Ce site utilise des cookies à des fins de statistiques de visites, en interne uniquement et grâce au logiciel auto-hébergé Matomo, sans aucune utilisation de tracker externe. Pour nous autoriser à inclure votre visite de notre site dans nos statistiques, cliquez sur "Accepter". Sinon, cliquez sur "Refuser".

1. Introduction

En 2021, l'authentification des internautes n'a pas évoluée depuis l'invention du mot de passe numérique au début des années 60. Son inventeur, Fernando Corbató (1926 - 2019), ira même jusqu'à dire qu'il s'agit d'un "cauchemar" tant ses failles sont nombreuses.

Pour ce qui est de l'identification des internautes le constat est le même : rien n'a changé depuis l'apparition des formulaires web en 1995. Nous remplissons chaque jour des dizaines de champs de formulaire pour répéter inlassablement, encore et encore, notre e-mail, nos nom et prénoms, notre adresse, etc.

Nous avons donc ici deux problèmes de taille, deux "pain points" qu'il nous faut résoudre. En 2021, nous sommes capables d'envoyer dans l'espaces des fusées réutilisables qui reviennent se poser seules sur terre, ou encore de payer nos courses d'un simple geste du poignet équipé d'une montre connectée capable de prédire les crises cardiaques ou de mesurer notre saturation en oxygène.

Par contre, pour s'authentifier sur un site web ou une application, c'est toujours le même calvaire depuis bientôt 30 ans.


2. Le mot de passe est un boulet

Depuis donc près de 60 ans, l'humanité se traine le concept de mot de passe, imaginé à la base pour que plusieurs chercheurs du MIT puissent se partager le même ordinateur tout en gardant leur travail privé. Personne ne se doutait à cette époque que ce bricolage servirait de pilier à la sécurité de notre monde hyper-connecté plus d'un demi-siècle plus tard.

Mais le monde s'y est habitué, alors on fait avec. Sauf que ça pose de gros problèmes : Devoir inventer et retenir un nombre toujours plus grandissant de mots de passe à donner naissance à la "Fatigue des mots de passe". Cela défini le sentiment ressenti lorsque l'on doit se inventer et se souvenir d'un trop grand nombre de mots de passe toujours plus complexes.

La fatigue des mots de passe contribue au stress et encourage les internautes à réduire toujours plus la complexité de leur mots de passe pour réduire la fatigue et le stress ressenti.

Il est donc évident que le mot de passe ne fonctionne plus. On aura tout essayé pour le rendre plus robuste, sécurisé, agréable : gestionnaires de mots de passe, code de sécurité envoyé par e-mail ou par sms, application de double authentification, etc.

Aucune de ces méthodes ne donne satisfaction. Les gestionnaires de mots de passe ajoutent plus de problèmes qu'ils n'en résolvent :

  • Pas de droit à l'erreur : oublier son mot de passe maitre, c'est l'assurance de perdre le contrôle sur la totalité de ces comptes en ligne.
  • Complexité : impossible de se connecter depuis un appareil qui ne nous appartient pas sauf à installer le bon logiciel sur l'appareil ou à recopier à la main un mot de passe extrêmement compliqué.
  • Confidentialité : l'entreprise qui édite le gestionnaire a accès à la liste des sites et applis où vous possédez un compte, ainsi qu'à la liste de tous vos mots de passe, vu que c'est elle qui s'occupe de les générer.
  • Sécurité : en cas de piratage, c'est tous vos comptes qui sont compromis en même temps.
  • Fatigue : le fait de conserver un mot de passe maître rend toute la logique des générateurs de mots de passe vulnérable à la fatigue des mots de passe, car la plupart des gens ne choisissent pas un mot de passe assez fort pour sécuriser leur liste de mots de passe générés, facilitant l'hypothèse du point précédent.

