Qu’est-ce qu’un mot de passe à usage unique ?
Un mot de passe ou code à usage unique (OTP) est une chaîne de caractères ou chiffres qui authentifie un utilisateur pour une seule tentative de connexion ou transaction. Un algorithme génère une valeur unique pour chaque mot de passe à usage unique en tenant compte d’informations contextuelles, telles que des données temporelles ou des événements de connexion antérieurs.
Les équipes de support technique procurent généralement des mots de passe à usage unique aux personnes qui ont oublié leurs identifiants de connexion à un compte ou à un site web, ou lorsque la ressource en question nécessite une protection supplémentaire contre les tentatives d’accès indésirables. Les mots de passe à usage unique peuvent également ajouter un deuxième niveau d’authentification qu’un utilisateur non vérifié devra franchir avant de pouvoir accéder à un compte.
Lors de l’authentification des utilisateurs, les entreprises doivent garder trois facteurs indépendants à l’esprit :
- Connaissance — Informations que l’utilisateur connaît, telles qu’un mot de passe, un code PIN ou une réponse à une question de sécurité.
- Possession — Objets que l’utilisateur possède, tels qu’un jeton, une carte de crédit ou un téléphone.
- Biométrie — Éléments qui identifient l’utilisateur de manière unique, tels que les empreintes digitales ou les données comportementales.
Outre les mots de passe, les équipes de sécurité distribuent souvent les facteurs de possession tels que les mots de passe à usage unique à l’aide de jetons et de notifications téléphoniques, c’est-à-dire via des éléments que l’utilisateur possède probablement déjà.
Quels sont les avantages des mots de passe à usage unique ?
Examinons à présent comment les mots de passe à usage unique renforcent la sécurité des entreprises.
- Résistance aux attaques par replay — L’authentification par mot de passe à usage unique offre des avantages distincts par rapport à l’utilisation de mots de passe statiques seuls. Contrairement aux mots de passe traditionnels, ils ne sont pas vulnérables aux attaques par replay — attaques au cours desquelles un pirate intercepte une transmission de données (par exemple la saisie d’un mot de passe), l’enregistre et l’utilise pour accéder lui-même au système ou au compte. Lorsqu’un utilisateur accède à son compte à l’aide d’un mot de passe à usage unique, le code devient invalide après emploi et ne peut donc pas être réutilisé par des cybercriminels.
- Difficulté de deviner — Les mots de passe à usage unique sont souvent générés de manière aléatoire par des algorithmes. Il est donc difficile pour les cybercriminels de parvenir à les deviner et à les utiliser. Les mots de passe à usage unique peuvent n’être valables que pendant une période limitée, exiger de l’utilisateur qu’il ait connaissance d’un mot de passe à usage unique antérieur ou être associés à une demande particulière (par exemple, « veuillez saisir le deuxième et le cinquième chiffre »). Toutes ces mesures réduisent encore la surface d’attaque d’un environnement par rapport à l’authentification par mot de passe classique.
- Réduction des risques en cas de compromission des mots de passe — Les utilisateurs qui n’adoptent pas des pratiques de sécurité rigoureuses ont tendance à recycler les mêmes identifiants sur leurs différents comptes. Si ces identifiants font l’objet d’une fuite ou tombent entre de mauvaises mains, les données volées et la fraude constituent des menaces importantes pour l’utilisateur sur tous les fronts. La sécurité par mots de passe à usage unique permet d’éviter les violations d’accès, même si un cybercriminel a obtenu un jeu d’identifiants de connexion valide.
- Adoption aisée — Les codes d’accès à usage unique sont également faciles à intégrer par les entreprises dans leur stratégie d’authentification. Si la nature cryptique de ces codes les rend difficiles à mémoriser, les téléphones, les jetons et d’autres technologies sont largement accessibles aux équipes de sécurité, qui peuvent les utiliser et les distribuer à leurs collaborateurs.
Quels sont les types de mots de passe à usage unique existants ?
L’authentification par mot de passe à usage unique repose sur l’utilisation de jetons. Il existe plusieurs types différents de jetons.
Jetons matériels
Les jetons matériels sont des dispositifs physiques qui transmettent des mots de passe à usage unique, permettant ainsi aux utilisateurs d’accéder à des comptes et à d’autres ressources. Ils se catégorisent globalement comme suit :
- Jetons connectés — Les utilisateurs connectent ces jetons au système ou au terminal auquel ils essaient d’accéder. Les cartes à puce et les clés USB sont insérées respectivement dans le lecteur de cartes à puce et le port USB d’un terminal.
