Pourquoi il ne vaut mieux pas mettre fin au mot de passe

Atlantico : Yahoo lance un nouveau mode d'authentification : Yahoo Account Key pour son application mail.  L'authentification passera désormais par les notifications push. Quels sont les avantages et les défauts de ce nouveau mode d'authentification ?

Frédéric Mouffle : Ce n'est pas quelque chose de révolutionnaire, c'est juste une façon pour les utilisateurs de se connecter plus vite. Lorsqu'on configure un compte Yahoo via son Smartphone, le mot de passe est déjà préenregistré. Cela dit, le fait que l'utilisateur n'ait plus qu'à cliquer sur un bouton pour valider l'accès à sa boite mail reste très insuffisant en terme d'authentification.

Il existe des risques liés à ce type d'authentification. En cas de perte du téléphone, si la sécurisation n'est pas optimale, n'importe qui peut demander l'accès à votre boite mail. Si l'accès aux notifications est visible sur le téléphone, elle peut être vue par quelqu'un, et du coup arriver à avoir accès à votre boite mail.

On nous fait croire que cela est plus sécurisant mais finalement c'est un moyen pour eux de palier à de grosses problématiques de piratages de boite mails, pour lesquelles ils sont obligés de mettre énormément de moyens financiers et techniques.  Si demain nous n'avons plus de mot de passe à taper, c'est juste une façon de réduire leurs coûts en prétextant que c'est mieux pour la sécurité.

Quelles sont les dernières innovations en termes d'authentification ?

Il existe plusieurs formes d'authentification : par empreinte, par mot de passe, par lecture du visage… Mais l'usage d'un mot de passe fort reste la meilleure des sécurités. Si on veut augmenter la sécurité, une double authentification est une option intéressante. Par exemple, cette fameuse authentification push proposée par Yahoo liée à un mot de passe.

La seule sécurité reste dans la multiplication des authentifications car il a été prouvé que toutes les formes d'authentifications sont vulnérables : les empreintes, les slides, les mots de passe en eux-mêmes lorsqu'ils sont trop simples.

Aujourd'hui les tentatives de récupération de mot de passe  par les cybercriminels, se font uniquement par un système de fishing. Les cybercriminels font croire aux utilisateurs qu'ils sont sur une vraie page internet alors que non : l'utilisateur entre son mot de passe, les criminels le récupèrent. Cette technique de hacking montre bien qu'au final il est compliqué d'aller casser une identification, car 99% des criminels récupèrent les mots de passe directement de l'utilisateur, alors que s'attaquer à un serveur Yahoo ou autre est très technique. L'authentification par notification push peut éviter ces problématiques de fishing

Va-t-on vers la fin du mot de passe traditionnel ?

Il faut faire attention aux sociétés comme Yahoo qui ont de puissants organes de communication et d'influence à travers le monde. Aujourd'hui on vous dit qu'on aimerait aller vers la fin du mot de passe, mais pour le moment il n'est pas sérieux d'imaginer que cela va disparaitre à court terme.

Le mot de passe a encore sa place, et ce pendant longtemps, car la meilleure sécurité reste celle que vous avez dans votre tête. Aujourd'hui les consommateurs veulent se connecter toujours plus vite. On est partagé entre la sécurité, et faire en sorte que l'accès aux plateformes soit rendu rapide et facile. On met la sécurité de côté pour favoriser un accès plus performant.

On ne dispose pas de statistiques précises sur le nombre de personnes qui se font pirater leurs boites mails chaque année et qui éventuellement changerait de service mail.

En quoi une authentification rapide et efficace est-elle importante ?

Plus vite l'internaute est sur sa page, plus vite il a accès aux contenus commerciaux. Il a été démontré que plus l'accès est facile à l'application plus elle sera utilisée.  La différence du temps de connexion, représente de l'argent ;  la différence entre une personne qui met 15 secondes et s'authentifier et une autre qui ne mettrait que 2 secondes à un impact économique fort. Au-delà de l'innovation  que propose Yahoo, il y a systématiquement derrière un aspect économique. Si la mise en place de l'authentification par notification push n'est pas rentable, même si au niveau de la sécurité elle apporte quelque chose, Yahoo ne le fera pas.