Banque en ligne, réseaux sociaux, sites marchands… À chaque site, son mot de passe, et comme on utilise souvent le même, il peut être plus facilement piraté. © Song_about_summer, Adobe Stock
Tech

Apple, Google et Microsoft accélèrent l'enterrement des mots de passe

ActualitéClassé sous :Sécurité , mots de passe , biométrie par empreinte digitale

-

D'ici un an, ce sera le début de la fin pour les fameux sésames difficiles à retenir quand ils sont complexes et si faciles à pirater lorsque l'on peut les mémoriser. Les trois géants de l'informatique se sont entendus pour intégrer la norme d'identification sans mot de passe Fido2.

Cela vous intéressera aussi

[EN VIDÉO] Kézako : comment crypte-t-on les données sur Internet ?  La cryptographie est la plus ancienne forme de chiffrement. On trouve des traces de son utilisation jusqu'en 2.000 avant J.-C. Cette technique encore utilisée aujourd’hui, notamment sur le Web, dévoile ses mystères en vidéo grâce au programme Kézako d'Unisciel et de l'université Lille 1. 

Selon un rapport du spécialiste de la cybersécurité Verizon, dans 80 % des cas, le piratage d'un compte provient d'un mot de passe faible et facile à trouver. Il y a bien les gestionnaires de mots de passe qui permettent de renforcer la sécurité en mémorisant des mots de passe complexes, mais impossibles à retenir. Mais, bientôt, on pourra s'en remettre au fruit d'une alliance assez inattendue entre Apple, Google et Microsoft pour renforcer la sécurité.

Les trois géants de la high-tech ont uni leurs forces pour intégrer ensemble une identification sécurisée et sans mot de passe que ce soit sur les mobiles, les ordinateurs ou via les navigateurs. Ils vont faire en sorte que leurs produits prennent en charge la norme de connexion sans mot de passe de la Fido Alliance (Fast IDentity Online) et du World Wide Web Consortium. Empreinte digitale, scan du visage, ou code PIN seront les nouveaux sésames universels pour déverrouiller votre appareil et retrouver vos données.

Une alliance de circonstance pour renforcer la sécurité

Le système sera d'autant plus pratique, que si vous changez de smartphone, par exemple, vous n'aurez pas besoin de vous connecter la première fois en utilisant votre mot de passe et identifiant. Cela fait déjà un moment que les trois sociétés ont intégré les composants pour prendre en charge la norme Fido2 mais, pour le moment, il reste toujours obligatoire de se connecter aux comptes au moins une fois en saisissant des identifiants.

Avec le nouveau système et son identifiant unique activé par la biométrie, par exemple, il sera désormais très difficile pour les pirates de s'emparer du compte d'un utilisateur. Selon le trio, la mise en œuvre de cette norme sans mot de passe sera appliquée d'ici un an et fonctionnera de façon indifférente sur macOS et son navigateur Safari, Androïd avec Chrome ou Windows et Edge.

Pour en savoir plus

Dépassés, les mots de passe vont disparaître

Derrière le nom WebAuthn, se cache un nouveau standard qui propose d'abandonner les mots de passe au profit de la biométrie ou de clés USB sécurisées.

Article de Fabrice Auclert, publié le 

Le W3C (Word Wide Web Consortium), l'organisme principal qui gère les standards du web, et l'Alliance Fido (Fast IDentity Online), une association d'entreprises qui vise à sécuriser le web, viennent d'annoncer l’adoption de la spécification Web Authentification, aussi connue sous le nom WebAuthn, qui permettra de s'affranchir des mots de passe sur les sites web.

Ces deux organismes se sont associés pour résoudre un problème de sécurité majeur : les mots de passe. Les internautes utilisent de nombreux comptes pour accéder aux différents sites web, chacun ayant son propre mot de passe. Devant la difficulté de créer autant de mots de passe différents et à les retenir, il arrive souvent qu'ils laissent ceux par défaut ou qu'ils optent pour des mots de passe faciles à retenir, comme « 1234 », ou bien encore, qu'ils utilisent le même partout. Ils sont alors vulnérables à des attaques simples, ou peuvent être récupérés en infectant l'ordinateur de la victime. Si la personne a utilisé les mêmes codes pour plusieurs comptes, ils peuvent être tous compromis.

Une adoption anticipée

Il existe quelques solutions pour renforcer la sécurité, comme les gestionnaires de mots de passe ou l'authentification multifacteurs avec, par exemple un code de confirmation par SMS, mais cela ne suffit pas à long terme. Le nouveau protocole Fido2 apporte une sécurité renforcée, tout en simplifiant l'utilisation grâce à l'élimination des mots de passe. Concrètement, il est composé de deux éléments. Tout d'abord, une authentification, grâce à un système biométrique (comme un lecteur d'empreintes ou une caméra), mais également un appareil mobile ou une clé USB de sécurité Fido. Le second élément est l'API WebAuthn qui permet, notamment, aux navigateurs et sites web d'échanger de manière sécurisée afin de s'identifier.

Les navigateurs principaux avaient déjà anticipé l'adoption du WebAuthn. Mozilla a intégré l'API dans la version 60 de son navigateur Firefox, sorti en mai 2018. Google emboîtait le pas à peine quelques jours plus tard avec la version 67 de Chrome, puis Microsoft a suivi avec son navigateur Edge, et Apple avec Safari. Ce nouveau standard est pris en charge sur Windows 10 et Android.

L'empreinte digitale pourrait remplacer à terme tous les mots de passe pour se connecter sur des sites Internet © Johan Swanepoel, Shutterstock

Un système plus pratique et une sécurité renforcée

La standardisation du WebAuthn, qui met donc le système Fido2 à disposition de tous les sites web, apporte plusieurs avantages. Les identifiants sont uniques pour chaque site web, et aucune information secrète n'est échangée. Il n'envoie ni mot de passe ni données biométriques. Il n'est, par conséquent, pas possible de les obtenir par hameçonnage, et même dans l'éventualité qu'un compte soit compromis, cela ne donnerait aucun accès aux autres comptes de la victime.

De plus, l'inscription crée un identifiant unique au site web. Cela améliore le respect de la vie privée, puisqu'il est alors impossible de suivre un utilisateur d'un site à l'autre. Enfin, le processus est très simple à mettre en œuvre et rapide à utiliser. Les sites doivent faire appel à l'API WebAuthn qui est donc standardisé. Les utilisateurs n'ont pas à saisir leur identifiant et mot de passe, il leur suffit d'activer leur système d'identification, comme poser leur doigt sur le lecteur d’empreintes.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !