La protection par mot de passe a t l’aspect fondamental de la cyberscurit en ligne pendant des dcennies, mais l’volution rapide des techniques de piratage et des logiciels malveillants a ncessit l’arrive d’une nouvelle faon de faire : l’authentification plusieurs facteurs. De nombreuses entreprises sont passes ce mode d’authentification en raison du fait que c’est le genre de chose qui pourrait potentiellement finir par crer une couche de dfense supplmentaire, et le rsultat final naturel de cette progression semble tre un monde entirement dpourvu de mots de passe.
La FIDO (pour Fast IDentity Online), une alliance de plusieurs entreprises (parmi lesquelles de Google, Apple, Meta et Microsoft) qui existe depuis 2013 tente d’acclrer l’obsolescence des mots de passe. En collaboration avec le World Wide Web Consortium, FIDO travaille la cration et la mise en uvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l’alliance, ces normes sont dj supportes par des milliards d’appareils et par tous les navigateurs web modernes.
Concrtement, il est prvu d’implmenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en uvre devrait avoir lieu cette anne encore. Au lieu d’un mot de passe, une autorisation FIDO, appele passkey, pourra tre enregistre sur le smartphone de l’utilisateur. Ce code confirme l’inscription un service en ligne. L’autorisation de paiement par carte de crdit fonctionne de manire similaire avec 3D-Secure 2.0.
Dans un effort conjoint pour rendre le Web plus sr et utilisable par tous, Apple, Google et Microsoft ont annonc aujourd’hui leur intention d’tendre la prise en charge d’une norme commune de connexion sans mot de passe cre par l’Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalit permettra aux sites Web et aux applications d’offrir aux consommateurs des connexions sans mot de passe cohrentes, scurises et faciles sur tous les appareils et plates-formes.
L’authentification par mot de passe uniquement est l’un des plus gros problmes de scurit sur le Web, et la gestion d’un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs rutiliser les mmes dans tous les services. Cette pratique peut entraner des prises de contrle de compte coteuses, des violations de donnes et mme des identits voles. Alors que les gestionnaires de mots de passe et les anciennes formes d’authentification deux facteurs offrent des amliorations progressives, il y a eu une collaboration l’chelle de l’industrie pour crer une technologie de connexion plus pratique et plus scurise.
Les capacits tendues bases sur des normes donneront aux sites Web et aux applications la possibilit d’offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la mme action qu’ils effectuent plusieurs fois par jour pour dverrouiller leurs appareils, comme une simple vrification de leur empreinte digitale ou de leur visage, ou un code PIN d’appareil. Cette nouvelle approche protge contre le phishing et la connexion sera radicalement plus scurise par rapport aux mots de passe et aux technologies multifactorielles hrites telles que les codes d’accs usage unique envoys par SMS .
Des centaines d’entreprises technologiques et de fournisseurs de services du monde entier ont travaill au sein de l’Alliance FIDO et du W3C pour crer les normes de connexion sans mot de passe qui sont dj prises en charge par des milliards d’appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirig le dveloppement de cet ensemble tendu de fonctionnalits et intgrent dsormais la prise en charge dans leurs plateformes respectives.
Les plateformes de ces entreprises prennent dj en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d’appareils de pointe, mais les implmentations prcdentes obligent les utilisateurs se connecter chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalit sans mot de passe. L’annonce de la FIDO tend ces implmentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalits pour des connexions sans mot de passe plus transparentes et scurises :
- Autoriser les utilisateurs accder automatiquement leurs identifiants de connexion FIDO (que certains appellent une cl d’accs ) sur bon nombre de leurs appareils, mme les nouveaux, sans avoir rinscrire chaque compte.
- Permettre aux utilisateurs d’utiliser l’authentification FIDO sur leur appareil mobile pour se connecter une application ou un site Web sur un appareil proximit, quelle que soit la plateforme du systme d’exploitation ou le navigateur qu’ils excutent.
- En plus de faciliter une meilleure exprience utilisateur, le large support de cette approche base sur des normes permettra aux fournisseurs de services d’offrir des informations d’identification FIDO sans avoir besoin de mots de passe comme mthode alternative de connexion ou de rcupration de compte.
Ces nouvelles fonctionnalits devraient tre disponibles sur les plateformes Apple, Google et Microsoft au cours de l’anne venir.
Votre tlphone pourrait bientt remplacer plusieurs de vos mots de passe
Les experts ont estim que les changements devraient aider vaincre de nombreux types d’attaques de phishing et allger le fardeau global des mots de passe pour les internautes, mais avertissent qu’un vritable avenir sans mot de passe peut encore prendre des annes pour la plupart des sites Web.
