Une application pour en finir avec les mots de passe

L’application Duo passwordless authentication utilise la technologie d’authentification web pour permettre à ses utilisateurs de s’identifier sans mot de passe. 

L’entreprise informatique Cisco annonce le lancement d’une nouvelle application destinée à remplacer les mots de passe ; Duo passwordless authentication. Cette dernière a pour but de permettre à ses utilisateurs de s’identifier à leurs différents comptes et appareils sans avoir recours à un mot de passe.

Une solution plus sécurisée 

Pour développer cette app, Cisco est parti du constat qu’il est compliqué pour beaucoup de personnes de se souvenir de l’ensemble des mots de passe de ses différents comptes. La logique voudrait d’ailleurs que ces derniers soient particulièrement compliqués, histoire d’éviter d’être facilement piratés, mais dans les faits, nous sommes encore nombreux à utiliser le même mot de passe pour différents comptes ou pire, des combinaisons particulièrement simples du type « motdepasse » ou « 123456 ».

À l’heure actuelle, l’authentification à double facteur permet de sécuriser ses comptes. Elle repose sur l’utilisation d’un mot de passe et la confirmation de son identité via un code reçu par SMS ou par mail. Mais ce système est encore peu utilisé aujourd’hui et bien qu’il apporte un niveau de sécurité supplémentaire, il n’est pas infaillible.

Une paire de clés 

L’application Duo passwordless authentication utilise un autre système pour protéger et authentifier les utilisateurs : la cryptographie asymétrique. Cette dernière est basée sur l’authentification web. Cette technologie utilise le concept de paire de clés pour authentifier un internaute sur un site ; une clé privée est stockée en toute sécurité sur l’appareil de l’utilisateur et une clé publique est partagée avec le serveur. La clé publique est associée à un identifiant généré aléatoirement et stocké également sur un serveur. Les « clés » sont composées d’une suite de nombres aléatoires.

Les risques de piratage sont réduits puisque les pirates vont devoir mettre à la fois la main sur la clé publique – qui est par définition publique – et la clé privée qui est stockée sur l’appareil de leurs cibles et qui peut correspondre aux données biométriques de l’utilisateur (reconnaissance digitale ou faciale). De plus, chaque paire de clés n’est valable que pour un seul site. Si des pirates parviennent malgré tout à mettre la main sur une paire de clés, ils n’auront accès qu’à un seul compte.

« Il n’est pas exagéré de dire que l’authentification sans mot de passe aura l’impact mondial le plus significatif sur la manière dont les utilisateurs accèdent aux données en rendant le chemin le plus simple le plus sûr », assure Gee Rittenhouse, vice-président directeur général de la sécurité de Cisco Groupe de Business.

L’application devrait être disponible dans le courant de l’été 2021, en avant-première.