Techonologie

Apple, Google et Microsoft accélèrent l’enterrement des mots de passe

salwa

D’ici un an, ce sera le début de la fin pour les fameux sésames difficiles à retenir quand ils sont complexes et si faciles à pirater lorsque l’on peut les mémoriser. Les trois géants de l’informatique se sont entendus pour intégrer la norme d’identification sans mot de passe Fido2.

Selon un rapport du spécialiste de la cybersécurité Verizon, dans 80 % des cas, le piratage d’un compte provient d’un mot de passe faible et facile à trouver. Il y a bien les gestionnaires de mots de passe qui permettent de renforcer la sécurité en mémorisant des mots de passe complexes, mais impossibles à retenir. Mais, bientôt, on pourra s’en remettre au fruit d’une alliance assez inattendue entre AppleGoogle et Microsoft pour renforcer la sécurité.

Les trois géants de la high-tech ont uni leurs forces pour intégrer ensemble une identification sécurisée et sans mot de passe que ce soit sur les mobiles, les ordinateurs ou via les navigateurs. Ils vont faire en sorte que leurs produits prennent en charge la norme de connexion sans mot de passe de la Fido Alliance (Fast IDentity Online) et du World Wide Web Consortium. Empreinte digitale, scan du visage, ou code PIN seront les nouveaux sésames universels pour déverrouiller votre appareil et retrouver vos données.

Une alliance de circonstance pour renforcer la sécurité

Le système sera d’autant plus pratique, que si vous changez de smartphone, par exemple, vous n’aurez pas besoin de vous connecter la première fois en utilisant votre mot de passe et identifiant. Cela fait déjà un moment que les trois sociétés ont intégré les composants pour prendre en charge la norme Fido2 mais, pour le moment, il reste toujours obligatoire de se connecter aux comptes au moins une fois en saisissant des identifiants.

Avec le nouveau système et son identifiant unique activé par la biométrie, par exemple, il sera désormais très difficile pour les pirates de s’emparer du compte d’un utilisateur. Selon le trio, la mise en œuvre de cette norme sans mot de passe sera appliquée d’ici un an et fonctionnera de façon indifférente sur macOS et son navigateur Safari, Androïd avec Chrome ou Windows et Edge.

Dépassés, les mots de passe vont disparaître

Derrière le nom WebAuthn, se cache un nouveau standard qui propose d’abandonner les mots de passe au profit de la biométrie ou de clés USB sécurisées.

Article de Fabrice Auclert, publié le  

Le W3C (Word Wide Web Consortium), l’organisme principal qui gère les standards du web, et l’Alliance Fido (Fast IDentity Online), une association d’entreprises qui vise à sécuriser le web, viennent d’annoncer l’adoption de la spécification Web Authentification, aussi connue sous le nom WebAuthn, qui permettra de s’affranchir des mots de passe sur les sites web.

Ces deux organismes se sont associés pour résoudre un problème de sécurité majeur : les mots de passe. Les internautes utilisent de nombreux comptes pour accéder aux différents sites web, chacun ayant son propre mot de passe. Devant la difficulté de créer autant de mots de passe différents et à les retenir, il arrive souvent qu’ils laissent ceux par défaut ou qu’ils optent pour des mots de passe faciles à retenir, comme « 1234 », ou bien encore, qu’ils utilisent le même partout. Ils sont alors vulnérables à des attaques simples, ou peuvent être récupérés en infectant l’ordinateur de la victime. Si la personne a utilisé les mêmes codes pour plusieurs comptes, ils peuvent être tous compromis.

Une adoption anticipée

Il existe quelques solutions pour renforcer la sécurité, comme les gestionnaires de mots de passe ou l’authentification multifacteurs avec, par exemple un code de confirmation par SMS, mais cela ne suffit pas à long terme. Le nouveau protocole Fido2 apporte une sécurité renforcée, tout en simplifiant l’utilisation grâce à l’élimination des mots de passe. Concrètement, il est composé de deux éléments. Tout d’abord, une authentification, grâce à un système biométrique (comme un lecteur d’empreintes ou une caméra), mais également un appareil mobile ou une clé USB de sécurité Fido. Le second élément est l’API WebAuthn qui permet, notamment, aux navigateurs et sites web d’échanger de manière sécurisée afin de s’identifier.

Les navigateurs principaux avaient déjà anticipé l’adoption du WebAuthn. Mozilla a intégré l’API dans la version 60 de son navigateur Firefox, sorti en mai 2018. Google emboîtait le pas à peine quelques jours plus tard avec la version 67 de Chrome, puis Microsoft a suivi avec son navigateur Edge, et Apple avec Safari. Ce nouveau standard est pris en charge sur Windows 10 et Android.

Un système plus pratique et une sécurité renforcée

La standardisation du WebAuthn, qui met donc le système Fido2 à disposition de tous les sites web, apporte plusieurs avantages. Les identifiants sont uniques pour chaque site web, et aucune information secrète n’est échangée. Il n’envoie ni mot de passe ni données biométriques. Il n’est, par conséquent, pas possible de les obtenir par hameçonnage, et même dans l’éventualité qu’un compte soit compromis, cela ne donnerait aucun accès aux autres comptes de la victime.

De plus, l’inscription crée un identifiant unique au site web. Cela améliore le respect de la vie privée, puisqu’il est alors impossible de suivre un utilisateur d’un site à l’autre. Enfin, le processus est très simple à mettre en œuvre et rapide à utiliser. Les sites doivent faire appel à l’API WebAuthn qui est donc standardisé. Les utilisateurs n’ont pas à saisir leur identifiant et mot de passe, il leur suffit d’activer leur système d’identification, comme poser leur doigt sur le lecteur d’empreintes.

Vous pourrez aussi aimer

Smartphones: Que trouverez vous dans la boite pour réduire l’impact écologique de vos appareils ?

salwa

Microsoft lance Pegasus, un nouveau programme d’incubation de start-up aux Etats-Unis

salwa

TikTok lève un coin du voile sur le fonctionnement de son algorithme

salwa