Certaines sources avancent que le système et les comptes utilisateurs Yahoo avaient déjà été attaqués il y a six ans par des hackers chinois. Yahoo n’est pas le seul puisque Google et d’autres entreprises technologiques en ont également fait les frais. Sergey Brin, le co-Fondateur de Google, avait à l’époque pris cette attaque très au sérieux et avait immédiatement réagi en plaçant la sécurité au cœur de ses priorités. L’entreprise engagea des centaines d’ingénieurs spécialistes de la sécurité et investit plusieurs millions de dollars dans le renforcement de ses infrastructures de sécurité. “Plus jamais” devint alors leur nouveau crédo. Yahoo, de son côté, a réagi beaucoup moins rapidement. Lorsque Marissa Mayer pris ses fonctions de CEO en 2012, la sécurité était déjà l’un des problèmes principaux à gérer. Les années suivantes, les équipes chargées de la sécurité chez Yahoo entraient souvent en conflit avec les autres départements à cause du coût de la sécurité. La société doit aujourd’hui fortement regretter les choix pris à l’époque.

Le cas du piratage de Yahoo est intéressant car les questions et réponses de « sécurité » ont également été volées. Le mot est entre guillemets car de manière évidente, cette méthode d’authentification basée sur la connaissance n’a rien de sécurisée. Des questions simples comme « Quel est votre plat préféré ? », « Quel est le nom de votre animal de compagnie ? » ou bien encore « Quelle est la couleur de votre voiture ? » ne vous protègent pas. Tous les sites proposent les mêmes questions et les réponses que donnent les utilisateurs sont en général les mêmes. Le plat préféré ou la couleur de voiture de quelqu’un ne change pas très fréquemment.

Ce qu’il faut absolument dénoncer aujourd’hui, c’est que ces technologies qui datent d’il y a 30 ans sont à présent complètement obsolètes. Cela concerne autant les questions de sécurité que les mots de passe statiques qui n’offrent qu’une protection très faible.

Il ne fait aucun doute que nous devons abandonner les éléments statiques et nous tourner très rapidement vers l’utilisation d’outils dynamiques. Les mots de passe à usage unique et l’authentification forte sont les alternatives les plus crédibles. Il existe des applis qui génèrent des mots de passe à usage unique directement sur le téléphone. Les sites peuvent facilement intégrer ces outils d’authentification forte. Il est grand temps qu’ils le fassent concrètement.

Le futur rime avec « l’authentification basée sur le risque » et l’augmentation de l’usage des smartphones. À partir d’un certain nombre de paramètres, un score peut être établi autour de l’identité d’une personne et de sa fiabilité. Est-ce que son téléphone a été jailbreaké ? A partir de cette information, on détermine si l’utilisateur est digne de confiance ou non. S’il y a le moindre doute, une autre question peut être posée. Particulièrement lors d’opérations à grands risques comme la création d’un nouveau compte ou d’un achat online ou mobile, la sécurité doit être la priorité.

L’analyste Avivah Litan de chez Gartner affirme que l’authentification ne peut plus consister à répondre par oui ou par non, et je suis tout à fait d’accord avec ce constat. Un mot de passe n’est plus suffisant aujourd’hui en termes de sécurité pour vérifier l’identité d’une personne. Nous devons rapidement nous tourner vers des systèmes d’authentification qui utilisent une information dynamique. Sans quoi nous continuerons, chaque semaine, de lire dans la presse que des entreprises comme Yahoo se sont fait voler les données de leurs utilisateurs.