Mot de passe à usage unique : plus en sécurité sur le Web

Les mots de passe clas­siques com­por­tent de nom­breuses failles. Cela concerne même les mots de passe sûrs (ou con­si­dé­rés comme tels) et choisis mi­nu­tieu­se­ment. Le problème principal est le suivant : lorsqu’un mot de passe est utilisé ré­gu­liè­re­ment, il existe un risque que des personnes non au­to­ri­sées (et ma­lin­ten­tion­nées) mettent la main dessus.

Cela survient fré­quem­ment à l’occasion d’attaques par rejeu : le mot de passe est in­ter­cepté et ensuite utilisé par les malfrats pour s’au­then­ti­fier.

Et il n’y a pas besoin d’être quelqu’un de distrait pour en être victime. En effet, ces dernières années, il est arrivé à plusieurs reprises que des services en ligne, parfois très connus, soient la cible d’attaques de hackers et que les données de milliers de clients soient dérobées.

Comment peut-on s’en protéger ? Une première pos­si­bi­lité consiste à changer de mot de passe ré­gu­liè­re­ment, à in­ter­valles brefs (sans le faire tous les jours non plus). Une autre solution, beaucoup plus facile à mettre en œuvre, est d’employer un mot de passe à usage unique, ou « one-time password » (OTP) en anglais.

Un mot de passe à usage unique est, comme son nom l’indique, un mot de passe qui expire après avoir été utilisé une seule fois. On rencontre aussi fré­quem­ment l’abré­via­tion OTP ainsi que les termes « clé OTP » et « code OTP ».

Le mot de passe à usage unique cor­res­pond gé­né­ra­le­ment à une clé OTP al­pha­nu­mé­rique (lettres et chiffres) et est généré pour une seule procédure de connexion. Après que l’uti­li­sa­teur s’est connecté à l’aide d’un mot de passe à usage unique, celui-ci n’est plus valide et ne peut plus être utilisé pour les con­nexions suivantes.

Les mots de passe OTP sont cou­ram­ment employés dans les pro­cé­dures de double au­then­ti­fi­ca­tion, par exemple dans la banque en ligne, mais aussi de plus en plus dans le monde de l’en­tre­prise.

Dans un premier temps, l’uti­li­sa­teur saisit ses données de connexion ha­bi­tuelles. Ensuite, il génère un mot de passe unique dynamique, par exemple à l’aide d’un gé­né­ra­teur de clés OTP, qui est également requis pour s’au­then­ti­fier.

Cette étape ad­di­tion­nelle assure un niveau de sécurité renforcé. Si une personne non autorisée parvient à in­ter­cep­ter le mot de passe habituel lors de cette procédure de connexion, il lui manquera encore le mot de passe dynamique. Voilà pourquoi un nombre croissant de services en ligne recourent à la double au­then­ti­fi­ca­tion, en par­ti­cu­lier lorsqu’il est question de données sensibles.

Pour que la connexion par OTP aboutisse, l’uti­li­sa­teur et le système sur lequel il est utilisé doivent tous deux connaître le mot de passe. Pour y parvenir, deux méthodes sont dis­po­nibles.

La liste de mots de passe est le moyen le plus simple d’utiliser des mots de passe à usage unique. Cette liste préé­ta­blie contient plusieurs mots de passe qui sont connus à la fois de l’uti­li­sa­teur et du système. Quand un de ces mots de passe uniques est utilisé, l’uti­li­sa­teur le raye sim­ple­ment de la liste.

L’in­con­vé­nient de cette méthode est évident : si on égare la liste, des personnes non au­to­ri­sées peuvent mettre la main sur les mots de passe. Même si ce genre de liste de mots de passe est encore utilisé dans la banque en ligne, de plus en plus de four­nis­seurs préfèrent main­te­nant recourir aux mots de passe dy­na­miques pour la raison précitée.

Les mots de passe dy­na­miques cons­ti­tuent la méthode la plus courante aujourd’hui. C’est ce qui explique pourquoi les gé­né­ra­teurs de mots de passe matériels sont répandus. Ces petits appareils qui res­semblent à des porte-clés ou des petits boîtiers servent à générer des mots de passe.

On parle aussi d’au­then­ti­fieurs OTP. Tous ont en commun de posséder un afficheur et de délivrer des mots de passe à usage unique sur pression d’un bouton. Les mots de passe ainsi créés sont souvent saisis avec d’autres facteurs d’au­then­ti­fi­ca­tion, tels des codes PIN ou iden­ti­fiants uti­li­sa­teur.

Pour générer un mot de passe dynamique, un al­go­rithme spécial est requis. Il existe alors trois modes d’exécution :

• Mode temps
• Mode événement
• Mode défi-réponse

Dans ce mode, le gé­né­ra­teur de mots de passe (client) et le serveur créent des mots de passe syn­chro­ni­sés dans le temps à l’aide d’un même al­go­rithme. Le mot de passe TOTP (Time-based One-Time Password) est connu de l’uti­li­sa­teur et du serveur et valable pendant un laps de temps bien déterminé, ty­pi­que­ment entre une et quinze minutes.

Dans ce mode, les mots de passe à usage unique sont créés par un événement donné, par exemple en appuyant sur un bouton du gé­né­ra­teur de mots de passe. Comme en mode temps, le même al­go­rithme est exécuté côté serveur et côté uti­li­sa­teur. Le mot de passe est calculé à partir du mot de passe précédent et peut ainsi être comparé au serveur.

Dans ce mode, le serveur lance un défi au client, qui doit y répondre. Le client reçoit une valeur dé­ter­mi­née du serveur et s’en sert pour calculer le mot de passe à usage unique. Comme le serveur connaît l’al­go­rithme et la valeur pré­dé­fi­nie, il peut vérifier le mot de passe généré.

Il est conseillé d’utiliser des mots de passe à usage unique pour tous les services en ligne et sites Internet traitant des données par­ti­cu­liè­re­ment sensibles. Citons par exemple :

• les banques en ligne ;
• les services fi­nan­ciers, comme les dépôts d’actions en ligne ou les pla­te­formes d’échange de crypto monnaies ;
• les données d’en­tre­prise sensibles ;
• les moyens de com­mu­ni­ca­tion con­fi­den­tiels.

Tous les sites Web ne né­ces­si­tent pas de mot de passe à usage unique. Mais, de façon générale, il faut penser à utiliser des mots de passe sûrs, à plus forte raison quand on les modifie assez rarement. Des études montrent que malgré une cy­ber­cri­mi­na­lité en hausse constante, les uti­li­sa­teurs sont encore trop nombreux à négliger leur sécurité.