À l’occasion du World Password Day, Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques, insiste sur les limites du mot de passe et des méthodes d’authentification basées sur la connaissance.

En effet, les techniques, tactiques et procédures (TTP) sophistiquées des cyberattaquants en 2025 leur permettent de circonvenir facilement les méthodes d’authentification traditionnelles. À ce titre, l’édition 2025 du rapport Active Adversary de Sophos indique que les identifiants compromis représentent pour la deuxième année consécutive la première cause d’attaque (41 % des cas). Par conséquent, il est essentiel que les utilisateurs et les entreprises adoptent des méthodes plus robustes pour protéger leurs données contre le vol d’identifiants.

Les limites des protections basées sur la connaissance

Les solutions d’authentification à double ou à plusieurs facteurs (2FA/MFA) sont très largement adoptées. Toutefois, comme le mot de passe, ces couches de protection supplémentaires reposent bien souvent sur des partages de codes secrets basés sur la connaissance, partagés via les SMS ou les applications d’authentification. Malheureusement, nombre de ces méthodes restent vulnérables. Les hackers disposent désormais d’outils qui, à l’image de evilginx2, facilitent le contournement de ces protections en automatisant le phishing ou le vol de cookies de session.

Ainsi, la voie qui consisterait à repousser encore et toujours par des ajouts fragiles le moment où le mot de passe deviendra obsolète semble jalonnée de dangers. La réalité du paysage des cybermenaces devrait pousser les entreprises vers un changement de paradigme qui s’écarte du modèle des mots de passe et des secrets partagés basés sur la connaissance.

WebAuthn et clés d’accès : vers une authentification multifactorielle plus forte ?

Afin de se protéger contre le phishing, le protocole WebAuthn – qui utilise notamment des clés d’accès ou passkeys – fait aujourd’hui l’objet d’un consensus parmi les experts de la cybersécurité. Grâce à cette méthode, lors de la création d’un compte, une paire de clés cryptographiques unique publique/privée est générée. Celles-ci sont ensuite stockées localement : sur le serveur du site pour la clé publique et sur le terminal de l’utilisateur pour la clé privée, avec le nom du site et l’identifiant utilisateur.

Pour se connecter, ce dernier n’a plus besoin d’entrer un mot de passe ou un code secret partagé via SMS ou une application d’authentification. Au lieu de cela, le serveur envoie une demande d’authentification numérique qui ne peut être résolue que si l’utilisateur est en possession physique d’un appareil et s’il peut prouver qu’il est bien le propriétaire de la clé privée – grâce à une vérification biométrique, par exemple. Ainsi, l’authentification repose toujours sur deux facteurs, mais ceux-ci ne dépendent pas de la connaissance de l’utilisateur, mais sur la détention physique de l’appareil et sur ses propres caractéristiques biométriques. Ils ne peuvent donc en principe pas être dérobés à l’aide de méthodes de phishing usuelles.

De plus, le processus d’authentification inclut une vérification bidirectionnelle qui permet à l’utilisateur de vérifier l’identité du service grâce au domaine du site, envoyé lors de la demande d’authentification par le serveur. À la différence des méthodes qui utilisent des mots de passe et des codes secrets basés sur la connaissance, l’utilisateur n’est plus le seul à devoir prouver sa légitimité.

Les précautions à prendre pour garantir une authentification robuste et simplifiée

Ce nouveau standard du secteur qui s’appuie sur la norme FIDO2 semble offrir une protection éprouvée contre le phishing, principal vecteur de menace pour le vol d’identifiants, tout en simplifiant l’authentification pour les utilisateurs.

Néanmoins, si WebAuthn constitue une avancée majeure, quelques vulnérabilités demeurent et la vigilance reste de mise :

• Il est impératif de s’assurer que l’appareil ou le cloud où sont stockées les clés sont sécurisés ;
• La réussite de ce passage à WebAuthn nécessite l’adhésion et son adoption par les entreprises et les services ;
• Le vol de cookies de session demeure un vecteur d’attaque qui permettrait aux cyberattaquants de contourner cette protection.

Il est important de garder à l’esprit que les cybercriminels perfectionnent leurs méthodes d’attaque en permanence. C’est pourquoi l’adoption de ces technologies devrait aujourd’hui faire partie des priorités stratégiques en matière de cybersécurité pour les entreprises.

Selon Chester Wisniewski, Director, Global Field CISO chez Sophos : « Nous devons sortir de la dépendance au mot de passe et aux secrets partagés. Les clés d’accès ou passkeys représentent aujourd’hui la solution la plus robuste pour bâtir un avenir sans mot de passe, sans phishing et, espérons-le, sans compromission à grande échelle. »

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. L’éditeur a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native.

Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.

Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.

Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.

Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.

Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site www.sophos.com/fr.