Fin des mots de passe chez Apple, Google et Microsoft cette année
-
“Bonne nouvelle :” Apple, Google et Microsoft promettent de mettre fin à ce problème. Les trois géants, dominants sur le marché des systèmes d’exploitation et des navigateurs web ont annoncé, jeudi, à l’occasion de la journée mondiale du mot de passe, leur intention d’étendre la prise en charge d’une norme commune de connexion sans mot de passe, créée par la Fido Alliance et le World Wide Web Consortium. Comment vont-ils procéder ?
Explications:
Lorsqu’un site web demandera à un internaute de “s’authentifier avec Fido”, un message apparaîtra sur le téléphone de ce dernier. Le déverrouillage de l’appareil - à l’aide d’un traditionnel code pin, ou plus vraisemblablement aujourd’hui de son doigt (empreinte digitale) ou de son visage (reconnaissance faciale) - suffira alors afin d’accéder au site en question.Techniquement, tout repose sur la synchronisation d’une paire de clés chiffrées, générée lors de la première connexion sur un site web. L’utilisateur conserve celle dite privée, stockée directement sur son téléphone, aussi appelée “passkey”. Le site garde quant à lui une clé dite publique. La synchronisation de ces deux clés constitue une méthode d’authentification unique.
Cette authentification “Fido” constitue un nouveau “standard”, comme le sont par exemple le WiFi ou le Bluetooth, présent sur tous nos ordinateurs ainsi que nos téléphones. L’objectif de Fido est de le démocratiser sur tous les appareils et toutes les plateformes. Meta, Amazon ou encore Samsung font aussi partie du conseil d’administration de l’alliance.
“Incapables de gérer autant de mots de passe différents, les individus réutilisent souvent le même, ce qui facilite les piratages de comptes, fuites de données et vols d’identité”, critiquent les acteurs de l’alliance dans un communiqué co-écrit avec Apple, Google et Microsoft. “La connexion sera considérablement plus sûre par rapport aux mots de passe et aux anciennes méthodes multifactorielles, telles que les codes d’accès à usage unique envoyés par SMS”, veulent-ils croire.
Sur le principe, tout porte à croire que ce sera le cas. Seul un vol de matériel, physique, pourrait permettre d’accéder à votre clé privée. Et encore faudrait-il, par la suite, afin de s’authentifier sur les sites web souhaités, pouvoir déverrouiller le téléphone. Concernant le piratage d’une clé publique, par exemple, celle-ci n’a aucune valeur sans la clé privée, et ne peut à elle seule ouvrir l’accès au site.
“Il incombe à la plate-forme du système d’exploitation de s’assurer que les informations d’authentification sont disponibles là où l’utilisateur en a besoin”, précise l’alliance Fido sur son site. Ce qui devrait permettre de récupérer facilement ses accès en cas de changement ou de vol de matériel.
Les trois géants des technologies se sont engagés à mettre en place ce nouveau système dans l’année, sur Android et iOS (les systèmes d’exploitation mobiles de Google et Apple), sur Chrome, Edge et Safari (les navigateurs de Google, Microsoft et Apple) et sur Windows et macOS (les systèmes d’exploitation de Microsoft et Apple pour les ordinateurs).
Le système ne remplacera pas encore les mots de passe, qui pourront toujours être utilisés par ceux qui le souhaitent. Alex Simons, vice-président de Microsoft, a évoqué dans le communiqué de l’alliance Fido une “transition complète vers un monde sans mot de passe” où “les consommateurs prendraient l’habitude de s’en passer au quotidien”.
-
… ou comment remplacer des mots de passe fixes par des mots de passe tournants tout en obtenant l’identité civile de l’utilisateur via son numéro de téléphone. Et donc une valorisation de sa base de données utilisateur à dessein de profilage.
Cette pseudo avancée cache des problèmes bien plus lourds et difficiles à régler pour les personnes lambda que la simple réinitialisation d’un mot de passe en cas de panne, ou de vol, ou de perte, ou de changement d’appareil et/ou de numéro de téléphone ; sans compter les anciens numéros réaffectés qui enverront des demandes d’authentifications à la mauvaise personne…
Conclusion: Le mot de passe est un horizon indépassable en matière de sécurité et de relatif anonymat, il n’appartient qu’aux utilisateurs de ne pas choisir des mdp ridiculement faciles à cracker.
-
@galadriel a dit plus haut :
… ou comment remplacer des mots de passe fixes par des mots de passe tournants tout en obtenant l’identité civile de l’utilisateur via son numéro de téléphone. Et donc une valorisation de sa base de données utilisateur à dessein de profilage.
Ce n’est pas comme ça que ça marche. Rien ne permet de relier l’appareil à deux authentifications différentes, et il n’y a de login que côté site web qui demande l’autorisation, aucune information sur l’appareil d’authentification n’est fournie.