- Jetons déconnectés — Il s’agit du type de jeton le plus utilisé pour l’authentification multifacteur (MFA). Bien que les utilisateurs ne doivent pas insérer physiquement ces jetons, les jetons déconnectés génèrent généralement des mots de passe à usage unique qui doivent ensuite être saisis par les utilisateurs. Les porte-clés intelligents, les systèmes d’entrée sans clé, les téléphones portables et les dispositifs de sécurité bancaire peuvent être utilisés à cet effet.
- Jetons sans contact — Ces jetons transmettent les données d’authentification à un système, qui analyse les informations et détermine si l’utilisateur dispose des droits d’accès appropriés. Les jetons Bluetooth offrent un exemple de transmission sans contact, sans nécessiter de connexion physique ou de saisie manuelle.
Jetons logiciels
Les jetons logiciels ne sont pas des objets physiques que nous possédons. Ils existent sous forme de logiciel sur un terminal tel qu’un ordinateur portable ou un téléphone mobile. L’authentification par jeton logiciel prend généralement la forme d’une application qui envoie des notifications push ou des messages SMS auxquels l’utilisateur doit répondre pour vérifier son identité.
Toutes ces méthodes suivent le même processus de base : l’utilisateur envoie des données d’authentification à un système, le système vérifie si les informations sont correctes et, le cas échéant, accorde à l’utilisateur un accès autorisé. Il s’agit du même principe que l’utilisation d’un mot de passe, mais dans le cas du mot de passe à usage unique, les données d’authentification ne dépassent pas l’utilisateur et le système cibles.
Quelles sont les meilleures méthodes d’authentification ?
Toutes les méthodes d’authentification ne se valent pas. L’implémentation d’une forme quelconque de MFA constitue une amélioration par rapport à l’utilisation des mots de passe seuls, mais chaque facteur d’authentification offre différents degrés de protection. Voici quelques recommandations qui vous aideront à éviter les vulnérabilités.
L’authentification par SMS est peut-être plus pratique, mais elle est moins sûre.
Notre vie quotidienne nous a appris combien il est facile de communiquer par SMS. Il est donc logique que de nombreuses entreprises et fournisseurs de services aient recours à l’envoi de mots de passe à usage unique par SMS comme deuxième forme de vérification d’identité.
Malheureusement, ce type d’authentification est vulnérable à plusieurs lignes d’attaque, notamment :
- Échange et piratage de carte SIM — Votre carte SIM indique à votre téléphone l’opérateur auquel il doit se connecter et le numéro de téléphone avec lequel il doit se connecter. Dans le cas d’une attaque par échange de carte SIM, un cybercriminel convainc votre opérateur de transférer votre numéro vers une carte SIM qui lui appartient. Il peut ainsi accéder à tous les SMS de mot de passe à usage unique synchronisés avec vos comptes.
- Piratage de comptes — De nombreux opérateurs mobiles permettent aux utilisateurs de consulter les SMS sur leur portail web. Si votre compte pour ce portail web n’est protégé que par un mot de passe faible ou fréquemment utilisé, un cybercriminel peut le compromettre et accéder à tous les SMS de mot de passe à usage unique.
- Terminaux perdus et synchronisés — En théorie, si vous perdez votre téléphone, vous ne devriez plus pouvoir recevoir de SMS de mot de passe à usage unique. Cependant, nous pouvons désormais synchroniser les messages entre différents terminaux, ce qui nous permet de nous authentifier par SMS et d’accéder aux comptes même sans téléphone. Le transfert des messages sensibles de ce type vous rend vulnérable, surtout lorsque le mot de passe de votre messagerie électronique peut facilement être deviné.
- Phishing — Dans le cadre d’une attaque de social engineering, un cybercriminel se fait passer pour un agent d’un service digne de confiance et vous incite à fournir les identifiants de votre compte et votre mot de passe à usage unique envoyé par SMS. Les attaques de phishing reposent sur l’exploitation des émotions ou du manque de connaissances des utilisateurs, et peuvent entraîner la divulgation des mots de passe à usage unique envoyés par SMS au même titre qu’un mot de passe.
