Apple a prsent ses passkeys l’dition 2022 de la WWDC, une nouvelle norme de connexion biomtrique qui pourrait enfin mettre un terme aux mots de passe pour de bon. Comme Apple l’explique : les passkeys utilisent les informations d’identification de la cl publique iCloud Keychain, liminant ainsi le besoin de mots de passe. Au lieu de cela, ils s’appuient sur une identification biomtrique telle que Touch ID et Face ID dans iOS, ou sur une confirmation spcifique dans macOS pour gnrer et authentifier des comptes. En tant qu’authentificateur, votre appareil Apple gnre une paire de cls publique-prive unique pour chaque compte qu’il cre sur un service. L’authentificateur conserve la cl prive et partage sa cl publique avec le serveur, appel partie utilisatrice .
L’utilisation d’un mot de passe est la mthode la plus populaire pour accder un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confront plusieurs enjeux, notamment la mmorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services ncessitant un mot de passe, et la compromission dont il peut faire l’objet.
De nombreuses tudes montrent chaque anne l’ampleur des violations de donnes lies la compromission des mots de passe. Plusieurs facteurs sont l’origine de ce problme, dont deux des plus connus sont la rtention, qui contraint parfois certains utilisateurs partager leurs mots de passe avec leurs collgues, et l’utilisation du mme mot de passe pour plusieurs comptes. Par exemple, selon une tude de la socit de cyberscurit Yubico (inventeur de la cl de scurit Yubikey) et l’institut Ponemon en 2019, 69 % des employs rvlent leurs mots de passe leurs collgues. Dans le cadre de l’dition 2020 de la journe du mot de passe,
Balbix, fournisseur de systme de scurit pour aider les entreprises transformer leur posture de cyberscurit et rduire de manire quantifiable leur risque de violation, a publi un rapport sur l’tat de l’utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs rutilisent leur mot de passe sur prs de trois comptes en raison du dsir de commodit et de rapidit lors de la navigation sur les diffrents comptes. Le rapport de Balbix estime qu’en moyenne, chaque mot de passe d’utilisateur est partag entre 2,7 comptes.
Face la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.
Aussi, depuis septembre 2021, toute personne possdant un compte Microsoft peut dsormais supprimer compltement son mot de passe du compte pour disposer d’une autre alternative de scurit. Le vice-prsident de Microsoft, Vasu Jakka, l’a annonc dans un billet de blog :
Nous sommes censs crer des mots de passe complexes et uniques, les mmoriser et les modifier frquemment, mais personne n’aime faire cela non plus. Dans un rcent sondage sur Twitter de Microsoft, une personne sur cinq a dclar qu’elle prfrait accidentellement « rpondre tous » ce qui peut tre monumentalement embarrassant plutt que de rinitialiser un mot de passe(…).
partir d’aujourd’hui, vous pouvez dsormais supprimer compltement le mot de passe de votre compte Microsoft. Utilisez l’application Microsoft Authenticator, Windows Hello, une cl de scurit ou un code de vrification envoy votre tlphone ou par e-mail pour vous connecter vos applications et services prfrs, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalit sera dploye dans les semaines venir.
Passez une authentification sans mot de passe en quelques clics rapides .
L’alternative d’Apple
Les passkeys sont bases sur l’API d’authentification Web (WebAuthn), une norme qui utilise la cryptographie cl publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockes sur l’appareil plutt que sur un serveur Web. Le remplacement du mot de passe numrique utilise Touch ID ou Face ID pour la vrification biomtrique, ce qui signifie qu’au lieu d’avoir saisir une longue chane de caractres, une application ou un site Web auquel vous vous connectez enverra une demande d’authentification votre tlphone.
Au cours de sa dmonstration WWDC de la technologie sans mot de passe, Apple a montr comment les cls d’accs sont sauvegardes dans le trousseau iCloud et peuvent tre synchronises sur Mac, iPhone, iPad et Apple TV avec un cryptage de bout en bout. Les utilisateurs pourront galement se connecter des sites Web et des applications sur des appareils non Apple l’aide d’un iPhone ou d’un iPad pour scanner un code QR et Touch ID ou Face ID pour s’authentifier.
