Bitwarden acquiert Passwordless.dev pour aider les dveloppeurs proposer des solutions d’authentification sans mots de passe aux entreprises et aux particuliers

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



La plate-forme de gestion de mots de passe open source Bitwarden a fait sa premire acquisition connue, en reprenant une jeune startup sudoise appele Passwordless.dev, qui se spcialise dans l’aide aux dveloppeurs pour intgrer la technologie d’authentification sans mot de passe dans leurs logiciels.

Lger et open source, Passwordless.dev s’intgre facilement aux systmes existants et permet aux dveloppeurs d’apporter WebAuthn aux utilisateurs en seulement quelques lignes de code. Pour les entreprises cherchant moderniser les applications internes existantes avec une authentification sans mot de passe, Passwordless.dev rduit les cots et la complexit, offrant une solution cl en main et agile.

Semblable d’autres services de gestion de mots de passe, Bitwarden est conu pour permettre aux particuliers et aux entreprises de crer automatiquement des mots de passe difficiles deviner et de les stocker tous dans un coffre-fort scuris. L’objectif ici est d’aider les internautes ne pas rutiliser le mme mot de passe prvisible sur tous leurs services en ligne. Le principal argument de vente de Bitwarden, cependant, est qu’il est open source (ou, du moins, qu’il est disponible en open source), ce qui signifie qu’il promet une transparence totale dans la base de code, tout en permettant la communaut de contribuer et d’aider dvelopper de nouvelles fonctionnalits.

En fait, le code source de Bitwarden est hberg sur GitHub, avec des dpts spars pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalits des listes de contrle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation scurise dans le cloud. Si lutilisateur nest pas l’aise avec le stockage de ses mots de passe dans le cloud Bitwarden, il peut hberger l’infrastructure sur votre propre serveur, en utilisant Docker.

Des atouts qui ont permis Bitwarden, rival de 1Password et LastPass, d’annoncer son premier financement extrieur depuis sa cration en 2015, obtenant 100 millions de dollars du PSG (pas le club de football, bien entendu) et de Battery Ventures. Avec cet investissement, Bitwarden a indiqu vouloir faire voluer sa solution flexible et open source pour offrir des options de scurit en ligne plus solides aux particuliers et aux entreprises.

La socit a galement profit de cette annonce pour dvoiler qu’elle avait lev des fonds en srie A en 2019, sans pour autant divulguer le montant.

Les leves de fonds en srie A entrent dans la catgorie du capital dveloppement. Ces oprations sont destines financer lacclration de la croissance de lentreprise, la fois interne et externe.

Pour envisager une leve de fonds en srie A, il faut avoir un produit ou service sur le march et qui suscite de lintrt, ainsi que des perspectives de dveloppement et une vision claire de lavenir. ce stade, lentreprise gnre dj du chiffre daffaires. La srie A sadresse principalement aux entreprises qui veulent se dvelopper sur leur march lchelle nationale.

Les fonds levs dans le cadre dune srie A slvent gnralement quelques millions deuros.

La dcentralisation du travail et le mlange d’appareils personnels et de travail ont oblig les individus crer, grer et mmoriser des dizaines d’informations d’identification en ligne. Cela conduit gnralement la rutilisation du mot de passe sur plusieurs comptes et expose les utilisateurs finaux au risque de vol de mot de passe. Les entreprises ressentent les effets d’une mauvaise hygine des informations d’identification, une tude montrant que plus de la moiti des quipes informatiques ont signal une cyberattaque au cours de l’anne coule. De plus, les rpercussions pour les particuliers et les entreprises la suite d’une cyberattaque russie sont considrables (du vol d’identit la fraude financire) faisant des attaques de phishing et des menaces de mot de passe l’une des plus grandes vulnrabilits des organisations modernes.

En quoi l’acquisition de Passwordless.dev serait stratgique ?

L’utilisation d’un mot de passe est la mthode la plus populaire pour accder un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confront plusieurs enjeux, notamment la mmorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services ncessitant un mot de passe, et la compromission dont il peut faire l’objet.

