IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes,
Les géants de la tech veulent déployer la norme "passkey" de FIDO dans l'année à venir

Le , par Nancy Rey

197PARTAGES

10  0 
Le 5 mai journée mondiale du mot de passe et pour fêter l'événement, Apple, Google et Microsoft lancent un "effort conjoint" pour tuer le mot de passe. Les principaux fournisseurs de systèmes d'exploitation veulent "étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium". Cette norme est appelée "crédential FIDO multi-dispositifs" ou simplement "passkey". Au lieu d'une longue chaîne de caractères, ce nouveau système prévoit que l'application ou le site Web auquel vous vous connectez envoie une demande d'authentification à votre téléphone. À partir de là, vous devrez déverrouiller le téléphone, vous authentifier à l'aide d'un code PIN ou d'un identifiant biométrique, puis vous pourrez continuer. L'objectif est de mettre en place une authentification multiplateforme cohérente et facile à gérer pour les logiciels et les sites Web, sans avoir à se souvenir des mots de passe.


Dans un effort commun, les géants de la technologie Apple, Google et Microsoft ont annoncé hier matin qu'ils sont engagés à mettre en place une prise en charge de la connexion sans mot de passe sur toutes les plateformes mobiles, de desktop et de navigateur qu'ils contrôlent dans l'année à venir. Cela signifie que l'authentification sans mot de passe sera disponible sur toutes les principales plateformes de périphériques dans un avenir proche : les systèmes d'exploitation mobiles Android et iOS, les navigateurs Chrome, Edge et Safari, et les environnements de bureau Windows et macOS.

« Tout comme nous concevons nos produits pour qu'ils soient intuitifs et performants, nous les concevons également pour qu'ils soient privés et sécurisés. Travailler avec l'industrie pour établir de nouvelles méthodes de connexion plus sûres qui offrent une meilleure protection et éliminent les vulnérabilités des mots de passe est au cœur de notre engagement à construire des produits qui offrent une sécurité maximale et une expérience utilisateur transparente, le tout dans le but de garder les informations personnelles des utilisateurs en sécurité », a déclaré Kurt Knight, directeur principal du marketing des produits de plateforme chez Apple.

Un processus de connexion sans mot de passe permettra aux utilisateurs de choisir leur téléphone comme principal dispositif d'authentification pour les applications, sites web et autres services numériques, comme le détaille Google dans un billet de blog publié hier. Il suffira alors de déverrouiller le téléphone avec l'action définie par défaut (saisie d'un code PIN, dessin d'un motif ou déverrouillage par empreinte digitale) pour se connecter aux services Web sans avoir à saisir de mot de passe, grâce à l'utilisation d'un jeton cryptographique unique appelé "passkey", partagé entre le téléphone et le site Web.

Comment cela fonctionnera-t-il ?

« Cette étape importante témoigne du travail de collaboration réalisé dans l'ensemble du secteur pour renforcer la protection et éliminer l'authentification obsolète par mot de passe. Pour Google, cette étape représente près d'une décennie de travail aux côtés de la FIDO, dans le cadre de notre innovation continue vers un avenir sans mot de passe. Nous sommes impatients de rendre la technologie basée sur la FIDO disponible sur Chrome, ChromeOS, Android et d'autres plateformes, et nous encourageons les développeurs d'applications et de sites Web à l'adopter, afin que les gens du monde entier puissent s'affranchir en toute sécurité des risques et des tracas liés aux mots de passe », déclare Mark Risher, directeur principal de la gestion des produits chez Google.

En subordonnant la connexion à un appareil physique, l'idée est que les utilisateurs bénéficient simultanément de la simplicité et de la sécurité. Sans mot de passe, il n'y aura pas d'obligation de se souvenir des détails de connexion à travers les services ou de compromettre la sécurité en réutilisant le même mot de passe à plusieurs endroits. De même, avec un système sans mot de passe, il sera beaucoup plus difficile pour les pirates informatiques de compromettre les données de connexion à distance, puisque la connexion nécessite l'accès à un appareil physique ; et, en théorie, les attaques par phishing où les utilisateurs sont dirigés vers un faux site web pour capturer le mot de passe seront beaucoup plus difficiles à organiser.

Vasu Jakkal, vice-président de Microsoft chargé de la sécurité, de la conformité, de l'identité et de la confidentialité, a souligné le degré de compatibilité entre les plateformes. « Avec les clés de passe sur votre appareil mobile, vous êtes en mesure de vous connecter à une application ou à un service sur presque n'importe quel appareil, quelle que soit la plate-forme ou le navigateur que l'appareil exécute. Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome fonctionnant sous Microsoft Windows, en utilisant un mot de passe sur un appareil Apple », a déclaré Jakkal dans un communiqué.

