IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes,
Les géants de la tech veulent déployer la norme "passkey" de FIDO dans l'année à venir

Le , par Nancy Rey

117PARTAGES

10  0 
Le 5 mai journée mondiale du mot de passe et pour fêter l'événement, Apple, Google et Microsoft lancent un "effort conjoint" pour tuer le mot de passe. Les principaux fournisseurs de systèmes d'exploitation veulent "étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium". Cette norme est appelée "crédential FIDO multi-dispositifs" ou simplement "passkey". Au lieu d'une longue chaîne de caractères, ce nouveau système prévoit que l'application ou le site Web auquel vous vous connectez envoie une demande d'authentification à votre téléphone. À partir de là, vous devrez déverrouiller le téléphone, vous authentifier à l'aide d'un code PIN ou d'un identifiant biométrique, puis vous pourrez continuer. L'objectif est de mettre en place une authentification multiplateforme cohérente et facile à gérer pour les logiciels et les sites Web, sans avoir à se souvenir des mots de passe.


Dans un effort commun, les géants de la technologie Apple, Google et Microsoft ont annoncé hier matin qu'ils sont engagés à mettre en place une prise en charge de la connexion sans mot de passe sur toutes les plateformes mobiles, de desktop et de navigateur qu'ils contrôlent dans l'année à venir. Cela signifie que l'authentification sans mot de passe sera disponible sur toutes les principales plateformes de périphériques dans un avenir proche : les systèmes d'exploitation mobiles Android et iOS, les navigateurs Chrome, Edge et Safari, et les environnements de bureau Windows et macOS.

« Tout comme nous concevons nos produits pour qu'ils soient intuitifs et performants, nous les concevons également pour qu'ils soient privés et sécurisés. Travailler avec l'industrie pour établir de nouvelles méthodes de connexion plus sûres qui offrent une meilleure protection et éliminent les vulnérabilités des mots de passe est au cœur de notre engagement à construire des produits qui offrent une sécurité maximale et une expérience utilisateur transparente, le tout dans le but de garder les informations personnelles des utilisateurs en sécurité », a déclaré Kurt Knight, directeur principal du marketing des produits de plateforme chez Apple.

Un processus de connexion sans mot de passe permettra aux utilisateurs de choisir leur téléphone comme principal dispositif d'authentification pour les applications, sites web et autres services numériques, comme le détaille Google dans un billet de blog publié hier. Il suffira alors de déverrouiller le téléphone avec l'action définie par défaut (saisie d'un code PIN, dessin d'un motif ou déverrouillage par empreinte digitale) pour se connecter aux services Web sans avoir à saisir de mot de passe, grâce à l'utilisation d'un jeton cryptographique unique appelé "passkey", partagé entre le téléphone et le site Web.

Comment cela fonctionnera-t-il ?

« Cette étape importante témoigne du travail de collaboration réalisé dans l'ensemble du secteur pour renforcer la protection et éliminer l'authentification obsolète par mot de passe. Pour Google, cette étape représente près d'une décennie de travail aux côtés de la FIDO, dans le cadre de notre innovation continue vers un avenir sans mot de passe. Nous sommes impatients de rendre la technologie basée sur la FIDO disponible sur Chrome, ChromeOS, Android et d'autres plateformes, et nous encourageons les développeurs d'applications et de sites Web à l'adopter, afin que les gens du monde entier puissent s'affranchir en toute sécurité des risques et des tracas liés aux mots de passe », déclare Mark Risher, directeur principal de la gestion des produits chez Google.

En subordonnant la connexion à un appareil physique, l'idée est que les utilisateurs bénéficient simultanément de la simplicité et de la sécurité. Sans mot de passe, il n'y aura pas d'obligation de se souvenir des détails de connexion à travers les services ou de compromettre la sécurité en réutilisant le même mot de passe à plusieurs endroits. De même, avec un système sans mot de passe, il sera beaucoup plus difficile pour les pirates informatiques de compromettre les données de connexion à distance, puisque la connexion nécessite l'accès à un appareil physique ; et, en théorie, les attaques par phishing où les utilisateurs sont dirigés vers un faux site web pour capturer le mot de passe seront beaucoup plus difficiles à organiser.