De nombreuses tudes montrent chaque anne l’ampleur des violations de donnes lies la compromission des mots de passe. Plusieurs facteurs sont l’origine de ce problme, dont deux des plus connus sont la rtention, qui contraint parfois certains utilisateurs partager leurs mots de passe avec leurs collgues, et l’utilisation du mme mot de passe pour plusieurs comptes. Par exemple, selon une tude de la socit de cyberscurit Yubico (inventeur de la cl de scurit Yubikey) et l’institut Ponemon en 2019, 69 % des employs rvlent leurs mots de passe leurs collgues. Dans le cadre de l’dition 2020 de la journe du mot de passe,

Balbix, fournisseur de systme de scurit pour aider les entreprises transformer leur posture de cyberscurit et rduire de manire quantifiable leur risque de violation, a publi un rapport sur l’tat de l’utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs rutilisent leur mot de passe sur prs de trois comptes en raison du dsir de commodit et de rapidit lors de la navigation sur les diffrents comptes. Le rapport de Balbix estime qu’en moyenne, chaque mot de passe d’utilisateur est partag entre 2,7 comptes.

Face la situation, les grandes enseignes technologiques Google, Apple et Microsoft ont opt pour une approche sans mot de passe. L’anne dernire, Apple, Google et Microsoft se sont associs pour soutenir une nouvelle norme de connexion sans mot de passe appele WebAuthn, tandis qu’Apple a introduit sparment une nouvelle fonctionnalit appele Passkey qui permet aux utilisateurs d’utiliser leur appareil Apple pour se connecter des services en ligne sans mot de passe.

Les passkeys sont bases sur l’API d’authentification Web (WebAuthn), une norme qui utilise la cryptographie cl publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockes sur l’appareil plutt que sur un serveur Web. Le remplacement du mot de passe numrique utilise Touch ID ou Face ID pour la vrification biomtrique, ce qui signifie qu’au lieu d’avoir saisir une longue chane de caractres, une application ou un site Web auquel vous vous connectez enverra une demande d’authentification votre tlphone.

Bitwarden voudrait capitaliser sur cette tendance naissante dans le domaine de la scurit en ligne, qui cherche consigner les mots de passe dans les livres d’histoire (les mots de passe compromis, aprs tout, sont responsables de la plupart des failles de scurit des entreprises).

Bitwarden propose dj une certaine prise en charge de l’authentification sans mot de passe, comme les connexions biomtriques pour les propres applications de Bitwarden, tout en prenant galement en charge les cls de scurit physiques d’authentification deux facteurs (2FA) telles que YubiKey. Mais en prenant Passwordless.dev sous son aile, Bitwarden veut permettre aux dveloppeurs d’intgrer plus facilement la connexion biomtrique native dans leur logiciel, tout en permettant aux entreprises de moderniser leurs applications existantes qui reposent actuellement sur des mots de passe.

Fond en Sude en 2020, Passwordless.dev est pass inaperu depuis sa cration. Mais la socit fournit des API bases sur WebAuthn, une norme Web dveloppe par l’Alliance FIDO et le World Wide Web Consortium (W3C) pour prendre en charge les connexions scurises par mot de passe. Passwordless.dev permet essentiellement aux dveloppeurs d’intgrer WebAuthn aux logiciels avec quelques lignes de code, rduisant ainsi de nombreux cots et complexits lis l’introduction de l’authentification sans mot de passe dans les logiciels.

La plupart des entreprises souhaitent investir dans des solutions sans mot de passe telles que Face ID, Touch ID, Windows Hello et d’autres formes d’authentification Web pour crer de meilleures expriences utilisateur et une scurit renforce , a dclar Michael Crandell, PDG de Bitwarden. Passwordless.dev permet aux dveloppeurs et aux entreprises d’acclrer l’innovation sans mot de passe en simplifiant les efforts de dveloppement en une seule API .

Les clients veulent des solutions d’authentification sans mot de passe uniques leur entreprise et leurs utilisateurs finaux, mais la cration d’expriences diffrencies ncessite beaucoup de ressources , a dclar Anders berg, fondateur de Passwordless.dev. Dans cette course vers des expriences en ligne scurises avec la puissance de FIDO2 pour attnuer les vecteurs d’attaque courants, Bitwarden et Passwordless.dev rendront le sans mot de passe plus accessible tous .

