leur accessibilité très moyennes, leur capacité à supporter le multi-device et le renouvellement / la perte de l’un d’eux, … limitent de facto leur utilisation à une sphère de connaisseurs.
- Enfin un mot de passe se subtilise en profitant d’une architecture vulnérable, d’un utilisateur facilement manipulable etc…
En repartant de ce constat, la société UpSignOn propose donc un gestionnaire de mot de passe qui innove sur plusieurs points : simple, abordable, supervisé et auto-hébergé !
1. Sécurité
L’accès à un coffre de mots de passe est sécurisé par un « méta mot de passe » à renseigner via un terminal qui doit par ailleurs avoir été dument habilité à accéder au coffre. Les mots de passe sont chiffrés dès leur création en local sur le terminal (sur la base d’un dérivé du méta mot de passe de l’utilisateur) puis persistés ainsi protégés sur un serveur distant (propre à l’organisation cliente et sans intermédiaire, en environnement cloud ou on premise)
2. Expérience utilisateur
L’interface utilisateur a été conçue en collaboration avec des ergonomes spécialistes de l’inclusion numérique afin de favoriser un usage le plus large possible, d’autant que l’offre d’UpSignOn est entièrement gratuite pour un usage par le particulier (disponible sur tous les stores mobiles et extensions navigateur) et à un coût plus qu’accessible pour une organisation.
Quant aux fonctions standards (déverrouillage biométrique, synchronisation PC/mobile/tablette, saisie automatique des identifiants, partage sécurisé entre utilisateurs autorisés, …), elles sont bien évidemment disponibles.
3. Sensibilisation client
Au sein de l’interface, plusieurs pictogrammes permettent de sensibiliser l’utilisateur à la force de ses mots de passe. Les règles pilotant l’affichage de ces pictogrammes font d’ailleurs l’objet d’un important travail de recherche de l’entreprise pour exploiter l’ensemble des critères déterminant la force d’un mot de passe à un instant T: entropie certes, mais aussi niveau de réutilisation entre différents comptes (mauvaise pratique la plus largement répandue) ; à court termes, cette évaluation sera enrichie de l’ « âge » du mot de passe, et de la présence (du mot de passe, ou du compte qu’il sécurise) dans les collections d’informations personnelles ayant fuité sur le web,…
4. Pilotage de la sécurité
Le pilotage de la stratégie de mots de passe au niveau d’une entreprise utilisant UpSignOn est possible grâce à la mise à disposition des référents SSI d’une interface d’administration permettant d’apprécier la robustesse des mots de passe des collaborateurs de l’entreprise sans pour autant compromettre ni la confidentialité des mots de passe, ni la vie privée de l’utilisateur: En effet les analyses auxquelles ont accès les responsables sécurité ne nécessite à aucun moment le déchiffrement des mots de passe.
5. Supervision des usages
Enfin, plusieurs cas d’usages typiques d’un environnement professionnel sont rendus possibles sans compromettre ni la sécurité, ni l’expérience client : la communautarisation d’un mot de passe associé à un compte de service / partagé, la délégation d’un accès (temporaire ou permanent) à un tiers, la suppression d’un accès depuis un terminal, ou encore le partage d’un secret permettant de déchiffrer une pièce jointe chiffrée envoyée par mail, …
En bref donc, une solution qui casse les codes (sans jeu de mots bien sûr…) du gestionnaire de mot de passe, avec une feuille de route résolument orientée cas d’usage, et qui a déjà convaincu certains adhérents d’étudier un projet de déploiement.
En attendant la suite, pour en savoir plus :
https://upsignon.eu/ Contact: Paul LATOURNERIE (paull@upsignon.eu) – CEO
Travaux Ocssimore sur l’authentification : mederic.collas@i-bp.fr