Mot de passe à usage unique : plus en sécurité sur le Web

Les mots de passe classiques comportent de nombreuses failles. Cela concerne même les mots de passe sûrs (ou considérés comme tels) et choisis minutieusement. Le problème principal est le suivant : lorsqu’un mot de passe est utilisé régulièrement, il existe un risque que des personnes non autorisées (et malintentionnées) mettent la main dessus.

Cela survient fréquemment à l’occasion d’attaques par rejeu : le mot de passe est intercepté et ensuite utilisé par les malfrats pour s’authentifier.

Et il n’y a pas besoin d’être quelqu’un de distrait pour en être victime. En effet, ces dernières années, il est arrivé à plusieurs reprises que des services en ligne, parfois très connus, soient la cible d’attaques de hackers et que les données de milliers de clients soient dérobées.

Comment peut-on s’en protéger ? Une première possibilité consiste à changer de mot de passe régulièrement, à intervalles brefs (sans le faire tous les jours non plus). Une autre solution, beaucoup plus facile à mettre en œuvre, est d’employer un mot de passe à usage unique, ou « one-time password » (OTP) en anglais.

Un mot de passe à usage unique est, comme son nom l’indique, un mot de passe qui expire après avoir été utilisé une seule fois. On rencontre aussi fréquemment l’abréviation OTP ainsi que les termes « clé OTP » et « code OTP ».

Le mot de passe à usage unique correspond généralement à une clé OTP alphanumérique (lettres et chiffres) et est généré pour une seule procédure de connexion. Après que l’utilisateur s’est connecté à l’aide d’un mot de passe à usage unique, celui-ci n’est plus valide et ne peut plus être utilisé pour les connexions suivantes.

Les mots de passe OTP sont couramment employés dans les procédures de double authentification, par exemple dans la banque en ligne, mais aussi de plus en plus dans le monde de l’entreprise.

Dans un premier temps, l’utilisateur saisit ses données de connexion habituelles. Ensuite, il génère un mot de passe unique dynamique, par exemple à l’aide d’un générateur de clés OTP, qui est également requis pour s’authentifier.

Cette étape additionnelle assure un niveau de sécurité renforcé. Si une personne non autorisée parvient à intercepter le mot de passe habituel lors de cette procédure de connexion, il lui manquera encore le mot de passe dynamique. Voilà pourquoi un nombre croissant de services en ligne recourent à la double authentification, en particulier lorsqu’il est question de données sensibles.

Pour que la connexion par OTP aboutisse, l’utilisateur et le système sur lequel il est utilisé doivent tous deux connaître le mot de passe. Pour y parvenir, deux méthodes sont disponibles.

La liste de mots de passe est le moyen le plus simple d’utiliser des mots de passe à usage unique. Cette liste préétablie contient plusieurs mots de passe qui sont connus à la fois de l’utilisateur et du système. Quand un de ces mots de passe uniques est utilisé, l’utilisateur le raye simplement de la liste.

L’inconvénient de cette méthode est évident : si on égare la liste, des personnes non autorisées peuvent mettre la main sur les mots de passe. Même si ce genre de liste de mots de passe est encore utilisé dans la banque en ligne, de plus en plus de fournisseurs préfèrent maintenant recourir aux mots de passe dynamiques pour la raison précitée.

Les mots de passe dynamiques constituent la méthode la plus courante aujourd’hui. C’est ce qui explique pourquoi les générateurs de mots de passe matériels sont répandus. Ces petits appareils qui ressemblent à des porte-clés ou des petits boîtiers servent à générer des mots de passe.

On parle aussi d’authentifieurs OTP. Tous ont en commun de posséder un afficheur et de délivrer des mots de passe à usage unique sur pression d’un bouton. Les mots de passe ainsi créés sont souvent saisis avec d’autres facteurs d’authentification, tels des codes PIN ou identifiants utilisateur.

Pour générer un mot de passe dynamique, un algorithme spécial est requis. Il existe alors trois modes d’exécution :

• Mode temps
• Mode événement
• Mode défi-réponse

Dans ce mode, le générateur de mots de passe (client) et le serveur créent des mots de passe synchronisés dans le temps à l’aide d’un même algorithme. Le mot de passe TOTP (Time-based One-Time Password) est connu de l’utilisateur et du serveur et valable pendant un laps de temps bien déterminé, typiquement entre une et quinze minutes.

Dans ce mode, les mots de passe à usage unique sont créés par un événement donné, par exemple en appuyant sur un bouton du générateur de mots de passe. Comme en mode temps, le même algorithme est exécuté côté serveur et côté utilisateur. Le mot de passe est calculé à partir du mot de passe précédent et peut ainsi être comparé au serveur.

Dans ce mode, le serveur lance un défi au client, qui doit y répondre. Le client reçoit une valeur déterminée du serveur et s’en sert pour calculer le mot de passe à usage unique. Comme le serveur connaît l’algorithme et la valeur prédéfinie, il peut vérifier le mot de passe généré.

Il est conseillé d’utiliser des mots de passe à usage unique pour tous les services en ligne et sites Internet traitant des données particulièrement sensibles. Citons par exemple :

• les banques en ligne ;
• les services financiers, comme les dépôts d’actions en ligne ou les plateformes d’échange de crypto monnaies ;
• les données d’entreprise sensibles ;
• les moyens de communication confidentiels.

Tous les sites Web ne nécessitent pas de mot de passe à usage unique. Mais, de façon générale, il faut penser à utiliser des mots de passe sûrs, à plus forte raison quand on les modifie assez rarement. Des études montrent que malgré une cybercriminalité en hausse constante, les utilisateurs sont encore trop nombreux à négliger leur sécurité.