Dj une version bta de Passwordless.dev Bitwarden

Dans le cadre de cette annonce, Bitwarden a annonc le lancement de la version bta de Bitwarden Passwordless.dev, qui permet tout dveloppeur tiers d’intgrer une technologie de connexion biomtrique telle que Touch ID, Face ID et Windows Hello dans ses applications.

Cela permet d’conomiser des semaines de codage d’implmentations de cl de passe faire soi-mme , a expliqu le PDG de Bitwarden, Michael Crandell. Les entreprises disposent galement d’applications professionnelles qui reposent toujours sur des mots de passe pour l’authentification et souhaitent offrir aux utilisateurs des expriences sans mot de passe. Bitwarden Passwordless.dev les aide ajouter rapidement des fonctionnalits d’authentification WebAuthn et sans mot de passe dans ces applications .

Passwordless.dev by Bitwarden sera gratuit pendant sa priode bta initiale au premier trimestre 2023, aprs quoi la socit a annonc qu’elle proposerait des forfaits payants couvrant certains niveaux d’utilisation et de fonctionnalits. Dans une FAQ sur son communiqu annonant le rachat de la structure, Bitwarden a confirm que Passwordless.dev continuera d’tre propos aux dveloppeurs indpendamment des autres produits Bitwarden.

Les grandes enseignes technologiques plaident pour une authentification sans mots de passe

C’est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, qu’Apple, Microsoft et Google se sont exprimes. En collaboration avec le World Wide Web Consortium, FIDO travaille la cration et la mise en uvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l’alliance, ces normes sont dj supportes par des milliards d’appareils et par tous les navigateurs web modernes :

L’authentification par mot de passe uniquement est l’un des plus gros problmes de scurit sur le Web, et la gestion d’un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs rutiliser les mmes dans tous les services. Cette pratique peut entraner des prises de contrle de compte coteuses, des violations de donnes et mme des identits voles. Alors que les gestionnaires de mots de passe et les anciennes formes d’authentification deux facteurs offrent des amliorations progressives, il y a eu une collaboration l’chelle de l’industrie pour crer une technologie de connexion plus pratique et plus scurise.

Les capacits tendues bases sur des normes donneront aux sites Web et aux applications la possibilit d’offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la mme action qu’ils effectuent plusieurs fois par jour pour dverrouiller leurs appareils, comme une simple vrification de leur empreinte digitale ou de leur visage, ou un code PIN d’appareil. Cette nouvelle approche protge contre le phishing et la connexion sera radicalement plus scurise par rapport aux mots de passe et aux technologies multifactorielles hrites telles que les codes d’accs usage unique envoys par SMS .

Des centaines d’entreprises technologiques et de fournisseurs de services du monde entier ont travaill au sein de l’Alliance FIDO et du W3C pour crer les normes de connexion sans mot de passe qui sont dj prises en charge par des milliards d’appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirig le dveloppement de cet ensemble tendu de fonctionnalits et intgrent dsormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent dj en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d’appareils de pointe.

Sources : annonce Bitwarden, Passwordless.dev

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez-vous l’offre concurrente ? Quels sont les critres qui vous ont amen opter pour ce dernier plutt que sur ceux d’autres diteurs ?

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la cl de scurit ou le code de vrification envoy votre tlphone ou par e-mail ?

:fleche! tes-vous tent d’essayer l’une d’elles (ou plusieurs) ? Dans quelle mesure ?

Si vous en avez dj essay au moins une, qu’en avez-vous pens ?

Des retombes sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient tre adopt massivement par internet et les internautes ?

Les mots de passe ont-ils encore de beaux jours venir selon vous ?

Voir aussi :

Faut il abandonner Lastpass pour d’autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui voquent sa longue histoire d’incomptence et de ngligence

Un grand pari pour liminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouv la pice manquante sur la voie d’un avenir sans mot de passe



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.