À l’heure où de plus en plus d’entreprises s’adaptent au télétravail, les collaborateurs utilisent de plus en plus leurs terminaux mobiles pour accéder aux applications professionnelles. Consultez notre rapport Businesses @ Work (From Home) pour en savoir plus sur l’impact de ce phénomène sur les pratiques de sécurité.
Les jetons de sécurité de mot de passe à usage unique ont leurs avantages et leurs inconvénients
Les jetons physiques, tels que RSA SecureID, représentent une nette amélioration par rapport aux SMS. En effet, s’appuyer sur un élément que l’utilisateur est plus sûr que l’authentification basée sur la connaissance. De plus, les dispositifs de distribution OTP tels que les clés de sécurité utilisent des algorithmes de chiffrement asymétrique pour garantir que le mot de passe à usage unique ne quitte jamais le jeton, ce qui signifie qu’il ne peut pas être divulgué.
Cependant, la nature tangible des jetons matériels joue également contre eux. Les utilisateurs doivent transporter un autre appareil, qui peut être perdu, endommagé ou volé. De ce fait, les jetons de mot de passe à usage unique sont difficiles à gérer pour les services IT, en particulier dans les grandes entreprises, et peuvent compromettre la sécurité s’ils tombent entre de mauvaises mains.
De plus, les jetons qui doivent se connecter physiquement à un terminal ne sont pas toujours accessibles. Les clés USB telles que les clés U2F, par exemple, ne constituent pas une solution pratique pour sécuriser les terminaux mobiles, qui ne disposent pas de ports USB.
Les applications d’authentification offrent une alternative appréciable
- Les applications d’authentification mobiles telles qu’Okta Verify, Authy et Google Authenticator vérifient l’identité des utilisateurs en envoyant des mots de passe à usage unique et des notifications push à l’application de l’utilisateur. Les applications d’authentification sont plus sûres que les méthodes ci-dessus pour plusieurs raisons :
- Les mots de passe à usage unique sur terminal mobile ne dépendent pas votre accès Internet, de votre localisation ou de la sécurité de votre opérateur mobile. Les mots de passe à usage unique et les notifications push sont liés à votre terminal, plutôt qu’à votre numéro, et fonctionnent généralement sans accès au réseau ou aux données.
- Le mot de passe à usage unique sur terminal mobile est généralement une fonctionnalité gratuite intégrée à de nombreuses applications d’authentification, ce qui signifie qu’elle est facile à utiliser tant le contexte de l’entreprise que dans un contexte privé.
- Les notifications push et les codes à usage unique sur terminal mobile expirent rapidement, ce qui réduit le risque d’exploitation par rapport à leurs équivalents envoyés par SMS.
- Certaines applications d’authentification prennent en charge les données biométriques telles que la reconnaissance faciale et les empreintes digitales. Cette méthode offre un niveau de protection plus élevé : même si votre téléphone est volé, personne d’autre que vous ne peut accepter les notifications push sur le terminal.
WebAuthn protège encore plus de terminaux
WebAuthn est une API pour navigateurs qui utilise les terminaux enregistrés (ordinateur de bureau, ordinateur portable ou terminal mobile) comme facteurs d’authentification. Les authentificateurs biométriques intégrés aux terminaux (par exemple, Windows Hello, Fingerprint sur Android, Touch ID sur iOS) sont tous compatibles avec WebAuthn, tout comme les dispositifs portables tels que Yubikey 5Ci.
WebAuthn offre des avantages uniques :
- Grâce à la cryptographie à clé publique, il protège efficacement les utilisateurs contre les attaques de phishing.
- L’intégration avec les terminaux et les données biométriques des utilisateurs permet de créer des expériences de connexion simples et rapides.
- Google Chrome, Microsoft Edge et Firefox peuvent tous être associés à des dispositifs biométriques pour activer WebAuthn, ce qui le rend accessible.
En fin de compte, nous conseillons d’implémenter des authentificateurs d’applications mobiles et WebAuthn, tout en utilisant les autres méthodes de mot de passe à usage unique comme solutions de secours.
En savoir plus
Il existe de nombreuses options d’authentification différentes pour assurer la sécurité de vos comptes. Pour découvrir leurs avantages et inconvénients respectifs, consultez notre fiche produit sur les niveaux d’assurance des différents facteurs.