Un comptes Microsoft sans mot de passe, connexion facile ou risque ?

Un comptes Microsoft sans mot de passe, connexion facile ou risque ?

Microsoft est déjà dans le futur. La firme de Redmond vient d’intégrer une nouvelle option pour vous permettre de vous connecter à votre compte Microsoft sans mot de passe.

Quelques mois après l’avoir proposée à ses utilisateurs professionnels, Microsoft vient de déployer une nouvelle option. Elle permet à l’ensemble des utilisateurs de désactiver le mot de passe d’un compte et est désormais proposée dans les paramètres de sécurité.

Le géant de Redmond propose de configurer Windows Hello, de faire appel à une clé de sécurité physique, d’utiliser un code de vérification reçu par e-mail ou SMS, ou encore de passer par son application d’authentification Microsoft Authenticator.

Avec cette nouvelle étape, l’entreprise américaine permet de se connecter sans mot de passe sur presque 100 % de ses services. En déployant cette option au plus grand nombre, Microsoft espère aider ses utilisateurs à renforcer la sécurité de leur compte, notamment pour ceux qui ne changent jamais leur mot de passe ou en utilisent un trop simple à cracker.

 

Mot de passe = moins de sécurité

À cet égard, si vous optez pour cette suppression du mot de passe Microsoft, vous pourrez accéder à votre compte en vous identifiant via Windows Hello (lecteur d’empreintes ou reconnaissance faciale), Microsoft Authentificator, une clé de sécurité ou un code de vérification reçu par SMS ou email.

Pour profiter de cette fonctionnalité de sécurité, il faut tout d’abord vous assurer d’avoir bien installé Microsoft Authentificator et lié l’application à votre compte. Ensuite, il faut vous connecter à votre compte et vous rendre dans Options de sécurité avancées > Sécurité supplémentaire puis cliquer sur Activer dans l’option Compte sans mot de passe.

C’est à ce même endroit que vous pourrez réactiver un mot de passe si vous changez d’avis. Toutefois, Microsoft croit dur comme fer au futur sans mot de passe. La firme estime en effet que ces derniers exigent « beaucoup d’efforts de mémorisation », « font de nous une cible facile », tandis que leur gestion « représente une perte de temps » et que les utilisateurs veulent s’en débarrasser.

 

Les mots de passe perçus comme une vulnérabilité

Avec le mot de passe, Microsoft pointe du doigt plusieurs problèmes dont une dérive connue des utilisateurs à choisir des mots de passe pas suffisamment robustes, ce dont les attaquants savent tirer parti. Au-delà, Microsoft estime que  » les mots de passe sont incroyablement difficiles à créer, à retenir et à gérer pour tous les comptes de notre vie.  »

Même la vérification en deux étapes n’est pas jugée pleinement satisfaisante quand elle est disponible. Pour autant, elle réduit grandement le risque de compromission d’un compte.

 

Microsoft précipite la fin des mots de passe pour ses utilisateurs

Cette possibilité d’utiliser les services de Microsoft sans avoir à mémoriser de mots de passe était déjà disponible depuis plusieurs mois pour les clients commerciaux de l’entreprise. Et désormais, l’option est disponible pour le grand public.

Microsoft ne forcera pas les utilisateurs à utiliser ses services sans mots de passe. Néanmoins, Vasu Jakkal espère que les utilisateurs testeront cette option. Et à tout moment, il sera possible de faire machine arrière.

Le vice-président indique également que près de 100 % des employés de Microsoft utilisent déjà des options sans mots de passe pour se connecter à leurs comptes d’entreprise.

Si Microsoft incite aujourd’hui ses utilisateurs à abandonner le mot de passe, c’est parce que ceux-ci ne sont pas sûrs. « À l’exception des mots de passe générés automatiquement qui sont presque impossibles à retenir, nous créons en grande partie nos propres mots de passe. Mais, étant donné la vulnérabilité des mots de passe, leurs exigences sont devenues de plus en plus complexes ces dernières années, notamment plusieurs symboles, chiffres, sensibilité à la casse et interdiction des mots de passe précédents », indique Vasu Jakkal.

Une option non imposée, mais fortement recommandée

Si Microsoft ne compte pas l’imposer à tous, la société recommande toutefois fortement d’abandonner son mot de passe. « À l’exception des mots de passe générés automatiquement qui sont presque impossibles à retenir, nous créons en grande partie nos propres mots de passe. Mais, étant donné la vulnérabilité des mots de passe, leurs exigences sont devenues de plus en plus complexes ces dernières années, notamment plusieurs symboles, chiffres, sensibilité à la casse et interdiction des mots de passe précédents », a ajouté Vasu Jakkal.

Cette nouvelle option sans mots de passe proposée par Microsoft est donc optionnelle. En outre, elle peut-être activée et désactivée à tout moment. Pour l’activer, il vous suffit d’aller sur votre compte Microsoft. Une fois dans l’onglet des options de sécurité, vous devez ouvrir « Options de sécurité avancée ». Là, vous verrez un bouton qui vous permet d’activer le nouveau service.

 

Une philosophie qui a ses limites

« Les mots de passe faibles sont le point d’entrée de la majorité des attaques contre les comptes d’entreprise et les comptes personnels », explique Vasu Jakkal, un responsable de la sécurité chez Microsoft. Microsoft n’est d’ailleurs pas le seul à vouloir se débarrasser des mots de passe. Lors de la WWDC 2021, Apple a présenté son système Passkeys qui propose de s’identifier via une donnée biométrique plutôt que via un mot de passe.

La question qui se pose alors est : que faire si je me fais voler mon téléphone ? Eh bien, d’après la foire aux questions de Microsoft, si vous ne pouvez plus vous identifier grâce à l’appli Authenticator, vous pourrez toujours utiliser une adresse mail secondaire pour vous identifier. Ou un code par SMS si vous avez accès à votre numéro de téléphone.

Malheureusement, cette philosophie a aussi ses limites. Si votre adresse mail de récupération est protégée par un mot de passe, alors la manipulation n’a pas grand intérêt. De plus, certains appareils ont été pensés autour d’une authentification via mot de passe. Microsoft l’écrit noir sur blanc : sa Xbox 360 ne supporte pas l’authentification sans mot de passe.

On peut saluer l’effort fait par Microsoft pour tenter de sécuriser au moins l’accès à ses services. Cependant, tant que tous les acteurs du web ne se synchroniseront pas pour proposer des solutions alternatives aux mots de passe, il y aura toujours un risque.

 

Matthieu CHARRIER

Matthieu CHARRIER est un jeune étudiant en informatique qui gère notre système informatique et partage sa passion avec vous. Matthieu saura vous aider à apprendre à utiliser un grand nombre de systèmes informatiques.