À partir d’aujourd’hui, Gander n’utilise plus de mots de passe. Pour le moment, vous vous connecterez exclusivement à l’aide d’un code à usage unique (aussi appelé One-Time Password ou OTP).
Si vous utilisez des applications modernes, vous avez probablement déjà vu cette approche. Elle fait partie des meilleures pratiques en matière de sécurité.
Mais si ce n’est pas le cas, ou si vous vous demandez : « Pourquoi, Gander… pourquoi? », poursuivez votre lecture.
En bref
- Les mots de passe sont réutilisés, oubliés… et finissent par fuiter.
- Les stocker fait de nous une cible.
- La majorité des piratages de comptes commencent par des identifiants réutilisés.
- Les codes à usage unique éliminent ce risque tout en simplifiant la connexion.
- Nous recueillons moins de données sensibles, ce qui rend la plateforme plus sécuritaire.
- Les clés d’accès (passkeys) et des méthodes d’authentification encore plus robustes s’en viennent.
En résumé : pas de mots de passe = moins de risques et de meilleures bases pour la suite.
Pourquoi ce choix?
On aimerait vous dire que tout le monde a d’excellentes habitudes en matière de mots de passe.
Malheureusement… on sait que ce n’est tout simplement pas le cas.
Si vous utilisez Internet depuis ne serait-ce que cinq ans, il y a de bonnes chances que certains de vos vieux mots de passe réutilisés traînent encore dans des bases de données ayant fait l’objet de fuites et circulent sur le dark web.
Et même si plusieurs personnes utilisent un gestionnaire de mots de passe, la réalité, c’est que la plupart ne le font pas. Et encore moins de gens sont capables de retenir un mot de passe du genre &5f!#_JisKl98 (ou peu importe) de mémoire.
La vérité, c’est qu’on construit Gander pour la vraie vie, pas pour un scénario idéal.
Et dans la vraie vie, les mots de passe, c’est souvent un vrai casse-tête.
Non pas parce que les gens s’en fichent… mais parce que la plupart ont simplement autre chose à faire que de gérer des dizaines de comptes avec un mot de passe unique pour chacun.
C’est dans l’écart entre « la façon dont la sécurité est censée fonctionner » et « la façon dont les gens utilisent réellement Internet » que la plupart des problèmes commencent.
Alors, on a décidé d’agir tôt, plutôt que d’attendre qu’ils surviennent.
Réduire les irritants là où ça compte
On réfléchit aussi à la notion de « friction » un peu différemment.
À certains endroits, on en ajoute volontairement.
Protéger la communauté, limiter les abus et s’assurer que les gens sont bien ceux qu’ils prétendent être… tout ça demande un peu plus d’efforts. Et ça nous convient.
Mais si on demande cet effort supplémentaire, on a aussi la responsabilité d’en enlever ailleurs.
Les mots de passe sont un excellent exemple d’une friction qui n’apporte pas grand-chose.
Ils entraînent :
- des comptes verrouillés;
- des réinitialisations;
- des demandes de soutien technique;
- et du stress, surtout pour les personnes moins à l’aise avec la technologie.
Et quand quelque chose tourne mal — un mot de passe oublié, réutilisé ou un compte compromis — c’est généralement à l’utilisateur qu’on demande de régler le problème.
L’OTP change cette dynamique.
Plus besoin de mémoriser un mot de passe, de passer par un processus de récupération ou de conserver des identifiants permanents qui pourraient être réutilisés ou tomber entre de mauvaises mains.
Bref, on ajoute de la friction là où elle protège les gens… et on l’élimine là où elle ne sert à rien.
Cet équilibre est important.
L’authentification, c’est du sérieux
Si nous stockons des mots de passe, nous devenons une cible.
Une belle cible souveraine pour les gens qui ne sont pas particulièrement emballés par un réseau comme le nôtre… ou qui voient une occasion de lui causer des ennuis.
Et c’est là tout le problème. Même quand tout est fait dans les règles de l’art :
- les mots de passe sont hachés;
- salés;
- et protégés.
Les bases de données de mots de passe finissent quand même par être compromises. Ça arrive régulièrement, même à d’excellentes équipes qui appliquent les meilleures pratiques.
Et lorsque ça arrive, les conséquences ne s’arrêtent pas là. Ces identifiants sont souvent réutilisés sur d’autres services.
C’est encore aujourd’hui l’une des principales façons dont des comptes sont piratés, et nous ne voulons tout simplement pas que Gander fasse partie de cette chaîne.
Moins de données, moins de risques
Il y a un autre aspect, tout aussi important.
Chaque donnée que nous recueillons est une donnée que nous avons la responsabilité de protéger.
Les mots de passe ne sont pas qu’un simple moyen de connexion. Ce sont des données sensibles qu’il faut stocker, sécuriser, surveiller et protéger au fil du temps.
Et plus nous conservons de données sensibles, plus notre surface d’attaque augmente.
Nous avons donc fait un choix simple :
Pas de mots de passe à stocker = pas de mots de passe à voler.
En éliminant complètement les mots de passe :
- nous recueillons moins de données;
- nous stockons moins de données;
- nous avons moins de données à protéger.
Ce qui nous permet de consacrer davantage d’énergie à ce qui compte vraiment : protéger notre communauté.
Au final, moins de données, ce n’est pas seulement plus simple… c’est aussi plus sécuritaire.
Pourquoi l’OTP?
Nous n’avons pas choisi l’OTP par hasard.
Dans les grandes lignes, les mots de passe échouent toujours de la même façon :
- ils sont réutilisés;
- ils finissent par fuiter;
- ils sont essayés sur d’autres services.
Ce dernier point — ce qu’on appelle le credential stuffing — est aujourd’hui l’une des méthodes les plus courantes pour prendre le contrôle de comptes.
L’OTP change complètement cette dynamique.
Il n’y a plus de mot de passe à réutiliser, plus d’identifiant permanent qui dort dans une base de données, et rien qu’un attaquant puisse récupérer lors d’une fuite pour l’essayer ailleurs.
Chaque code :
- ne fonctionne qu’une seule fois;
- expire rapidement;
- puis disparaît.
Est-ce que c’est parfait? Non. Aucun système ne l’est.
Un code OTP peut tout de même être obtenu par hameçonnage en temps réel (phishing), et les codes envoyés par SMS reposent sur les réseaux de télécommunication et la propriété d’un numéro de téléphone, deux éléments qui comportent leurs propres limites.
Mais l’OTP élimine la façon la plus courante dont les comptes sont piratés aujourd’hui. Et c’est une excellente première étape.
Ce n’est que la première étape
Nous ne comptons pas nous arrêter là. Nous travaillons déjà à l’intégration des clés d’accès (passkeys), des applications d’authentification et de l’authentification multifacteur (MFA).
Des solutions encore plus sécuritaires… sans être beaucoup plus compliquées à utiliser.
En abandonnant les mots de passe dès maintenant, nous nous donnons de solides bases pour bâtir la suite.
Et nous continuerons d’améliorer cette expérience, étape par étape.
En terminant
Si vous avez déjà une excellente discipline en matière de mots de passe, respect. Vraiment. On aimerait que ce soit le cas de tout le monde.
Mais nous concevons Gander pour toutes sortes de personnes, de tous les âges, avec des niveaux de confort et des habitudes très différents.
Notre objectif est de rendre l’expérience par défaut plus sécuritaire, sans demander aux gens d’avoir à y penser constamment.
Parce qu’au bout du compte, ça rend tout le monde un peu plus en sécurité.
