À vrai dire, je ne suis pas le plus grand fan de la Journée mondiale du mot de passe. De telles étiquettes fantaisistes pour un jour de l’année ont tendance à ne pas faire beaucoup de différence pour la sensibilisation globale aux problèmes de sécurité importants pour la plupart des utilisateurs, me semble-t-il. Cependant, je ferai une exception pour 2022, car trois géants de la technologie ont utilisé l’objectif de la journée des mots de passe pour annoncer un pacte de sécurité étonnant. Ironiquement, un pacte qui pourrait voir les mots de passe disparaître progressivement dans l’utilisation quotidienne de millions de personnes. Voici ce qu’Apple, Google et Microsoft ont annoncé et pourquoi c’est important.
Se débarrasser des frictions de mot de passe pour renforcer la sécurité
Quiconque a déjà lu mes articles ou regardé la série de vidéos Forbes Straight Talking Cyber saura que je ne suis pas un grand fan des mots de passe. Ou, plutôt, du fait qu’ils ont tendance à encourager une mauvaise hygiène de sécurité parmi les utilisateurs. Faciles à retenir et faciles à deviner, les mots de passe sont à l’ordre du jour pour tant de gens et, pour aggraver encore les choses, ils sont ensuite utilisés sur plusieurs comptes, sites et services. J’ai toujours été évangéliste quant à l’utilisation des gestionnaires de mots de passe, mais même ces applications qui rendent l’utilisation des mots de passe moins compliquée en même temps que le renforcement de la sécurité sont trop compliquées pour la majorité. Pour de meilleures mesures de sécurité afin de gagner en influence auprès de l’utilisateur moyen, ils doivent créer le moins de friction possible, être si faciles à utiliser que vous remarquez à peine qu’ils sont là. C’est pourquoi je suis aussi un fan des systèmes « sans mot de passe » et si enthousiaste à propos de le pacte de sécurité époustouflant entre Apple, Google et Microsoft pour 2022 et au-delà.
Un pacte de sécurité étonnant entre Apple, Google et Microsoft révélé
Alors, qu’ont annoncé Apple, Google et Microsoft? En bref, les trois géants de la technologie ont convenu d’un effort conjoint s’engageant à »étendre la prise en charge d’une norme de connexion sans mot de passe commune. » Que cela signifie-t-il? Eh bien, commençons par ce que cela ne signifie pas et c’est un changement immédiat car ceux-ci seront probablement déployés dans les mois à venir et je ne serais pas du tout surpris si nous parlions davantage vers la fin de l’année avant de voir cette vision d’un avenir sans mot de passe devenir une réalité sur les trois plates-formes de fournisseurs. Ce que cela signifie cependant, c’est un engagement envers les normes FIDO (Fast ID Online) Alliance en utilisant des appareils mobiles au lieu de mots de passe pour authentifier les applications et les sites Web et le faire sur plusieurs plates-formes. Ceci est important car vous pourrez vous connecter à un site ou à un service sur votre ordinateur « à portée » simplement en regardant votre téléphone, en scannant votre empreinte digitale ou en entrant un code PIN.
Authentification plus simple, plus forte et multiplateforme pour tous
Dans ce scénario, le smartphone agit comme un magasin de clés d’accès sécurisé. L’utilisation, par exemple, de la biométrie pour accéder à cette clé fournit quelque chose que vous êtes (scan du visage ou des empreintes digitales) ou quelque chose que vous connaissez (un code PIN) plus quelque chose que vous avez (le smartphone) en une seule action simple. Comme je l’ai déjà souligné, l’amélioration de la sécurité nécessite l’acceptation des utilisateurs, ce qui signifie que les solutions doivent être aussi fluides que possible. Cela coche cette case. Si vous êtes déjà habitué à Face ID sur votre iPhone, Windows Hello sur votre ordinateur et aux invites Microsoft Authenticator ou Google pour l’authentification à deux facteurs du smartphone, vous apprécierez à quel point c’est simple. Ce dernier montre déjà comment cette technologie multiplateforme sans mot de passe fonctionnera: vous souhaitez accéder à un site ou à un service à l’aide d’un navigateur Google Chrome sur un PC Windows, et vous pouvez le faire simplement en confirmant une invite qui apparaît sur votre iPhone. À quel point est-ce cool et pratique?
Sécurité simplifiée, sécurité plus robuste
Bien qu’il y ait un certain kilométrage dans l’argument selon lequel mettre tous vos œufs d’authentification dans le même panier, un panier en forme de smartphone, il est en fait plus sûr qu’il n’y paraît. Du moins pour la plupart des gens, la plupart du temps. Pour qu’un acteur de la menace puisse accéder à vos comptes ou services, il doit disposer d’un accès physique à votre appareil et à votre visage/empreintes digitales ou à votre code PIN. Ce n’est en aucun cas impossible, personne ne le suggère, et il y a aussi un argument à faire valoir à ce sujet, ce qui facilite l’accès des forces de l’ordre dans certaines circonstances. Cependant, lorsque l’on parle de l’utilisateur moyen, quelqu’un qui n’utilise probablement pas le mot de passe le plus fort, mais qui est statistiquement susceptible de les réutiliser sur tous les sites et services, c’estc’est un grand pas en avant en ce qui concerne l’authentification sécurisée à mon humble avis.
Que disent les experts de ce pacte de sécurité stupéfiant ?
Jen Easterly, directrice des États-Unis Agence de cybersécurité et de sécurité des infrastructures L’« Les normes développées par l’Alliance FIDO et le World Wide Web Consortium et dirigées dans la pratique par ces entreprises innovantes sont le type de pensée avant-gardiste qui permettra en fin de compte de garder les Américains plus en sécurité en ligne. Je salue l’engagement de nos partenaires du secteur privé envers des normes ouvertes qui ajoutent de la flexibilité pour les fournisseurs de services et une meilleure expérience utilisateur pour les clients. »
Jake Moore, conseiller mondial en cybersécurité chez ESETIl est encourageant de constater que Microsoft, Google et Apple tentent d’ouvrir la voie pour rendre l’accès au compte à la fois sûr et pratique. Ce n’est pas quelque chose qui peut être réalisé du jour au lendemain, mais cela souligne qu’il faut en faire plus en matière de sécurité des mots de passe. Les cybercriminels tenteront inévitablement de contourner le tour en cherchant des moyens d’exploiter cette méthode car rien ne reste à l’épreuve du piratage, mais comme pour toute adoption précoce de nouvelles technologies, c’est un bon début et nous sommes susceptibles d’en voir une version décente dans un proche avenir. »