Et si on se passait (enfin) de mots de passe grâce à Microsoft 365 ?
Dès fin février, Microsoft 365 consolidera l’authentification à ses services. Ce renforcement permettra de sécuriser encore plus les applications Cloud du géant. Mais derrière cette mesure de sécurité se cache un but plus radical. Microsoft vise tout simplement à faire d’une pierre deux coups. Et vous permettre de vous passer (enfin) de mots de passe. Explications.
La double authentification nous est maintenant familière. En plus de saisir notre mot de passe, nous sommes amenés à valider notre identité par un second moyen. Il peut s’agir d’un code généré par une application mobile, ou d’une validation de connexion, toujours via le smartphone. Mieux, on peut aussi vous demander de fournir un paramètre biométrique, tel qu’une empreinte digitale, ou de reconnaître votre visage ou l’iris de vos yeux.
Microsoft résume très bien la combinaison de ces facteurs. Votre authentification nécessitera d’une part de fournir quelque chose que vous savez – votre mot passe. Et de la compléter par un autre facteur : quelque chose que vous possédez comme votre smartphone ou votre ordinateur, ou quelque chose qui vous est propre – un paramètre biométrique par exemple.
Microsoft 365 change la donne
En y regardant de plus près, la double authentification pourrait tout simplement se cantonner à combiner ces deux dernières catégories. Et oublier la première : votre mot de passe. Vous avez bien lu : l’objectif ici est de tout simplement ne plus avoir à utiliser de code secret pour s’authentifier. A terme, une identification consistera uniquement à fournir quelque chose qui vous est propre et quelque chose qui vous appartient.
Plus qu’un renforcement, c’est un changement de modèle d’authentification
Pour préparer le terrain, Microsoft imposera donc dès la fin du mois la saisie d’un code à usage unique en complément d’une approbation dans son application Microsoft Authenticator. Mais il y a mieux encore : vous pourrez décider de sélectionner cette approbation dans Authenticator comme premier facteur d’authentification, pour peu que vous activiez la reconnaissance biométrique – faciale ou digitale.
Concrètement, vous ouvrez une des applications Microsoft 365. Celle-ci vous affiche un code à deux chiffres généré aléatoirement. Votre smartphone vous lance alors une demande d’authentification, que vous ne pourrez approuver qu’en saisissant le code affiché. L’approbation est alors complétée par une reconnaissance faciale par exemple. Vous avez bien combiné deux facteurs d’authentification. Mais vous n’avez pas saisi le moindre mot de passe. Génial, non ?
L’histoire se répète
Comme souvent, Microsoft a fait preuve d’une habilité et d’une réactivité incroyables pour prendre le lead dans un domaine où l’éditeur était malmené. Et ça n’est pas une nouveauté dans l’histoire de l’informatique. Dans les années 90, Bill Gates ne croyait pas dans l’Internet. Il avait dû prendre un virage à 180 degrés, et Windows 95 était né, avec le succès qu’on lui connaît. Idem pour Internet Explorer : longtemps le navigateur Microsoft était à la traîne face à Netscape et Firefox. Mais à force d’investissement, il les a surclassés.
En matière de sécurité, Microsoft a longtemps fait office de mauvais élève. Windows était réputé pour être mal protégé et truffé de vulnérabilités. Evidemment, quand on produit le système d’exploitation le plus répandu au monde, on est plus exposé que les autres. Quant à la faible protection, les mauvaises langues – ou les plus clairvoyants – diront qu’elle faisait partie du plan pour inonder le marché.
Microsoft a longtemps eu mauvaise réputation en termes de sécurité
Mais depuis les années 2010, Microsoft, à grands coups de R&D et de marketing, a complètement renversé la tendance. Windows Defender est devenu un des antivirus leaders du marché, si bien qu’acquérir un produit tiers n’est plus nécessaire. Et la transition de Microsoft d’un statut d’éditeur à celui de fournisseur de services en ligne, l’a forcé à revoir sa posture sécuritaire. Avec un certain succès. A tel point que l’éditeur devient un leader en la matière et trace la route pour le reste de l’industrie.
Objectif zéro mot de passe
Avec quels objectifs ? La feuille de route concernant les mots de passe est assez claire. Elle repose sur un autre triptyque. Dans un premier temps, ne plus avoir à saisir nos mots de passe. Nous y sommes donc déjà. Dans un second temps, ne plus avoir à changer nos mots de passe. S’ils ne sont plus utilisés, ils ne sont naturellement plus exposés. Et enfin, ne plus savoir nos mots de passe du tout. On ne pourra plus vous dérober ce que vous ne savez pas.
Le vol d’identifiants repose aujourd’hui sur deux axes : soit le piratage de sites peu fiables contenant un mot de passe réutilisé ailleurs, soit l’ingénierie sociale qui permet de « deviner » vos codes secrets. Ne plus être contraint de connaître son mot de passe ouvre la porte à la génération aléatoire et systématique de codes complexes et différents sur tous les sites et services que vous utilisez.
Les mots de passe peuvent alors être stockés dans un gestionnaire de clés, car ils ne sont plus utilisés comme premier facteur d’authentification. Un peu comme une clé que vous iriez déposer dans un coffre à la banque, et qui ne serait accessible qu’en dernier recours. La pression se déplacera donc probablement vers ces outils de stockage en ligne, qui seront, encore un peu plus, dans le radar des hackers. Mais ça, c’est une autre histoire.
Emmanuel Dardaine