La fonctionnalité multiplateforme est rendue possible par une norme appelée FIDO, qui utilise les principes du chiffrement à clé publique pour permettre une authentification sans mot de passe et une authentification multifactorielle dans une série de contextes. Le téléphone d'un utilisateur peut stocker un mot de passe unique conforme à la norme FIDO et ne le partage avec un site Web pour l'authentification que lorsque le téléphone est déverrouillé. Selon la publication de Google, les clés peuvent également être facilement synchronisées avec un nouvel appareil à partir d'une sauvegarde sur le cloud en cas de perte du téléphone.

Bien que de nombreuses applications populaires prennent déjà en charge l'authentification FIDO, l'ouverture de session initiale nécessitait l'utilisation d'un mot de passe avant de pouvoir configurer FIDO : ce qui signifie que les utilisateurs étaient toujours vulnérables aux attaques de phishing au cours desquelles les mots de passe étaient interceptés ou volés. Mais les nouvelles procédures supprimeront l'exigence initiale d'un mot de passe, comme l'a déclaré Sampath Srinivas, directeur de la gestion des produits pour l'authentification sécurisée chez Google et président de l'Alliance FIDO : « Cette prise en charge étendue de FIDO annoncée aujourd'hui permettra aux sites Web de mettre en œuvre, pour la première fois, une expérience de bout en bout sans mot de passe avec une sécurité résistant au phishing. Cela inclut à la fois la première connexion à un site Web et les connexions répétées. Lorsque la prise en charge des clés de passe sera disponible dans l'ensemble du secteur en 2022 et 2023, nous disposerons enfin de la plateforme internet pour un avenir véritablement sans mot de passe ».

Les entreprises essaient de se passer de mot de passe depuis des années, mais il n'a pas été facile d'y parvenir. Les mots de passe fonctionnent bien s'ils sont longs, aléatoires, secrets et uniques, mais l'élément humain des mots de passe est toujours un problème. Nous ne sommes pas très doués pour mémoriser des chaînes de caractères longues et aléatoires. Il est tentant de noter les mots de passe ou de les réutiliser, et les programmes de phishing essaient de vous inciter à donner votre mot de passe à un tiers. Lorsqu'une faille de sécurité se produit, les paires nom d'utilisateur/mot de passe sont faciles à partager et il existe d'énormes bases de données d'identifiants compromis.

Le billet de blog de la FIDO indique : « Ces nouvelles capacités devraient être disponibles sur les plateformes d'Apple, de Google et de Microsoft au cours de l'année prochaine ». Apple, qui semble avoir lancé toute la tendance des "passkey", a déjà un système opérationnel dans iOS 15 et macOS Monterey, mais il n'est pas encore compatible avec les autres plateformes. Le support des passkey de Google a déjà été repéré dans Play Services sur Android, il devrait donc rapidement être pris en charge par des appareils Android même plus anciens dès qu'il sera prêt.

Sources : Apple, Google, FIDO

Et vous ?

Que pensez-vous de cette initiative ? Peut-on parler de révolution pour la sécurité sur le web ?

Voir aussi :

Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform

Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de 23JFK
Inactif https://www.developpez.com
Le 06/05/2022 à 14:04
... ou comment remplacer des mots-de-passe fixes par des mots-de-passe tournants tout en obtenant l'identité civile de l'utilisateur via son numéro de téléphone et donc une valorisation de sa base de donnée utilisateur à dessein de profilage.

Cette pseudo avancée cache des problèmes bien plus lourds et difficiles à régler pour les personnes lambda que la simple réinitialisation d'un mot-de-passe en cas de panne, ou de vol, ou de perte, ou de changement d'appareil et/ou de numéro de téléphone ; sans compter les anciens numéros réaffectés qui enverront des demandes d'authentifications à la mauvaise personne...