Quant aux autres méthodes, qui aime se connecter à un site avec un mot de passe valide pour voir apparaître à l'écran "Connexion suspecte, merci de valider votre connexion en cliquant sur le lien que vous allez recevoir par e-mail" ?

Sans compter tous ces services dont on ne se sert qu'une fois l'an et dont on a complètement oublié l'existence :

  1. Créer un compte : "Un compte avec cette adresse e-mail existe déjà"
  2. Connexion : "Mot de passe incorrect"
  3. Mot de passe oublié : "Un lien vous a été envoyé par e-mail"
  4. Création d'un nouveau mot de passe : "Le nouveau mot de passe doit être différent de l'ancien"

Nous avons tous vécu une situation similaire un jour ou l'autre. Nous sommes bloqués 60 ans en arrière et il faut que ça change.


3. Les formulaires sont désuets

Google, Facebook, Amazon et autres géants de la tech sont capables de connaître nos vies dans les moindres détails : pubs ciblées, résultats de recherches personnalisés ou encore suggestion de trajet GPS.

Parfois on manque de devenir parano quand après avoir parlé de tel produit ou marque entre amis, la première pub qui apparaît sur Instagram est précisément celle de ce produit ou de cette marque.

Pourtant, à chaque commande sur un site e-commerce, on nous demande de rentrer notre adresse. À chaque inscription sur une nouvelle appli, il faut re-préciser notre e-mail, notre nom, choisir encore un mot de passe.

Cela agace les internautes et ils le font savoir : 28% des paniers e-commerce abandonnés le sont à cause de la création de compte nécessaire pour compléter la commande. Qui n'a jamais été tenté de s'inscrire à une Newsletter, un cours gratuit ou un programme de fidélité mais a abandonné devant la longueur ou la complexité du formulaire ?

Toutes ces actions répétitives devraient être automatisées, et les formulaires relégués au rang de reliques.


4. Alternatives

Bien sur, des alternatives existent. Les fameux "SSO" ou plus vulgairement "Connexion avec ...". Ces systèmes que l'on retrouve particulièrement chez les GAFAM permettent de résoudre une petite partie des problèmes évoqués ci-dessus, mais ce n'est toujours pas la bonne solution :

  • La plupart de ces systèmes ne partagent que l'adresse e-mail et parfois le nom et prénom, mais la plupart du temps, il faut encore rentrer son adresse, son numéro de téléphone ou sa date de naissance.
  • Notre vie privée s'en trouve toujours plus bafouée, car ce type de service permet aux GAFAM d'en apprendre toujours plus sur nous et nos habitudes. La confiance des internautes envers ces sociétés ne cessent de baisser, et avec elle l'attrait pour ces alternatives aux mots de passe.
  • Comme pour les gestionnaires de mots de passe, il reste encore et toujours un "Mot de passe maître" et une liste sauvegardée en ligne de tous les sites et applis auxquels ce compte unique vous donne accès. Si votre compte Facebook ou GMail est corrompu (scénario rendu d'autant plus facile quand on sait que la plupart des internautes ne définissent pas des mots de passe assez robuste sur ce genre de services), c'est toutes les connexions associées qui sautent en même temps.

Pour toutes ces raisons, les alternatives de type "SSO" ou "Connexion avec ...", malgré leur facilité d'utilisation et leur expérience utilisateur réussie, ne sont toujours pas la solution adéquate à notre problème de formulaires et de mots de passe.


5. Solution

Pour résoudre tous ces problèmes, il faudrait une plateforme souveraine, respectueuse de notre vie privée, capable de transmettre uniquement avec notre accord toutes ces informations rébarbatives à notre sujet aux sites et applis que nous utilisons chaque jour.

Cette solution c'est JustAuthMe et en voici les détails :

a. La forme

JustAuthMe est un éco-système complet permettant l'identification ET l'authentification d'un internaute à travers des protocoles simples, sécurisés et conçus autour d'une confidentialité à toutes épreuves.

