Identités sécurisées en ligne : Pourquoi les mots de passe ne fonctionnent pas et qu’est-ce qui les remplacera ?

"Sarah", une actrice basée à Londres, s'est fait voler son identité en 2017. "Je suis rentrée à la maison un jour et j'ai découvert que ma boîte aux lettres avait été cambriolée", dit-elle.

"J'ai fait approuver deux nouvelles cartes de crédit que je n'avais pas sollicitées, et j'ai reçu une lettre d'une banque, disant que nous avons changé d'avis quant à vous offrir une carte de crédit."

Elle a dépensé 150 £ pour ses services de vérification de solvabilité, essayant de retrouver les cartes émises en son nom.

"C'est une énorme quantité de travail et d'argent", explique Sarah, qui a demandé à la BBC de ne pas utiliser son vrai nom.

Le vol d'identité est à un niveau record au Royaume-Uni.

Le service britannique de prévention de la fraude CIFAS a enregistré 190 000 cas au cours de l'année écoulée, car nos vies de plus en plus numérisées permettent plus facilement que jamais aux fraudeurs de mettre la main sur nos informations personnelles.

Alors, comment devons-nous garder nos identités sécurisées en ligne?

La première ligne de défense est, le plus souvent, un mot de passe.

Mais l'actualité n'est pas rassurante par rapport aux mots de passe.

Facebook a admis en avril que les mots de passe de millions d'utilisateurs d'Instagram avaient été stockés sur leurs systèmes dans un format lisible - ne respectant pas les meilleures pratiques de l'entreprise et compromettant potentiellement la sécurité de ces utilisateurs.

À la fin de l'année dernière, le site Web de questions-réponses ''Quora'' a été piraté avec les noms et adresses e-mail de 100 millions d'utilisateurs compromis.

Et Yahoo! a récemment été en procès pour la perte de données appartenant à 3 milliards d'utilisateurs, notamment des adresses e-mail, des questions de sécurité et des mots de passe.

Microsoft s'oriente vers des produits sans mot de passe

Pas étonnant que Microsoft ait annoncé l'année dernière que la société prévoyait de supprimer le mot de passe, en utilisant la biométrie ou une clé de sécurité spéciale.

La société de recherche informatique Gartner prévoit que d'ici 2022, 60% des grandes entreprises et presque toutes les moyennes entreprises auront réduit de moitié leur dépendance à l'égard des mots de passe.

«Les mots de passe sont l'approche la plus simple pour les pirates», explique Jason Tooley, directeur des revenus chez Veridium, qui fournit un service d'authentification biométrique.

"Les gens ont tendance à utiliser des mots de passe faciles à retenir et donc faciles à compromettre.

" Non seulement l'élimination des mots de passe améliorerait la sécurité, mais cela signifierait également que les services informatiques n'auraient pas à dépenser un temps et de l'argent précieux pour réinitialiser les mots de passe oubliés.

"Il y a un coût annuel d'environ 200 $ (150 £) par employé, associé à l'utilisation de mots de passe, sans compter la perte de productivité", explique M. Tooley.

"Dans une grande organisation, c'est un coût vraiment important."

''Nouveaux risques''

Philip Black est directeur commercial de Post-Quantum, une entreprise qui conçoit de puissants systèmes de chiffrement pour protéger les données.

Il reconnaît que les mots de passe sont déjà un point faible.

"Vous devez créer et gérer autant de mots de passe. C'est ingérable, donc les gens finissent par utiliser les mêmes mots de passe, et ils deviennent vulnérables."

Les nouvelles règles établies par l'UE sont conçues pour traiter ce problème.

La directive sur les services de paiement, mise à jour, connue sous le nom de PSD2, oblige les entreprises à utiliser au moins deux facteurs lors de l'authentification de l'identité d'un client.

Ces facteurs peuvent être quelque chose que le client a en sa possession (comme une carte bancaire), quelque chose qu'il sait (comme un code PIN), ou quelque chose qui est lié à son être, ce qui inclut la biométrie.

Natwest teste les cartes de credit avec des scanners d'empreintes digitales

Oublié par le passé en faveur des tokens, mots de passe et codes envoyés par SMS, l'intérêt pour la biométrie se développe.

Selon l'enquête internationale sur la fraude bancaire mondiale de KPMG 2019, 67% des banques ont investi dans la biométrie physique telle que l'empreinte digitale, le modèle vocal et la reconnaissance faciale.

Cette année, NatWest a commencé à tester les cartes de crédit avec un scanner d'empreintes digitales intégré directement dans la carte elle-même.

La biométrie offre une expérience plus fluide aux consommateurs, mais a été freinée par le besoin d'équipements spécialisés.

Avec les derniers Smartphones, beaucoup d'entre nous portent désormais le matériel nécessaire dans nos poches.

Une recherche de Deloitte a révélé qu'un cinquième des résidents du Royaume-Uni possèdent un Smartphone capable de numériser les empreintes digitales, et ce nombre augmente rapidement.

Pourtant, tout comme nos données personnelles sont vulnérables aux voleurs, des informations

biométriques peuvent également être volées.

En septembre, des chercheurs chinois lors d'une conférence sur la cyber sécurité à Shanghai ont montré qu'il était possible de capturer les empreintes digitales de quelqu'un à partir d'une photo prise à plusieurs mètres de distance.

Si vous pensez que la réinitialisation de votre mot de passe est difficile, essayez de modifier vos empreintes digitales!

Pour renforcer la sécurité, les entreprises s'appuient de plus en plus sur l'authentification multi facteur (MFA) qui cherche à identifier les personnes en utilisant le plus de moyens possibles.

Cela peut inclure non seulement les codes PIN et les analyses d'empreintes digitales, mais aussi des vérifications telles que votre emplacement, l'historique de vos achats, l'identité de votre téléphone, même la façon dont vous tenez votre téléphone.

Bunq estime qu'une combinaison d'authentification va remplacer les mots de passe

"La biométrie va-t-elle remplacer les mots de passe? Non, une combinaison de facteurs va remplacer les mots de passe, nous y sommes et nous devrions aller dans ce sens", explique Ali Niknam, PDG de Bunq, un service bancaire mobile.

Pourtant, il existe un risque que ce type d'authentification multi-facteur, bien que sécurisé, rend le processus d'authentification encore plus opaque.

Si vous ne savez pas ce qui est utilisé pour vous identifier en ligne, comment pouvez-vous protéger ces informations?

"Je fais attention à la sécurité Internet - ma date de naissance n'est nulle part, mon adresse n'est nulle part", explique Sarah.

"J'ai 33 ans, je suis relativement jeune et férue de technologie, mais je ne suis pas sûre de savoir comment être plus prudente", ajoute-t-elle.

Elle se souvient cependant qu'une banque avait initialement refusé d'annuler le compte que le voleur avait ouvert en son nom, car elle ne connaissait pas le mot de passe.