Le 5 mai, Journée mondiale du mot de passe, nous nous sommes peut-être rapprochés du passé.
Dans un effort commun, les géants de la technologie Pomme, Google et Microsoft annoncé jeudi matin qu’ils se sont engagés à prendre en charge la connexion sans mot de passe sur toutes les plates-formes mobiles, de bureau et de navigateur qu’ils contrôlent au cours de l’année à venir. Effectivement, cela signifie que authentification sans mot de passe arrivera sur toutes les principales plates-formes d’appareils dans un avenir pas trop lointain: systèmes d’exploitation mobiles Android et iOS; Navigateurs Chrome, Edge et Safari ; et les environnements de bureau Windows et macOS.
« Tout comme nous concevons nos produits pour qu’ils soient intuitifs et performants, nous les concevons également pour qu’ils soient privés et sécurisés », a déclaré Kurt Knight, directeur principal du marketing des produits de plate-forme chez Apple. « Travailler avec l’industrie pour établir de nouvelles méthodes de connexion plus sécurisées qui offrent une meilleure protection et éliminent les vulnérabilités des mots de passe est au cœur de notre engagement à créer des produits qui offrent une sécurité maximale et une expérience utilisateur transparente, le tout dans le but de protéger les informations personnelles des utilisateurs. »
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23439675/FIDO_alliance_passwordless.jpeg "Apple, Google Et Microsoft S’associent Pour Prendre En Charge Les Connexions Fido Sans Mot De Passe 1")
Un processus de connexion sans mot de passe permettra aux utilisateurs de choisir leur téléphone comme principal dispositif d’authentification pour les applications, les sites Web et autres services numériques, comme Google l’a détaillé dans un article de blog publié jeudi. Déverrouiller le téléphone avec ce qui est défini comme action par défaut – entrer un code PIN, dessiner un modèle ou utiliser le déverrouillage par empreinte digitale – sera alors suffisant pour se connecter aux services Web sans avoir besoin d’entrer un mot de passe, rendu possible grâce à l’utilisation d’un jeton cryptographique unique appelé clé d’accès partagée entre le téléphone et le site Web.
En subordonnant les connexions à un appareil physique, l’idée est que les utilisateurs bénéficieront simultanément de simplicité et de sécurité. Sans mot de passe, il n’y aura aucune obligation de mémoriser les informations de connexion entre les services ou de compromettre la sécurité en réutilisant le même mot de passe à plusieurs endroits. De même, un système sans mot de passe rendra beaucoup plus difficile pour les pirates de compromettre les informations de connexion à distance, car la connexion nécessite l’accès à un appareil physique; et, théoriquement, les attaques de phishing où les utilisateurs sont dirigés vers un faux site Web pour la capture de mot de passe seront beaucoup plus difficiles à monter.
Vasu Jakkal, vice-président de Microsoft pour la sécurité, la conformité, l’identité et la confidentialité, a souligné le degré de compatibilité entre les plates-formes. « Avec les clés d’accès sur votre appareil mobile, vous pouvez vous connecter à une application ou à un service sur presque n’importe quel appareil, quelle que soit la plate-forme ou le navigateur que l’appareil exécute », a déclaré Jakkal dans un communiqué envoyé par courrier électronique. « Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome qui s’exécute sur Microsoft Windows, à l’aide d’une clé d’accès sur un appareil Apple. »
La fonctionnalité multiplateforme est rendue possible par un norme appelée FIDO, qui utilise les principes de la cryptographie à clé publique pour permettre l’authentification sans mot de passe et l’authentification multifacteur dans divers contextes. Le téléphone d’un utilisateur peut stocker une clé d’accès unique conforme à la norme FIDO et la partagera avec un site Web pour l’authentification uniquement lorsque le téléphone est déverrouillé. Selon le message de Google, les clés d’accès peuvent également être facilement synchronisées avec un nouvel appareil à partir de la sauvegarde dans le cloud en cas de perte d’un téléphone.
Bien que de nombreuses applications populaires déjà prise en charge incluse de l’authentification FIDO, l’authentification initiale a nécessité l’utilisation d’un mot de passe avant que FIDO puisse être configuré, ce qui signifie que les utilisateurs étaient toujours vulnérables aux attaques de phishing qui voient des mots de passe interceptés ou volés en cours de route.
Mais les nouvelles procédures élimineront l’exigence initiale d’un mot de passe, comme l’a déclaré Sampath Srinivas, directeur de la gestion des produits pour l’authentification sécurisée chez Google et président de l’Alliance FIDO, dans un communiqué envoyé à Le Verge.
« Cette prise en charge étendue de FIDO annoncée aujourd’hui permettra aux sites Web de mettre en œuvre, pour la première fois, une expérience sans mot de passe de bout en bout avec une sécurité résistante au phishing », a déclaré Srinivas. « Cela inclut à la fois la première connexion à un site Web et les connexions répétées. Lorsque le support par clé d’accès sera disponible dans l’ensemble de l’industrie en 2022 et 2023, nous disposerons enfin de la plate-forme Internet pour un avenir véritablement sans mot de passe. »
Jusqu’à présent, Apple, Google et Microsoft ont tous déclaré qu’ils s’attendaient à ce que les nouvelles fonctionnalités de connexion soient disponibles sur toutes les plates-formes en l’année prochaine, bien qu’une feuille de route plus spécifique n’ait pas été annoncée. Bien que le complot pour tuer le mot de passe est en cours depuis des années, il y a des signes que, cette fois, il a peut-être finalement réussi.
Google, Apple et Microsoft, qui veulent que nous nous débarrassions des mots de passe, sont certainement très gentils et cela part sûrement d’un bon sentiment mais nous ont-ils demandé notre avis ?