l’occasion de la Journe mondiale du mot de passe qui s’est mardi 5 mai, les grandes enseignes technologiques Google, Apple et Microsoft ont annonc vouloir bientt supprimer les mots de passe. Pour les utilisateurs, la connexion devrait tre simplifie sur tous les appareils, sites web et applications, indique Google dans un communiqu.
C’est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimes. En collaboration avec le World Wide Web Consortium, FIDO travaille la cration et la mise en uvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l’alliance, ces normes sont dj supportes par des milliards d’appareils et par tous les navigateurs web modernes.
Concrtement, il est prvu d’implmenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en uvre devrait avoir lieu cette anne encore. Au lieu d’un mot de passe, une autorisation FIDO, appele passkey, pourra tre enregistre sur le smartphone de l’utilisateur. Ce code confirme l’inscription un service en ligne. L’autorisation de paiement par carte de crdit fonctionne de manire similaire avec 3D-Secure 2.0.
Dans un effort conjoint pour rendre le Web plus sr et utilisable par tous, Apple, Google et Microsoft ont annonc aujourd’hui leur intention d’tendre la prise en charge d’une norme commune de connexion sans mot de passe cre par l’Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalit permettra aux sites Web et aux applications d’offrir aux consommateurs des connexions sans mot de passe cohrentes, scurises et faciles sur tous les appareils et plates-formes.
L’authentification par mot de passe uniquement est l’un des plus gros problmes de scurit sur le Web, et la gestion d’un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs rutiliser les mmes dans tous les services. Cette pratique peut entraner des prises de contrle de compte coteuses, des violations de donnes et mme des identits voles. Alors que les gestionnaires de mots de passe et les anciennes formes d’authentification deux facteurs offrent des amliorations progressives, il y a eu une collaboration l’chelle de l’industrie pour crer une technologie de connexion plus pratique et plus scurise.
Les capacits tendues bases sur des normes donneront aux sites Web et aux applications la possibilit d’offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la mme action qu’ils effectuent plusieurs fois par jour pour dverrouiller leurs appareils, comme une simple vrification de leur empreinte digitale ou de leur visage, ou un code PIN d’appareil. Cette nouvelle approche protge contre le phishing et la connexion sera radicalement plus scurise par rapport aux mots de passe et aux technologies multifactorielles hrites telles que les codes d’accs usage unique envoys par SMS .
Des centaines d’entreprises technologiques et de fournisseurs de services du monde entier ont travaill au sein de l’Alliance FIDO et du W3C pour crer les normes de connexion sans mot de passe qui sont dj prises en charge par des milliards d’appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirig le dveloppement de cet ensemble tendu de fonctionnalits et intgrent dsormais la prise en charge dans leurs plateformes respectives.
Les plateformes de ces entreprises prennent dj en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d’appareils de pointe, mais les implmentations prcdentes obligent les utilisateurs se connecter chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalit sans mot de passe. L’annonce du 5 mai tend ces implmentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalits pour des connexions sans mot de passe plus transparentes et scurises :
- Autoriser les utilisateurs accder automatiquement leurs identifiants de connexion FIDO (que certains appellent une cl d’accs ) sur bon nombre de leurs appareils, mme les nouveaux, sans avoir rinscrire chaque compte.
- Permettre aux utilisateurs d’utiliser l’authentification FIDO sur leur appareil mobile pour se connecter une application ou un site Web sur un appareil proximit, quelle que soit la plateforme du systme d’exploitation ou le navigateur qu’ils excutent.
- En plus de faciliter une meilleure exprience utilisateur, le large support de cette approche base sur des normes permettra aux fournisseurs de services d’offrir des informations d’identification FIDO sans avoir besoin de mots de passe comme mthode alternative de connexion ou de rcupration de compte.
Ces nouvelles fonctionnalits devraient tre disponibles sur les plateformes Apple, Google et Microsoft au cours de l’anne venir.
Votre tlphone pourrait bientt remplacer plusieurs de vos mots de passe
Suite cette annonce, les experts ont estim que les changements devraient aider vaincre de nombreux types d’attaques de phishing et allger le fardeau global des mots de passe pour les internautes, mais avertissent qu’un vritable avenir sans mot de passe peut encore prendre des annes pour la plupart des sites Web.
Sampath Srinivas, directeur de l’authentification de scurit chez Google et prsident de l’Alliance FIDO, a dclar que dans le cadre du nouveau systme, votre tlphone stockera un identifiant FIDO appel passkey qui est utilis pour dverrouiller votre compte en ligne.
Le mot de passe rend la connexion beaucoup plus scurise, car il est bas sur la cryptographie cl publique et n’est affich sur votre compte en ligne que lorsque vous dverrouillez votre tlphone , a crit Srinivas. Pour vous connecter un site Web sur votre ordinateur, vous aurez juste besoin de votre tlphone proximit et vous serez simplement invit le dverrouiller pour y accder. Une fois que vous avez fait cela, vous n’aurez plus besoin de votre tlphone et vous pourrez vous connecter en dverrouillant simplement votre ordinateur .
Comme l’alliance FIDO le rappelle, Apple, Google et Microsoft prennent dj en charge ces normes sans mot de passe (par exemple, « Se connecter avec Google »), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalit sans mot de passe. Dans le cadre de ce nouveau systme, les utilisateurs pourront accder automatiquement leur mot de passe sur plusieurs de leurs appareils – sans avoir rinscrire chaque compte – et utiliser leur appareil mobile pour se connecter une application ou un site Web sur un appareil proximit.
Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a estim que cette annonce est de loin l’effort le plus prometteur pour rsoudre le dfi de l’authentification : La partie la plus importante de cette norme est qu’elle n’obligera pas les utilisateurs acheter un nouvel appareil, mais la place, ils pourront utiliser des appareils qu’ils possdent dj et qu’ils savent utiliser comme authentificateurs , s’est rjouit Ullrich.
Steve Bellovin, professeur d’informatique l’Universit de Columbia et l’un des premiers chercheurs et pionniers d’Internet, pense que cette initiative de suppression des mots de passe est une norme avance dans l’authentification, mais a dclar qu’il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.
Bellovin et d’autres disent qu’un scnario potentiellement dlicat dans ce nouveau schma d’authentification sans mot de passe est ce qui se passe lorsque quelqu’un perd son appareil mobile ou que son tlphone tombe en panne et qu’il ne peut pas se souvenir de son mot de passe iCloud.
Je m’inquite pour les personnes qui n’ont pas les moyens d’acheter un appareil supplmentaire ou qui ne peuvent pas facilement remplacer un appareil cass ou vol , a dclar Bellovin. Je m’inquite de la rcupration de mot de passe oubli pour les comptes cloud .
Google indique que mme si vous perdez votre tlphone, vos cls d’accs seront synchronises en toute scurit avec votre nouveau tlphone partir de la sauvegarde dans le cloud, vous permettant de reprendre l o votre ancien appareil s’est arrt .
Apple et Microsoft ont galement des solutions de sauvegarde dans le cloud dont les clients utilisant ces plateformes pourraient se servir pour rcuprer partir d’un appareil mobile perdu. Mais Bellovin a dclar que beaucoup dpendait de la scurit de l’administration de ces systmes cloud : Est-il facile d’ajouter la cl publique d’un autre appareil un compte, sans autorisation ? s’est demand Bellovin. Je pense que leurs protocoles rendent cela impossible, mais d’autres ne sont pas d’accord .
Nicholas Weaver, matre de confrences au dpartement d’informatique de l’Universit de Californie Berkeley, a dclar que les sites Web devaient encore disposer d’un mcanisme de rcupration pour le scnario vous avez perdu votre tlphone et votre mot de passe , qu’il a dcrit comme un problme vraiment difficile rsoudre en toute scurit et dj l’une des plus grandes faiblesses de notre systme actuel . Si vous oubliez le mot de passe et que vous perdez votre tlphone et que vous pouvez le rcuprer, c’est une situation qui est une cible norme pour les attaquants , a dclar Weaver. Si vous oubliez le mot de passe et que vous perdez votre tlphone et que vous NE POUVEZ PAS, eh bien, vous avez maintenant perdu votre jeton d’autorisation utilis pour vous connecter. Il faudra que ce soit ce dernier. Apple a l’infrastructure en place pour le prendre en charge (iCloud keychain), mais il n’est pas clair si Google le fait .
Mme ainsi, a-t-il dclar, l’approche globale de FIDO a t un excellent outil pour amliorer la fois la scurit et la convivialit.
C’est un trs, trs grand pas en avant, et je suis ravi de voir cela , a dclar Weaver. Tirer parti de l’authentification forte du propritaire du tlphone (si vous avez un mot de passe dcent) est plutt agrable. Et au moins pour l’iPhone, vous pouvez rendre cela robuste mme pour les compromissions de tlphone, car c’est l’enclave scurise qui grerait cela et l’enclave scurise ne fait pas confiance au systme d’exploitation hte .
Les grandes enseignes de la technologie ont dclar que les nouvelles fonctionnalits sans mot de passe seront actives sur les plateformes Apple, Google et Microsoft au cours de l’anne venir . Mais les experts ont dclar qu’il faudra probablement encore plusieurs annes aux sites Web avec de petits trafics pour adopter la technologie et abandonner compltement les mots de passe.
Des recherches rcentes montrent que beaucoup trop de personnes rutilisent ou recyclent encore les mots de passe (modifiant lgrement le mme mot de passe), ce qui prsente un risque de prise de contrle de compte lorsque ces informations d’identification sont finalement exposes lors d’une violation de donnes. Un rapport publi en mars par la socit de cyberscurit SpyCloud a rvl que 64 % des utilisateurs rutilisaient les mots de passe pour plusieurs comptes et que 70 % des informations d’identification compromises lors de violations prcdentes taient toujours utilises.
Sources : FIDO Alliance, Google
Et vous ?
Avez-vous dj utilis votre tlphone comme outil d’authentification ? Sur quel(s) site(s), application(s) ou appareil(s) ?
Que pensez-vous de cette faon de se connecter ?
Que pensez-vous de l’initiative de l’Alliance FIDO ?
Voir aussi
Les mots de passe enregistrs sur Google Chrome ne sont pas l’abri des cyberattaques, la plateforme pourrait tre l’origine de la rcente hausse observe des cyberattaques, selon ESET
Les quipes de scurit trouvent plus facile d’attnuer Log4Shell plutt que de le corriger dfinitivement, le dlai moyen de remdiation aprs dtection est de 17 jours, selon Qualys Cloud Platform
Les sites web du gouvernement russe sont confronts des cyberattaques sans prcdent et des efforts techniques sont dploys pour filtrer le trafic web tranger, a dclar l’agence de presse TASS
CrowdSec dvoile « The Majority Report », son premier rapport sur l’tat des lieux de la menace cyber, bas sur les donnes de la communaut d’utilisateurs de CrowdSec