Il est temps de dire adieu aux mots de passe

À l'ère de l'IA et des cyberattaques automatisées, notre dépendance aux mots de passe devient le problème, non la solution. Les données sont sans appel : selon le Data Breach Investigations Report de Verizon, 81 % des violations de données en 2024 impliquent des mots de passe faibles ou volés. Alors pourquoi persiste-t-on ?

Une sécurité illusoire dans un monde automatisé

Le mot de passe « 123456 » reste l'un des plus utilisés, et peut être craqué en moins d'une seconde. La majorité des utilisateurs réutilisent leurs identifiants sur plusieurs sites, rendant les attaques de type credential stuffing extrêmement rentables.

L'intelligence artificielle accélère cette vulnérabilité. Les attaques par force brute s'appuient désormais sur des GPU capables de tester plus d'un million de combinaisons par seconde, là où des CPU mettaient autrefois des mois. Résultat : même les mots de passe complexes tombent en quelques minutes.

Une économie souterraine portée par le vol d'identifiants

Le mot de passe est devenu une marchandise. En 2024, plus de 24,6 milliards d'identifiants volés circulaient sur les places de marché cybercriminelles. Pour quelques milliers de dollars, des pirates accèdent à des milliers de comptes : email, cloud, réseaux sociaux, VPN ou portefeuilles crypto.

Derrière cette industrie, des groupes comme Kimsuky, APT28 ou MuddyWater, appuyés par des outils de Malware-as-a-Service, qui automatisent le vol d'identifiants via des bots sur Telegram. En un an seulement, 3,9 milliards d'identifiants ont été compromis sur 4,3 millions d'appareils infectés par des infostealers.

Même les protections comme l'authentification multifacteur (MFA) sont contournées, avec des outils comme EvilProxy, capables d'intercepter les jetons MFA. Les cybercriminels ont industrialisé l'accès aux données, démocratisé par le modèle as-a-service et financé en cryptomonnaies.

Le sans mot de passe : déjà une réalité

Dans ce contexte, une alternative s'impose : l'authentification sans mot de passe. Des solutions comme les Passkeys, proposées par Google, Microsoft ou Shopify, associent une authentification biométrique ou par appareil à une clé cryptographique unique.

Microsoft souhaite déjà éliminer les mots de passe pour ses 1 milliard d'utilisateurs, et Gartner prévoit que 60 % des entreprises les auront abandonnés d'ici fin 2025. Dans des secteurs sensibles - santé, finance, gouvernement - les jetons matériels, les QR codes et la biométrie prennent le relais.

Des pays comme Singapour ou l'Inde l'ont déjà institutionnalisé. À Singapour, le système Singpass connecte plus de 700 organismes via des identités numériques vérifiées. En Inde, Aadhaar, le plus grand système biométrique du monde, permet des connexions sécurisées sans mot de passe.

Résistance humaine et inertie organisationnelle

Pourquoi ne bascule-t-on pas plus vite ? Parce que le mot de passe est familier. Il est ancré dans les usages. Mais cette familiarité coûte cher : oubliés, partagés, devinés, les mots de passe sont devenus des points d'entrée pour les attaques.

Check Point alerte : la mauvaise hygiène des mots de passe (réutilisation, écriture sur papier, faiblesse syntaxique) reste l'une des plus grandes failles en cybersécurité. L'essor des deepfakes, des attaques vocales ou vidéos par IA, rend même les systèmes MFA vulnérables s'ils s'appuient sur des identifiants faibles.

L'urgence d'un changement de paradigme

Le maintien des mots de passe dans un monde dopé à l'IA est un pari risqué :

• Les modèles d'IA prédisent les mots de passe faibles plus vite que jamais.
• Les deepfakes peuvent piéger même les systèmes d'authentification biométriques mal intégrés.
• Les GPU en cloud rendent le cassage de mot de passe accessible à tous, professionnels comme amateurs.

Plus nous attendons, plus la surface d'attaque s'élargit. Les cybercriminels ne ralentissent pas - ils s'automatisent.

Ce que les entreprises doivent faire maintenant

Il ne s'agit pas seulement de renforcer les mots de passe, mais de les éliminer progressivement. Voici les actions concrètes recommandées :

• Déployer des systèmes sans mot de passe : Passkeys, biométrie, authentification par appareil.
• Utiliser des plateformes comme Check Point Harmony pour prévenir le phishing et la réutilisation des identifiants.
• Mettre en place des solutions PAM (Privileged Access Management) pour les comptes sensibles.
• Adopter une architecture Zero Trust où chaque accès est vérifié contextuellement.
• Sensibiliser les collaborateurs à la transition post-mot de passe, pas seulement à la complexité syntaxique.

La Journée mondiale du mot de passe devrait marquer la fin d'une ère

L'intention de cette journée est louable, mais elle doit évoluer. En 2025, créer un mot de passe plus fort n'est plus suffisant. Il est temps d'imaginer un avenir sans mot de passe.

Les technologies existent. Les usages sont prêts. Les menaces nous y poussent. Ce n'est plus une question de capacité, mais de volonté.