Suppression des mots de passe : des paroles de Google aux actes de Medium

Un email suffit 54
En bref
image dediée
Crédits : muharrem öner/iStock
Securité
Sébastien Gavois

La question de l'utilité des mots de passe revient régulièrement sur le devant de la scène. Si certains ont déjà franchi le pas en local avec le NFC ou les empreintes digitales, ils restent quasi indispensables pour s'identifier sur un site. Ce n'est plus le cas de Medium qui propose une alternative intéressante par email.

Les mots de passe sont en sursis si l'on en croit les déclarations de plusieurs géants du web, Google en tête. Dernière en date, la conférence I/O de fin mai (voir notre compte rendu) où le groupe de « pirates » ATAP dressait un bilan peu glorieux : « 70 % des utilisateurs oublient un mot de passe une fois par mois. Il faut en moyenne 2,4 essais avant d’entrer le bon mot de passe. Les humains sont une mauvaise source d’entropie ». Google en profitait alors pour présenter sa solution maison baptisée Abacus qui se base des capteurs afin d'identifier une personne.

Mais pour le moment, rien de bien concret n'a émergé et, de manière générale, le mot de passe reste quasiment incontournable pour s'identifier sur Internet. Afin de renforcer la sécurité, il est parfois doublé d'une double authentification via une clé USB de sécurité (FIDO U2F par exemple), une application dédiée ou bien un SMS envoyé sur votre téléphone portable ; de quoi limiter les risques en cas de fuites de données.

Pour se connecter à Medium, plus besoin de mot de passe, un simple email suffit

Dans un billet publié récemment, la plateforme de blogs Medium revient sur ce sujet et explique que « l'authentification est une affaire sérieuse ». Elle aussi dresse un constat peu flatteur : « Les mots de passe ne sont ni sûrs ni simples. De plus, ils sont soit difficiles à se rappeler, soit faciles à deviner, et tout le monde réutilise les mêmes (même s'ils savent qu'ils ne devraient pas le faire), et enfin ils sont difficiles à taper sur mobile ».

La plateforme annonce ensuite la mise en place d'un changement important avec un « processus de connexion aussi simple et sécurisé à utiliser que possible, et ce, sur toutes les plateformes » : un simple lien (avec un token) dans un email. Oui, rien de plus, aucun mot de passe ou code PIN à saisir.

Pour s'identifier, il suffit donc de se rendre sur Medium, de choisir la méthode d'authentification par email et d'entrer son adresse email. Une fois le lien reçu par courriel dans sa boite de réception, il suffit de cliquer dessus pour être redirigé et logué automatiquement sur Medium. Sur iOS, le lien ouvre directement l'application Medium, et cela arrivera prochainement sur Android.

La plateforme précise au passage que cela permet de se passer d'une identification par Facebook ou Twitter, qui était jusqu'à présent incontournable.

Medium authentification mailMedium authentification mailMedium authentification mail

Un lien valable une seule fois et pendant 15 minutes, mais pas de double authentification

Bien évidemment, certaines protections sont mises en place : le lien n'est valable que pendant 15 minutes et il est utilisable qu'une seule fois pour s'identifier. Afin de rassurer ses utilisateurs, Medium ajoute que sa procédure (par email) est finalement très proche de celle utilisée par de nombreux sites en cas de changement de mot de passe.

La plateforme enfonce le clou : « Cela semble contre-intuitif, mais c'est en fait plus sécurisé qu'un système par mot de passe. Sur la plupart des services, si quelqu'un devine ou dérobe votre mot de passe, il a accès à votre compte jusqu'à ce que vous changiez votre mot de passe, ce qui peut prendre du temps ». Pour Medium, sa solution présente en plus l'avantage de vous notifier dès que quelqu'un tente de se connecter à votre compte.

Pas d'emails chiffrés, dommage

Si le principe semble intéressant, il faudra par contre bien cadenasser sa boite email, qui est pour sa part généralement protégée par... un mot de passe. Il serait également bien que Medium propose l'envoi d'emails chiffrés afin d'éviter une interception, ce qui n'est malheureusement pas le cas pour le moment. On peut aussi imaginer que cette méthode d'identification par email puisse être combinée avec une double authentification (application, clé USB, SMS, etc.), mais ce n'est pas encore possible.

Quoi qu'il en soit, Medium a l'avantage de proposer une solution qui, même si elle est encore perfectible, semble plutôt intéressante sur le papier. Bref, sur la fin des mots de passe, il y a ceux qui en parlent et ceux qui proposent des solutions concrètes. Reste à voir si cela donnera des idées à d'autres.

Medium email


chargement
Chargement des commentaires...