Conclusion: Le mot-de-passe est un horizon indépassable en matière de sécurité et de relatif anonymat, il n'appartient qu'aux utilisateurs de ne pas choisir des mdp ridiculement faciles à cracker.
7  1 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 06/05/2022 à 10:36
Et ca se passe comment si tas pas de telephone?
6  1 
Avatar de 23JFK
Inactif https://www.developpez.com
Le 09/05/2022 à 17:16
C'est donner beaucoup trop de pouvoir à une poignée d'acteurs économiques déjà bien envahissants et une solution pas assez nationale. D'autant plus qu'avec ce système et la coopération obligatoire des sociétés américaines avec les agences gouvernementales, ça va devenir open-bar pour des dérives d'hyper-surveillance/espionnage.
4  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 26/10/2022 à 15:58
Citation Envoyé par Sandra Coret Voir le message

Une fois que les clients existants se connectent à PayPal avec un navigateur sur le web de bureau ou mobile en utilisant leurs informations d'identification PayPal existantes, telles qu'un nom d'utilisateur et un mot de passe, ils auront la possibilité de "Créer un passkey."
Les clients seront alors invités à s'authentifier avec Apple Face ID ou Touch ID. Ensuite, la clé de passe sera automatiquement créée, et la prochaine fois que les clients PayPal se connecteront, ils n'auront plus besoin d'utiliser ou de gérer un mot de passe.
Chouette. Maintenant, un enfant autorisé sur le téléphone de papa ou de maman pourra faire des achats sans connaître le mot de passe du compte Paypal des parents...

Pour sécuriser une authentification, on peut rajouter un second facteur d'authentification, pas en retirer un... Une raison de plus de ne plus utiliser Paypal à la maison.
4  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/10/2023 à 20:32
Citation Envoyé par JPLAROCHE Voir le message
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.
C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.
4  0 
Avatar de
https://www.developpez.com
Le 07/05/2022 à 22:30
Bonsoir

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la tech veulent déployer la norme "passkey"de FIDO dans l'année à venir

Que pensez-vous de cette initiative ?
Que le mot de passe classique a encore un bel avenir devant lui . Comme cité par mes voisins du dessus. Il y a de nombreux cas ou le fido pose problème ... Un peu comme demander une adresse mail à un vieux de 80 balais qui ouvre un compte en banque. ^^

Peut-on parler de révolution pour la sécurité sur le web ?
Non pas du tout.
3  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 09/05/2022 à 15:04
OK, donc si je résume, mon téléphone remplace mon mot de passe, et j'ai un mot de passe de secours pour mon compte cloud -- au cas où.

Donc si je retourne le truc, en tant qu'attaquant, il y a toujours le mot de passe cloud qui est vulnérable.

Et en plus, à part Apple qui a un truc, les autres ne savent pas comment faire pour le cas où un utilisateur perdrait son téléphone et son mot de passe de compte cloud qu'il n'utilise jamais.

Mais c'est une avancée majeure ?

Et tout ceci ne prend pas en compte qu'une bonne partie des gens ne vérouillent pas du tout leur téléphone avec un code.
3  0 
Avatar de
https://www.developpez.com
Le 13/06/2022 à 11:33
Bonjour,

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Qu'on nage dans une situation utopique .

Comment fera t on dans les cas suivants :

Accéder à une machine quand il n'y a pas de réseau télécom ? Si on doit avoir un accès web pour ouvrir son PC ou smartphone ... et qu'il n'y a pas de réseau on ne peut donc pas utiliser son matériel ?
On se coupe un doigt .
On se blesse au visage .
Le / la conjoint(e) décède .

Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ?
Non

Dans quelle mesure ?
Il est impossible d'être à 100% dépendants de solutions passant par internet. Idem , on ne peut pas créer un système d'accès ou la perte d'un moyen d'accès condamne l'accès définitivement ...

La perte d'un bras ou d'une main et on ne peut plus donner son emprunte digitale ... Par exemple.

Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Les cas d'usages sont de mon point de vu en réalité bien limité (finance, banque , transaction financière, validation d'un achat ... )

Pour ouvrir outlook ou thunderbird en local sur ma machine ( a domicile ou en vacances par exemple) . S'il n'y a pas d'accès internet, ou de réseau je n'ai pas forcement l'envie d'attendre plusieurs un sms ou qu'une appli fonctionne.

Que pensez-vous des passkeys d'Apple ?
système trop risqué comme expliqué plus haut.

Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
Aucune, on crée encore un Nième besoin au lieu de passer par l'éducation. C'est de vendre une solution ou l'utilisateur devient totalement dépendant (au risque de le mettre dans situations totalement ubuesque comme exposé plus haut).

" Le réseau GSM et la fibre sont en panne ! Revenez demain pour utiliser et vous connecter à Excel ! "

Je caricature, c'est pour montrer l'absurdité de la chose en cas d'indispo du réseau télécom ...

Quelle alternative pour continuer de travailler en local ?
3  0 
Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 26/10/2022 à 18:33
Je refuse de dépendre d'un gadget ou d'une application pour être autorisé à accéder à mes comptes.

Vive les mots de passe !
3  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 26/10/2022 à 19:17
mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...
3  0