Vasu Jakkal, vice-président de Microsoft chargé de la sécurité, de la conformité, de l'identité et de la confidentialité, a souligné le degré de compatibilité entre les plateformes. « Avec les clés de passe sur votre appareil mobile, vous êtes en mesure de vous connecter à une application ou à un service sur presque n'importe quel appareil, quelle que soit la plate-forme ou le navigateur que l'appareil exécute. Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome fonctionnant sous Microsoft Windows, en utilisant un mot de passe sur un appareil Apple », a déclaré Jakkal dans un communiqué.

La fonctionnalité multiplateforme est rendue possible par une norme appelée FIDO, qui utilise les principes du chiffrement à clé publique pour permettre une authentification sans mot de passe et une authentification multifactorielle dans une série de contextes. Le téléphone d'un utilisateur peut stocker un mot de passe unique conforme à la norme FIDO et ne le partage avec un site Web pour l'authentification que lorsque le téléphone est déverrouillé. Selon la publication de Google, les clés peuvent également être facilement synchronisées avec un nouvel appareil à partir d'une sauvegarde sur le cloud en cas de perte du téléphone.

Bien que de nombreuses applications populaires prennent déjà en charge l'authentification FIDO, l'ouverture de session initiale nécessitait l'utilisation d'un mot de passe avant de pouvoir configurer FIDO : ce qui signifie que les utilisateurs étaient toujours vulnérables aux attaques de phishing au cours desquelles les mots de passe étaient interceptés ou volés. Mais les nouvelles procédures supprimeront l'exigence initiale d'un mot de passe, comme l'a déclaré Sampath Srinivas, directeur de la gestion des produits pour l'authentification sécurisée chez Google et président de l'Alliance FIDO : « Cette prise en charge étendue de FIDO annoncée aujourd'hui permettra aux sites Web de mettre en œuvre, pour la première fois, une expérience de bout en bout sans mot de passe avec une sécurité résistant au phishing. Cela inclut à la fois la première connexion à un site Web et les connexions répétées. Lorsque la prise en charge des clés de passe sera disponible dans l'ensemble du secteur en 2022 et 2023, nous disposerons enfin de la plateforme internet pour un avenir véritablement sans mot de passe ».

Les entreprises essaient de se passer de mot de passe depuis des années, mais il n'a pas été facile d'y parvenir. Les mots de passe fonctionnent bien s'ils sont longs, aléatoires, secrets et uniques, mais l'élément humain des mots de passe est toujours un problème. Nous ne sommes pas très doués pour mémoriser des chaînes de caractères longues et aléatoires. Il est tentant de noter les mots de passe ou de les réutiliser, et les programmes de phishing essaient de vous inciter à donner votre mot de passe à un tiers. Lorsqu'une faille de sécurité se produit, les paires nom d'utilisateur/mot de passe sont faciles à partager et il existe d'énormes bases de données d'identifiants compromis.

Le billet de blog de la FIDO indique : « Ces nouvelles capacités devraient être disponibles sur les plateformes d'Apple, de Google et de Microsoft au cours de l'année prochaine ». Apple, qui semble avoir lancé toute la tendance des "passkey", a déjà un système opérationnel dans iOS 15 et macOS Monterey, mais il n'est pas encore compatible avec les autres plateformes. Le support des passkey de Google a déjà été repéré dans Play Services sur Android, il devrait donc rapidement être pris en charge par des appareils Android même plus anciens dès qu'il sera prêt.

Sources : Apple, Google, FIDO

Et vous ?

Que pensez-vous de cette initiative ? Peut-on parler de révolution pour la sécurité sur le web ?

Voir aussi :

Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform

Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de 23JFK
Membre expert https://www.developpez.com
Le 06/05/2022 à 14:04
... ou comment remplacer des mots-de-passe fixes par des mots-de-passe tournants tout en obtenant l'identité civile de l'utilisateur via son numéro de téléphone et donc une valorisation de sa base de donnée utilisateur à dessein de profilage.

Cette pseudo avancée cache des problèmes bien plus lourds et difficiles à régler pour les personnes lambda que la simple réinitialisation d'un mot-de-passe en cas de panne, ou de vol, ou de perte, ou de changement d'appareil et/ou de numéro de téléphone ; sans compter les anciens numéros réaffectés qui enverront des demandes d'authentifications à la mauvaise personne...

