Vous en avez marre des mots passe ? Voici comment les géants de la tech vous proposent de vous en passer

06 mai 2022 à 11h15
13
Mot de passe

Dans un communiqué commun, Apple, Google et Microsoft ont annoncé étendre les possibilités d’authentification sans mot de passe sur toutes leurs plateformes.

Ces efforts communs représentent une nouvelle étape importante dans l’élimination du mot de passe de nos vies, qui continue aujourd’hui d’être un risque de sécurité important.

Le mot de passe, le talon d'Achille du web

À l’occasion du Password Day 2022, Apple, Google et Microsoft ont annoncé continuer leurs efforts pour un monde sans mot de passe. Les failles des mots de passe sont connues depuis longtemps : ils sont souvent trop faibles, réutilisés sur plusieurs sites et ils peuvent être compromis si l’utilisateur est victime de phishing. Si plusieurs solutions ont été mises en place pour essayer de compenser ces faiblesses, comme la double authentification ou les gestionnaires de mots de passe, aucune ne se passait vraiment du code secret. Mais désormais, les géants de l’industrie souhaitent totalement supprimer les mots de passe du schéma d’authentification.

Pour ça, ils se baseront sur les standards de l’alliance FIDO, qui permettent de se connecter à des applications ou des sites web en utilisant l'un de ses appareils, souvent un smartphone. Si ces standards sont déjà supportés par plusieurs applications populaires, il restait nécessaire de se connecter au moins une fois avec l’aide d’un mot de passe avant de pouvoir activer la fonctionnalité de connexion passwordless. Et souvent, il était toujours proposé de se connecter avec ses identifiants classiques ou de les utiliser pour pouvoir récupérer l’accès à son compte. Une façon de faire qui permettait toujours l’exploitation des faiblesses du mot de passe, et qui sera bientôt du passé.

Un avenir sans mot de passe ?

Cette annonce signifie que toutes les plateformes majeures supporteront dans le futur l’authentification sans mot de passe : iOS, Android, Google Chrome, Safari, Edge, sans oublier les systèmes d’exploitation Windows et macOS. Les utilisateurs pourront choisir d’utiliser leur téléphone comme système d’authentification principal pour les sites et applications qu’ils utilisent. Pour se connecter, et même s’inscrire, il leur suffira de débloquer leur smartphone avec l’action qu’ils ont choisie. Leur téléphone contiendra une passkey, qui permettra au site web ou à l’application de l’authentifier dès que l’appareil est débloqué. Une façon de se connecter basée sur la cryptographie à clé publique et plus sécurisée puisqu’elle se passe des identifiants classiques.

L’annonce de l’extension du support des standards FIDO à toutes les plateformes majeures signifie que les développeurs n’auront plus besoin de proposer des façons alternatives de se connecter et pourront se contenter de mettre en place une authentification passwordless à chaque moment, aussi bien pour la création d’un compte que pour les connexions futures. Également, pour que la fonctionnalité fonctionne, il ne sera pas nécessaire d’être fidèle à une plateforme.

Vasu Jakkal, Vice-président chez Microsoft, a indiqué à The Verge qu’il sera par exemple possible de « se connecter à un navigateur Google Chrome qui tourne sur Windows en utilisant une passkey sur un appareil Apple ». Comme indiqué par Google, pas de panique si vous perdez votre téléphone : les passkeys pourront être synchronisées sur votre nouveau téléphone grâce aux sauvegardes dans le Cloud.