Pour l'internaute, cela prend la forme d'une application mobile (iOS et Android) que l'on installe sur son smartphone.

L'application demande à l'utilisateur, lors de sa première utilisation, son adresse e-mail et son identité (nom et prénom). C'est les seules informations nécessaires pour faire fonctionner l'application (pas de mot de passe !).

L'utilisateur peut ensuite, à chaque fois qu'il croise durant sa navigation le bouton "Se connecter avec JustAuthMe" sur ordinateur, mobile ou tablette, cliquer dessus et utiliser son smartphone pour valider la connexion grâce au scan d'un QR-Code.

Grâce aux capteurs biométriques présents sur les smartphones, l'utilisateur peut, en 8 secondes, se connecter (et ce même s'il ne possède pas encore de compte) à n'importe quel service en ligne sans jamais remplir un seul formulaire ni renseigner un seul mot de passe.

Grâce à JustAuthMe, le concept même du mot de passe a totalement disparu. Il ne s'agit pas d'un gestionnaire de mots de passe déguisés mais bien d'une toute nouvelle technologie innovante permettant l'inscription et la connexion de n'importe qui, n'importe où, n'importe quand, en 8 secondes top chrono, avec la même expérience agréable et fluide sur n'importe quel appareil, sous n'importe quel système d'exploitation, que l'appareil appartienne ou non à l'utilisateur, qu'il s'agisse d'un appareil fixe ou nomade, partout dans le monde.

b. Le fond

Avec JustAuthMe, l'expérience utilisateur a été élevée à son maximum. Mais qu'est-ce qui garanti l'avancée majeure par rapport aux systèmes existants ?

Fonctionnalités

Par rapport aux alternatives existantes au problème du mot de passe, JustAuthMe innove sur plusieurs points :

  • Grâce à la technologie du QR-Code et du Deep-Linking, l'éco-système JustAuthMe fonctionne de manière totalement égale quel que soit le contexte ou le système sur lequel il est utilisé. En moins d'une seconde, l'application JustAuthMe est capable de connaitre les détails concernant la tentative de connexion et de les présenter à l'utilisateur afin que celui-ci valide ou non la connexion.
  • Grâce à l'avènement de la biométrie et aux avancées en matière de chiffrement, JustAuthMe permet d'authentifier avec certitude l'utilisateur en moins de 2 secondes, sans qu'il n'ai besoin de ne rien faire d'autre que de tenir son smartphone en main.
  • En plus de fournir l'adresse e-mail de l'utilisateur aux services auxquels ce dernier souhaite se connecter, JustAuthMe propose un véritable système d'identité numérique permettant à ses utilisateurs de partager, en fonction du service visé, leur date et lieu de naissance, leur adresse physique, le nom de leur entreprise (pour un compte pro par exemple) ou encore leur profession.
  • Le concept de mot de passe ayant totalement disparu, JustAuthMe n'intègre pas de "Mot de passe maître". Tout se passe grâce aux capteurs biométriques présents sur les smartphones. Si ces derniers nous permettent depuis plusieurs années déjà de payer en sans contact et sans limite de montant, c'est que les plus grandes banques mondiales font confiance aux fabricants de ces capteurs. Notre mode de pensée est donc de se dire que si une telle confiance leur est accordée par les banques, il devrait être tout à fait possible de les utiliser pour se connecter à un site web ou à une application mobile.

