Le matériel disponible dans les points de vente des partenaires Microsoft (Yubico et Feitian Technologies) s’appuie sur FIDO2. Le standard est architecturé autour de la norme WebAuthn (publiée en tant que recommandation W3C au mois d’avril) qui permet à tout site web ou service en ligne d’utiliser des applications, des clés physiques ou des données comme méthode de connexion plutôt que des mots de passe, ou de faire usage de ces approches alternatives comme deuxième méthode de vérification. Depuis le mois de juillet, le navigateur Microsoft Edge supporte cette spécification. La firme de Redmond comblait alors le gap avec Firefox 60 et Chrome 67.
Pour Microsoft, il s’agit de sécuriser l’accès aux applications web et empêcher les attaques par hameçonnage dans un contexte sécuritaire marqué par les fuites massives de données et le vol de mots de passe. On peut simplement regretter que ces clés physiques compatibles FIDO2 ne fonctionnent qu’avec le navigateur de la firme de Redmond, du moins pour le moment.
La manœuvre de Microsoft fait suite à celle de Google. Depuis le mois de juillet, l’entreprise a lancé Titan – sa propre clé de sécurité physique. Également construite en adéquation avec le standard FIDO (pour Fast Identity Online), cette clé devient, après activation via un compte Google, le seul moyen de vérifier l’identité de la personne qui tente une connexion ; c’est peut-être l’un des plus gros défauts de ce type de dispositifs que les entreprises présentent quasiment comme l’absolu en matière de sécurisation des comptes en ligne.
Selon des chiffres publiés par Cyberscoop – un média en ligne spécialisé en cybersécurité – 71 % des attaques ciblées commencent par des tentatives de phishing. C’est dire le rôle que peuvent jouer ces clés dans la résorption de telles attaques, mais les défauts sont ailleurs. Une clé de sécurité physique peut s’égarer ouvrant l’accès du compte lié à celui qui est en sa possession – par exemple, un collègue sur le lieu de service. Dans d’autres cas, l’entreprise qui fait la promotion de la clé n’est pas celle qui la fabrique, ce qui laisse des doutes sur sa fiabilité.
Source : Microsoft
Et vous ?
Qu’en pensez-vous ?
Le mot de passe est-il appelé à mourir avec la vulgarisation croissante de ce type d’outils ?
Que faites-vous personnellement pour protéger vos comptes en ligne des dangers du moment ?
Voir aussi :
Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google
Les clés de sécurité physiques Titan de Google sont disponibles à 50 dollars aux États-Unis, pourquoi les utiliser ou non ?