Ces améliorations au rang des possibilités d’authentification sans mot de passe sont prévues pour être implantées sur toutes les plateformes majeures en 2023.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
13
11
Neustrie
Le gouvernement veut faire passer plein de choses par le téléphone, maintenant les entreprises etc Et si on perd le téléphone je n’ose pas imaginer le brun que ça peut causer !
serged
Tout sur le smartphone… Connexions aux services, carte bancaire, passe navigo et autres…<br /> Quand on l’a perdu, oublié ou quand on n’en a carrément pas, on fait quoi ?
gamez
mettre tous ses oeufs dans le même panier? cest pas une bonne idée.<br /> un moment j’avais lu un article sur un dispositif lecteur d’empreintes qui se branche sur l’ordi et qui pourrait faire office de méthode d’authentification, sur smartphone le lecteur d’empreintes est déjà présent, pourquoi ne pas l’uitliser comme substitut au mot de passe?
pasmoi
Téléphone perdu, volé, en panne… et tous ces comptes seront bloqués pour toujours ! La FIDO v. 1 avait oublié cette question essentielle en 2014 et donc quasiment personne ne l’utilise. Et la FIDO v. 2 fait la même erreur des années plus tard. On nous promet depuis des années la disparition du mot de passe, mais il faut prendre un peu de recul dans les nouvelles.<br /> Comment accéder temporairement depuis un terminal qui n’est pas le sien ? Par exemple dans un Internet café ou chez un ami qui a ou n’a pas de webcam ou autre dispositif biométrique ?<br /> Pourtant l’idée d’utiliser des certificats est bonne. Pourquoi les lier forcément à la biométrie ? Un simple certificat PGP avec un seul mot de passe fort à retenir pourrait faire l’affaire. À chacun de le protéger, de le sauvegarder !
xryl
Pour supprimer les mots de passe, les géants de la tech ont trouvé la parade, ils vous demandent directement votre numéro de compte bancaire. C’est bien mieux non ?
Krypton_80
« Les failles des mots de passe sont connues depuis longtemps : ils sont souvent trop faibles, réutilisés sur plusieurs sites et ils peuvent être compromis si l’utilisateur est victime de phishing. »<br /> Les failles sont peut-être connues depuis longtemps, cependant elles ne viennent pas des mots de passe à proprement parler mais des personnes qui ne savent pas les créer/utiliser correctement, pareil avec le phishing quand on ne sait pas identifier un courriel douteux.<br /> Bref, la faille potentielle avec les mots de passe se trouve en fait derrière le clavier. C’est un peu comme pour les accidents de la route, la cause est bien souvent derrière le volant.
FLO4
Et le jour où ton téléphone tombe en panne : t’es carotte ^^’<br /> Je suis pour les authentifications plus sécurisé mais tu aura tjrs besoin d’un plan B.
gamez
Pourquoi les lier forcément à la biométrie ?<br /> pour la simplicité d’utilisation?<br /> pour l’impossibilité de regarder par dessus l’épaule du collègue et le réutiliser plus tard?<br /> et pourquoi pas? quel inconvénient tu y trouves?<br /> ça permet aussi de ne plus avoir à retenir de mot de passe (ni fort, ni extra-fort, ni-extra-extra fort avec melange de majuscules, minuscules, caractères spéciaux, dune longueur minimum de 547 caractères xD)
Space_Boy
L’article explique rien. Comme le téléphone va se connecter aux sites web? Faudra bien une application sur le téléphone genre Authy pour scanner un code QR ou saisir un passcode depuis le téléphone « dans » le site. Ca marche comment ce FIDO? Qui sait?<br /> J’utilise mon GSM pour du 2FA principalement, et pour le VPN du travail (en passant par MS Authentificator).<br /> Bien compliqué tout cela. Une webcam ou lecteur Bio aurait été plus simple non?
pasmoi
Le mot clé était pourquoi FORCÉMENT les lier à la biométrie.<br /> Quant aux inconvénients, ils étaient dans le commentaire.
gamez
pasmoi:<br /> Le mot clé était pourquoi FORCÉMENT les lier à la biométrie.<br /> bah pour les raisons que j’ai mises dans mon commentaire.<br /> Quant aux inconvénients, ils étaient dans le commentaire.<br /> si tu parles de ces inconvénients<br /> Comment accéder temporairement depuis un terminal qui n’est pas le sien ? Par exemple dans un Internet café ou chez un ami qui a ou n’a pas de webcam ou autre dispositif biométrique ?<br /> ce n’en sont pas, puisque si le système est généralisé, il n’y aura plus de mots de passe et donc forcément l’ami, ou l’internet café aura le dispositif biométrique en question.
GMo
Concernant la biométrie, personnellement, je n’aime pas le caractère immutable de la source d’identification. Si c’est craqué/copié, on ne sait pas changer ses données biométriques.<br /> Concernant l’accès par un tiers, il ne faut plus envisager de donner ses accès, mais avoir un mécanisme de délégation.<br /> Toutes les remarques sur la perte/casse/vol du smartphone, l’article explique bien que les clefs sont sauvegardées, il suffit de se reconnecter avec un nouvel appareil pour récupérer les accès, et bloquer l’appareil ayant subit une avarie.
Oli1
« Comme indiqué par Google, pas de panique si vous perdez votre téléphone : les passkeys pourront être synchronisées sur votre nouveau téléphone grâce aux sauvegardes dans le Cloud. » Dixit l’article
Voir tous les messages sur le forum

Lectures liées

Shopping en 3D, pubs sur YouTube Shorts... Les dernières annonces marketing de Google
Voici le campus flambant neuf de Google qui peut accueillir 4 000 personnes
Bill Gates n'utilise pas le Microsoft Surface Duo, découvrez le téléphone qu'il utilise
Google dépose le bilan en Russie
Spams sur Twitter : et si Elon Musk avait raison ?
Surprise ! Elon Musk laisse entendre qu'il pourrait racheter Twitter, mais pour moins cher
Impression 3D : MakerBot et Ultimaker s’unissent
Google Pay pourrait vous indiquer quelle est la carte la plus intéressante à utiliser lors de vos achats
Google Chrome : cette fonctionnalité vous permettra de sécuriser vos paiements en ligne
Lastman : pour boucler sa saison 2, la série animée lance un crowdfunding
Haut de page