Conclusion: Le mot-de-passe est un horizon indépassable en matière de sécurité et de relatif anonymat, il n'appartient qu'aux utilisateurs de ne pas choisir des mdp ridiculement faciles à cracker.
7  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 06/05/2022 à 10:36
Et ca se passe comment si tas pas de telephone?
6  1 
Avatar de 23JFK
Membre expert https://www.developpez.com
Le 09/05/2022 à 17:16
C'est donner beaucoup trop de pouvoir à une poignée d'acteurs économiques déjà bien envahissants et une solution pas assez nationale. D'autant plus qu'avec ce système et la coopération obligatoire des sociétés américaines avec les agences gouvernementales, ça va devenir open-bar pour des dérives d'hyper-surveillance/espionnage.
4  0 
Avatar de sanderbe
Membre averti https://www.developpez.com
Le 07/05/2022 à 22:30
Bonsoir

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la tech veulent déployer la norme "passkey"de FIDO dans l'année à venir

Que pensez-vous de cette initiative ?
Que le mot de passe classique a encore un bel avenir devant lui . Comme cité par mes voisins du dessus. Il y a de nombreux cas ou le fido pose problème ... Un peu comme demander une adresse mail à un vieux de 80 balais qui ouvre un compte en banque. ^^

Peut-on parler de révolution pour la sécurité sur le web ?
Non pas du tout.
3  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 09/05/2022 à 15:04
OK, donc si je résume, mon téléphone remplace mon mot de passe, et j'ai un mot de passe de secours pour mon compte cloud -- au cas où.

Donc si je retourne le truc, en tant qu'attaquant, il y a toujours le mot de passe cloud qui est vulnérable.

Et en plus, à part Apple qui a un truc, les autres ne savent pas comment faire pour le cas où un utilisateur perdrait son téléphone et son mot de passe de compte cloud qu'il n'utilise jamais.

Mais c'est une avancée majeure ?

Et tout ceci ne prend pas en compte qu'une bonne partie des gens ne vérouillent pas du tout leur téléphone avec un code.
3  0 
Avatar de Kulvar
Membre confirmé https://www.developpez.com
Le 06/05/2022 à 10:32
Jusqu'à ce qu'un gars trouve comment extraire la clé privée avec un virus...

Ou alors ce sera un appareil à acheter, et si tu renverse ton café dessus ou que ton chien décide que c'est un jouet à mâcher tu perds tout.

Je vais m'en passer et rester sur les mots de passe avec un gestionnaire de mot de passe.
2  0 
Avatar de MARCELBENH
Membre confirmé https://www.developpez.com
Le 06/05/2022 à 9:53
Bonjour,

Les grands groupes veulent donc nous vendre des clés ? (peut-être pas dans un premier temps, mais il est certain qu'une fois que nous serons dépendants ils serreront le noeud coulant).
Et la solution des coffres forts à mot de passe avec clé privée alors ?
Si on y réfléchit bien, utiliser un keepass (ou équivalent) avec sa base sur un cloud et sa clé privée sur son appareil, c'est la même chose et c'est libre ?
En plus chacun peut générer lui même sa clé.
J'ai pas l'impression qu'il s'agisse d'une grande avancée

A votre avis ?
1  0 
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 06/05/2022 à 9:55
ça veut dire quelques choses comme Yubikey? 45€ en plus il en faut au moins deux, ... Le Hw peut se casser, se perdre, etc. En plus c'est plus facile pour les forces de l'ordre inserer une clé et avoir accés a tout que t'extraire une password de la tete.
Le F2A devrait etre utilisé encore?
1  0 
Avatar de MARCELBENH
Membre confirmé https://www.developpez.com
Le 06/05/2022 à 12:00
Citation Envoyé par Arya Nawel Voir le message
Et ca se passe comment si tas pas de telephone?
Un bon bloc note avec tes mots de passe

Non... tu achète la clé
1  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 07/05/2022 à 16:25
Quelq'un de plus intelligent que moi peut-il m'expliquer en quoi cela est mieux pour les ordinateurs portables et les appareils mobiles ?
0  0