Le 5 mai journée mondiale du mot de passe et pour fêter l'événement, Apple, Google et Microsoft lancent un "effort conjoint" pour tuer le mot de passe. Les principaux fournisseurs de systèmes d'exploitation veulent "étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium". Cette norme est appelée "crédential FIDO multi-dispositifs" ou simplement "passkey". Au lieu d'une longue chaîne de caractères, ce nouveau système prévoit que l'application ou le site Web auquel vous vous connectez envoie une demande d'authentification à votre téléphone. À partir de là, vous devrez déverrouiller le téléphone, vous authentifier à l'aide d'un code PIN ou d'un identifiant biométrique, puis vous pourrez continuer. L'objectif est de mettre en place une authentification multiplateforme cohérente et facile à gérer pour les logiciels et les sites Web, sans avoir à se souvenir des mots de passe.Dans un effort commun, les géants de la technologie Apple, Google et Microsoft ont annoncé hier matin qu'ils sont engagés à mettre en place une prise en charge de la connexion sans mot de passe sur toutes les plateformes mobiles, de desktop et de navigateur qu'ils contrôlent dans l'année à venir. Cela signifie que l'authentification sans mot de passe sera disponible sur toutes les principales plateformes de périphériques dans un avenir proche : les systèmes d'exploitation mobiles Android et iOS, les navigateurs Chrome, Edge et Safari, et les environnements de bureau Windows et macOS.
« Tout comme nous concevons nos produits pour qu'ils soient intuitifs et performants, nous les concevons également pour qu'ils soient privés et sécurisés. Travailler avec l'industrie pour établir de nouvelles méthodes de connexion plus sûres qui offrent une meilleure protection et éliminent les vulnérabilités des mots de passe est au cœur de notre engagement à construire des produits qui offrent une sécurité maximale et une expérience utilisateur transparente, le tout dans le but de garder les informations personnelles des utilisateurs en sécurité », a déclaré Kurt Knight, directeur principal du marketing des produits de plateforme chez Apple.
Un processus de connexion sans mot de passe permettra aux utilisateurs de choisir leur téléphone comme principal dispositif d'authentification pour les applications, sites web et autres services numériques, comme le détaille Google dans un billet de blog publié hier. Il suffira alors de déverrouiller le téléphone avec l'action définie par défaut (saisie d'un code PIN, dessin d'un motif ou déverrouillage par empreinte digitale) pour se connecter aux services Web sans avoir à saisir de mot de passe, grâce à l'utilisation d'un jeton cryptographique unique appelé "passkey", partagé entre le téléphone et le site Web.
Comment cela fonctionnera-t-il ?
« Cette étape importante témoigne du travail de collaboration réalisé dans l'ensemble du secteur pour renforcer la protection et éliminer l'authentification obsolète par mot de passe. Pour Google, cette étape représente près d'une décennie de travail aux côtés de la FIDO, dans le cadre de notre innovation continue vers un avenir sans mot de passe. Nous sommes impatients de rendre la technologie basée sur la FIDO disponible sur Chrome, ChromeOS, Android et d'autres plateformes, et nous encourageons les développeurs d'applications et de sites Web à l'adopter, afin que les gens du monde entier puissent s'affranchir en toute sécurité des risques et des tracas liés aux mots de passe », déclare Mark Risher, directeur principal de la gestion des produits chez Google.
En subordonnant la connexion à un appareil physique, l'idée est que les utilisateurs bénéficient simultanément de la simplicité et de la sécurité. Sans mot de passe, il n'y aura pas d'obligation de se souvenir des détails de connexion à travers les services ou de compromettre la sécurité en réutilisant le même mot de passe à plusieurs endroits. De même, avec un système sans mot de passe, il sera beaucoup plus difficile pour les pirates informatiques de compromettre les données de connexion à distance, puisque la connexion nécessite l'accès à un appareil physique ; et, en théorie, les attaques par phishing où les utilisateurs sont dirigés vers un faux site web pour capturer le mot de passe seront beaucoup plus difficiles à organiser.
Vasu Jakkal, vice-président de Microsoft chargé de la sécurité, de la conformité, de l'identité et de la confidentialité, a souligné le degré de compatibilité entre les plateformes. « Avec les clés de passe sur votre appareil mobile, vous êtes en mesure de vous connecter à une application ou à un service sur presque n'importe quel appareil, quelle que soit la plate-forme ou le navigateur que l'appareil exécute. Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome fonctionnant sous Microsoft Windows, en utilisant un mot de passe sur un appareil Apple », a déclaré Jakkal dans un communiqué.
La fonctionnalité multiplateforme est rendue possible par une norme appelée FIDO, qui utilise les principes du chiffrement à clé publique pour permettre une authentification sans mot de passe et une authentification multifactorielle dans une série de contextes. Le téléphone d'un utilisateur peut stocker un mot de passe unique conforme à la norme FIDO et ne le partage avec un site Web pour l'authentification que lorsque le téléphone est déverrouillé. Selon la publication de Google, les clés peuvent également être facilement synchronisées avec un nouvel appareil à partir d'une sauvegarde sur le cloud en cas de perte du téléphone.
Bien que de nombreuses applications populaires prennent déjà en charge l'authentification FIDO, l'ouverture de session initiale nécessitait l'utilisation d'un mot de passe avant de pouvoir configurer FIDO : ce qui signifie que les utilisateurs étaient toujours vulnérables aux attaques de phishing au cours desquelles les mots de passe étaient interceptés ou volés. Mais les nouvelles procédures supprimeront l'exigence initiale d'un mot de passe, comme l'a déclaré Sampath Srinivas, directeur de la gestion des produits pour l'authentification sécurisée chez Google et président de l'Alliance FIDO : « Cette prise en charge étendue de FIDO annoncée aujourd'hui permettra aux sites Web de mettre en œuvre, pour la première fois, une expérience de bout en bout sans mot de passe avec une sécurité résistant au phishing. Cela inclut à la fois la première connexion à un site Web et les connexions répétées. Lorsque la prise en charge des clés de passe sera disponible dans l'ensemble du secteur en 2022 et 2023, nous disposerons enfin de la plateforme internet pour un avenir véritablement sans mot de passe ».
Les entreprises essaient de se passer de mot de passe depuis des années, mais il n'a pas été facile d'y parvenir. Les mots de passe fonctionnent bien s'ils sont longs, aléatoires, secrets et uniques, mais l'élément humain des mots de passe est toujours un problème. Nous ne sommes pas très doués pour mémoriser des chaînes de caractères longues et aléatoires. Il est tentant de noter les mots de passe ou de les réutiliser, et les programmes de phishing essaient de vous inciter à donner votre mot de passe à un tiers. Lorsqu'une faille de sécurité se produit, les paires nom d'utilisateur/mot de passe sont faciles à partager et il existe d'énormes bases de données d'identifiants compromis.
Le billet de blog de la FIDO indique : « Ces nouvelles capacités devraient être disponibles sur les plateformes d'Apple, de Google et de Microsoft au cours de l'année prochaine ». Apple, qui semble avoir lancé toute la tendance des "passkey", a déjà un système opérationnel dans iOS 15 et macOS Monterey, mais il n'est pas encore compatible avec les autres plateformes. Le support des passkey de Google a déjà été repéré dans Play Services sur Android, il devrait donc rapidement être pris en charge par des appareils Android même plus anciens dès qu'il sera prêt.
Sources : Apple, Google, FIDO
Et vous ?
Que pensez-vous de cette initiative ? Peut-on parler de révolution pour la sécurité sur le web ?Voir aussi :
Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS 
Envoyé par Sandra Coret
