Chaque année, le premier jeudi de mai marque le World Password Day, une journée de sensibilisation à l’importance de sécuriser ses comptes numériques. En 2025, ce rendez-vous revêt un ton particulier : celui d’un changement de paradigme. Car si les mots de passe ont longtemps été la clé d’accès à nos vies numériques, ils deviennent aujourd’hui un maillon faible face aux attaques toujours plus sophistiquées des cybercriminels.
Pour la deuxième année consécutive, le rapport Active Adversary publié par Sophos indique que les identifiants compromis restent la première cause d’intrusion dans les systèmes informatiques, représentant 41 % des attaques. Un chiffre qui illustre la fragilité des méthodes d’authentification dites « basées sur la connaissance », comme les traditionnels mots de passe ou les codes secrets transmis par SMS.
Même les méthodes à double ou à multiples facteurs (2FA/MFA), aujourd’hui largement répandues, reposent bien souvent sur des échanges de données que l’utilisateur connaît ou reçoit (code, mot de passe, etc.). Or, ces données sont de plus en plus faciles à intercepter.
Des outils comme evilginx2 permettent, par exemple, de reproduire des pages d’authentification légitimes afin de voler non seulement les identifiants, mais aussi les cookies de session. Résultat : un accès direct aux comptes, sans que l’utilisateur en ait conscience. Cette faille démontre les limites d’un empilement de couches de sécurité qui repose toujours sur le même principe : faire confiance à un secret que l’utilisateur détient.
Clés d’accès, WebAuthn : une alternative plus robuste
Pour répondre à cette menace croissante, les experts s’accordent sur la nécessité de basculer vers des méthodes d’authentification plus sûres. L’une des plus prometteuses repose sur le standard WebAuthn, qui fait appel à des clés d’accès (passkeys) et à la cryptographie.
À la création d’un compte, une paire de clés publique/privée est générée : la clé publique est envoyée au serveur, tandis que la clé privée reste stockée sur l’appareil de l’utilisateur. Lors de la connexion, le serveur envoie un défi cryptographique, que seul l’utilisateur peut résoudre s’il est en possession de l’appareil et peut prouver son identité (par empreinte digitale, reconnaissance faciale, etc.).
Ce système repose sur deux facteurs forts : la possession d’un appareil sécurisé et l’authentification biométrique. Aucun mot de passe n’est requis, et les attaques par phishing sont grandement limitées. De plus, l’utilisateur peut vérifier qu’il se connecte bien au bon service, grâce à l’intégration du domaine du site dans le processus d’authentification.
Vers un avenir sans mot de passe… mais pas sans vigilance
Ces nouvelles méthodes, selon Sophos, soutenues par le consortium FIDO2, offrent une authentification plus fluide pour l’utilisateuret une meilleure résistance aux attaques. Mais elles ne sont pas infaillibles. Il reste essentiel de :
-
sécuriser les appareils et les services cloud où sont stockées les clés privées ;
-
généraliser l’adoption de ces technologies au sein des entreprises et services ;
-
continuer à se prémunir contre le vol de cookies de session, toujours d’actualité.