Confidentialité & vie privée

JustAuthMe a été pensé et conçu de façon à ne jamais pénétrer la vie privée ni la confidentialité de ces utilisateurs. Les équipes de JustAuthMe n'ont, à aucun moment, accès aux identités des utilisateurs ni même à la liste des services auxquels ils se connectent :

  • La totalité des informations recueillies par l'application sont intégralement sauvegardées sur le smartphone de l'utilisateur et ne sont jamais stockées sur les serveurs de JustAuthMe.
  • JustAuthMe attribue un identifiant utilisateur unique à chacun des possesseurs de l'application. Cet identifiant est anonyme et n'est partagé qu'entre le serveur maître de JustAuthMe et le smartphone de l'utilisateur. Chaque service auquel se connecte l'utilisateur par l'intermédiaire de JustAuthMe reçoit une version dérivée unique de cet identifiant, rendant impossible le recoupement entre plusieurs comptes appartenant au même utilisateur, ce qui garanti l'anonymat de cet identifiant et non un simple pseudonymat.
  • Afin de suivre les différents changements d'adresse e-mail opérés par l'utilisateur et dans le but de garantir le point précédent, JustAuthMe conserve une version hachée (signature numérique dégradée) de l'adresse e-mail de l'utilisateur. Cette version hachée permet à JustAuthMe de reconnaître un utilisateur s'il change de téléphone ou désinstalle puis réinstalle l'application, sans pour autant stocker une seule information a caractère personnel.
  • Pour pouvoir renvoyer le bon identifiant unique dérivé au bon service, JustAuthMe conserve une liste dégradée des connexions aux services qui implémentent sa solution. Via un procédé de hachage similaire à celui de l'adresse e-mail, le système de JustAuthMe peut, lors d'une connexion, déterminer si cet utilisateur s'est déjà connecté à ce service auparavant tout en ne connaissant ni le service en question ni l'utilisateur qui tente de s'y connecter.

Sécurité

L'engagement de confidentialité pris par JustAuthMe dans le but de protéger ses utilisateurs induit naturellement un gain de sécurité considérable par rapport aux alternatives existantes :

  • L'adresse e-mail de l'utilisateur est vérifiée par JustAuthMe, garantissant des utilisateurs fiables et humains aux services qui utilisent sa plateforme.
  • Comme JustAuthMe ne conserve aucune information à propos de ces utilisateurs, même un piratage massif de ses serveurs ne permettrait pas de faire fuiter une seule donnée personnelle.
  • Grâce à la dérivation de l'identifiant unique, les piratages de différents services auxquels l'utilisateur est inscrit ne permettraient pas de recouper les identifiants pour retrouver un même utilisateur.
  • En l'absence de tout mot de passe, la fatigue des mots de passe n'est plus de mise et l'utilisateur n'est plus tenté de choisir un mot de passe faible pour sécuriser la totalité de sa présence en ligne.

6. Autres champs d'application

Jusqu'ici, nous avons uniquement évoqué les problèmes d'identification et d'authentification sur les services en ligne que l'on utilise au quotidien.

Cependant, l'éco-système JustAuthMe ouvre un champ des possibles quasi-infini. Actuellement, la transmission des informations de connexion se fait grâce à un QR-Code ou à un Deep-Link, mais nous pourrions très bien imaginer notre smartphone comme badge d'identité universel pour aller travailler par exemple, en transmettant les informations d'authentification d'une badgeuse par NFC, ou encore pour s'identifier dans un aéroport ou partout ailleurs !

Nous pourrions également penser aux caisses de supermarchés, où s'enregistrer auprès d'un programme de fidélité est un véritable chemin de croix long, gênant et fastidieux. Une petite borne affichant un QR-Code permettrait à n'importe qui de transmettre ses informations personnelles du bout des doigts, sans avoir à les décrier devant les autres clients en attendant que l'hôtesse de caisse les recopies dans son logiciel.


7. Conclusion

Le mot de passe est un système vieux et bricolé qui n'a plus sa place dans le monde hyper-connecté dans lequel nous vivons. Des alternatives existent mais elles ne répondent que trop peu aux besoins toujours plus exigents des internautes en matière de sécurité, de confidentialité et de vie privée.

JustAuthMe propose une solution ultra innovante, alignée avec les impératifs de notre monde et qui utilise les dernières technologies de pointe du marché pour parvenir à proposer une toute nouvelle façon de s'identifier et de s'authentifier sur internet et dans la vie.