Parce qu’il suffit d’un simple clic pour se connecter, c’est la fois plus facile, plus rapide et plus scuris que presque toutes les formes d’authentification courantes aujourd’hui , a dclar Garrett Davidson, ingnieur Apple de l’quipe Authentication Experience,
Apple n’est pas seul dans ses efforts pour tuer le mot de passe. Le mois dernier, Google et Microsoft se sont associs Apple pour tendre la prise en charge des connexions sans mot de passe sur les mobiles, les ordinateurs de bureau et les navigateurs. Ce nouvel engagement collectif a t salu par Jen Easterly, directrice de la U.S. Cybersecurity and Infrastructure Security Agency (CISA), qui l’poque l’a qualifi de type de pense avant-gardiste qui, en fin de compte, assurera la scurit des Amricains en ligne .
C’est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimes. En collaboration avec le World Wide Web Consortium, FIDO travaille la cration et la mise en uvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l’alliance, ces normes sont dj supportes par des milliards d’appareils et par tous les navigateurs web modernes.
Concrtement, il est prvu d’implmenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en uvre devrait avoir lieu cette anne encore. Au lieu d’un mot de passe, une autorisation FIDO, appele passkey, pourra tre enregistre sur le smartphone de l’utilisateur. Ce code confirme l’inscription un service en ligne. L’autorisation de paiement par carte de crdit fonctionne de manire similaire avec 3D-Secure 2.0.
Dans un effort conjoint pour rendre le Web plus sr et utilisable par tous, Apple, Google et Microsoft ont annonc aujourd’hui leur intention d’tendre la prise en charge d’une norme commune de connexion sans mot de passe cre par l’Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalit permettra aux sites Web et aux applications d’offrir aux consommateurs des connexions sans mot de passe cohrentes, scurises et faciles sur tous les appareils et plates-formes.
L’authentification par mot de passe uniquement est l’un des plus gros problmes de scurit sur le Web, et la gestion d’un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs rutiliser les mmes dans tous les services. Cette pratique peut entraner des prises de contrle de compte coteuses, des violations de donnes et mme des identits voles. Alors que les gestionnaires de mots de passe et les anciennes formes d’authentification deux facteurs offrent des amliorations progressives, il y a eu une collaboration l’chelle de l’industrie pour crer une technologie de connexion plus pratique et plus scurise.
Les capacits tendues bases sur des normes donneront aux sites Web et aux applications la possibilit d’offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la mme action qu’ils effectuent plusieurs fois par jour pour dverrouiller leurs appareils, comme une simple vrification de leur empreinte digitale ou de leur visage, ou un code PIN d’appareil. Cette nouvelle approche protge contre le phishing et la connexion sera radicalement plus scurise par rapport aux mots de passe et aux technologies multifactorielles hrites telles que les codes d’accs usage unique envoys par SMS .
Des centaines d’entreprises technologiques et de fournisseurs de services du monde entier ont travaill au sein de l’Alliance FIDO et du W3C pour crer les normes de connexion sans mot de passe qui sont dj prises en charge par des milliards d’appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirig le dveloppement de cet ensemble tendu de fonctionnalits et intgrent dsormais la prise en charge dans leurs plateformes respectives.
Les plateformes de ces entreprises prennent dj en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d’appareils de pointe, mais les implmentations prcdentes obligent les utilisateurs se connecter chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalit sans mot de passe. L’annonce du 5 mai tend ces implmentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalits pour des connexions sans mot de passe plus transparentes et scurises :
- Autoriser les utilisateurs accder automatiquement leurs identifiants de connexion FIDO (que certains appellent une cl d’accs ) sur bon nombre de leurs appareils, mme les nouveaux, sans avoir rinscrire chaque compte.
- Permettre aux utilisateurs d’utiliser l’authentification FIDO sur leur appareil mobile pour se connecter une application ou un site Web sur un appareil proximit, quelle que soit la plateforme du systme d’exploitation ou le navigateur qu’ils excutent.
- En plus de faciliter une meilleure exprience utilisateur, le large support de cette approche base sur des normes permettra aux fournisseurs de services d’offrir des informations d’identification FIDO sans avoir besoin de mots de passe comme mthode alternative de connexion ou de rcupration de compte.
Ces nouvelles fonctionnalits devraient tre disponibles sur les plateformes Apple, Google et Microsoft au cours de l’anne venir.
Source : Apple
Et vous ?
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la cl de scurit ou le code de vrification envoy votre tlphone ou par e-mail ?
tes-vous tent d’essayer l’une d’elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez dj essay au moins une, qu’en avez-vous pens ?
Que pensez-vous des passkeys d’Apple ?
Des retombes sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient tre adopt massivement par internet et les internautes ?