Cependant, certains estiment que cela pourrait enfermer les utilisateurs dans un cosystme particulier. Prenant le cas d’une authentification avec Face ID sur iPhone, un expert s’interroge : Si tout, de votre compte bancaire votre compte Twitter, n’est accessible que par la reconnaissance faciale, votre iPhone deviendra encore plus important et cela pourrait vous dcourager de vous loigner de cet cosystme. Google, Amazon et la plupart des autres grandes entreprises technologiques soutiennent galement l’initiative, mais cet effet secondaire potentiel involontaire est toujours prendre en compte. Les utilisateurs ont dj du mal passer d’iOS Android et vice versa, et cette nouvelle initiative pourrait rendre les choses encore plus prononces .
Certains suggrent une solution base sur la blockchain dans laquelle votre identifiant facial est stock en toute scurit sous la forme d’un NFT, car cela retirerait le contrle des mains des grandes entreprises technologiques. Cependant, il reste voir si l’une de ces solutions est durable, sinon nous pourrions continuer nous fier aux mots de passe pour verrouiller nos comptes.
Sampath Srinivas, directeur de l’authentification de scurit chez Google et prsident de l’Alliance FIDO, a dclar que dans le cadre du nouveau systme, votre tlphone stockera un identifiant FIDO appel passkey qui est utilis pour dverrouiller votre compte en ligne.
Le mot de passe rend la connexion beaucoup plus scurise, car il est bas sur la cryptographie cl publique et n’est affich sur votre compte en ligne que lorsque vous dverrouillez votre tlphone , a crit Srinivas. Pour vous connecter un site Web sur votre ordinateur, vous aurez juste besoin de votre tlphone proximit et vous serez simplement invit le dverrouiller pour y accder. Une fois que vous avez fait cela, vous n’aurez plus besoin de votre tlphone et vous pourrez vous connecter en dverrouillant simplement votre ordinateur .
Comme l’alliance FIDO le rappelle, Apple, Google et Microsoft prennent dj en charge ces normes sans mot de passe (par exemple, « Se connecter avec Google »), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalit sans mot de passe. Dans le cadre de ce nouveau systme, les utilisateurs pourront accder automatiquement leur mot de passe sur plusieurs de leurs appareils – sans avoir rinscrire chaque compte – et utiliser leur appareil mobile pour se connecter une application ou un site Web sur un appareil proximit.
Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a estim que cette annonce est de loin l’effort le plus prometteur pour rsoudre le dfi de l’authentification : La partie la plus importante de cette norme est qu’elle n’obligera pas les utilisateurs acheter un nouvel appareil, mais la place, ils pourront utiliser des appareils qu’ils possdent dj et qu’ils savent utiliser comme authentificateurs , s’est rjouit Ullrich.
Steve Bellovin, professeur d’informatique l’Universit de Columbia et l’un des premiers chercheurs et pionniers d’Internet, pense que cette initiative de suppression des mots de passe est une norme avance dans l’authentification, mais a dclar qu’il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.
Bellovin et d’autres disent qu’un scnario potentiellement dlicat dans ce nouveau schma d’authentification sans mot de passe est ce qui se passe lorsque quelqu’un perd son appareil mobile ou que son tlphone tombe en panne et qu’il ne peut pas se souvenir de son mot de passe iCloud.
Je m’inquite pour les personnes qui n’ont pas les moyens d’acheter un appareil supplmentaire ou qui ne peuvent pas facilement remplacer un appareil cass ou vol , a dclar Bellovin. Je m’inquite de la rcupration de mot de passe oubli pour les comptes cloud .
Google indique que mme si vous perdez votre tlphone, vos cls d’accs seront synchronises en toute scurit avec votre nouveau tlphone partir de la sauvegarde dans le cloud, vous permettant de reprendre l o votre ancien appareil s’est arrt .
Apple et Microsoft ont galement des solutions de sauvegarde dans le cloud dont les clients utilisant ces plateformes pourraient se servir pour rcuprer partir d’un appareil mobile perdu. Mais Bellovin a dclar que beaucoup dpendait de la scurit de l’administration de ces systmes cloud : Est-il facile d’ajouter la cl publique d’un autre appareil un compte, sans autorisation ? s’est demand Bellovin. Je pense que leurs protocoles rendent cela impossible, mais d’autres ne sont pas d’accord .
Source : FIDO Alliance
Et vous ?
Avez-vous dj utilis un outil d’authentification diffrent de votre mot de passe sur votre tlphone (par exemple votre empreinte digitale) lorsque vous vous connectiez sur une application compatible (WhatsApp, certaines applications bancaires ainsi que d’autres types d’applications) ?
Avez-vous dj t oblig d’utiliser votre tlphone pour vous connecter un service (par exemple les services Google lorsque vous voulez utiliser votre compte YouTube sur la tl ou votre compte Gmail sur votre ordinateur) ?
Qu’en pensez-vous dans l’absolu ? Prfrez-vous que l’utilisation d’un autre outil pour l’authentification devrait tre propose par dfaut ou devrait-elle tre activable par l’utilisateur s’il le dsire ?
Un systme sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?