Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 650
    Points : 22 648
    Points
    22 648

    Par défaut Sécurité : Microsoft entre dans l’ère de la connexion à ses services sans mot de passe

    Sécurité : Microsoft entre dans l’ère de la connexion à ses services sans mot de passe
    Avec des clés physiques basées sur WebAuthn

    Le géant de la Tech a passé l’annonce dans un récent billet de blog : il est désormais possible de se connecter à un compte Microsoft sans fournir le tandem nom d’utilisateur et mot de passe. À la place, la firme de Redmond propose des clés physiques pour permettre aux utilisateurs d’accéder à sa large gamme de services : Outlook, Office, OneDrive, Bing, Skype, Xbox Live, etc. Attention, seuls les utilisateurs de Windows 10 October Update pourront bénéficier de cette nouveauté.


    Le matériel disponible dans les points de vente des partenaires Microsoft (Yubico et Feitian Technologies) s’appuie sur FIDO2. Le standard est architecturé autour de la norme WebAuthn (publiée en tant que recommandation W3C au mois d’avril) qui permet à tout site web ou service en ligne d’utiliser des applications, des clés physiques ou des données comme méthode de connexion plutôt que des mots de passe, ou de faire usage de ces approches alternatives comme deuxième méthode de vérification. Depuis le mois de juillet, le navigateur Microsoft Edge supporte cette spécification. La firme de Redmond comblait alors le gap avec Firefox 60 et Chrome 67.

    Nom : Fido 2 architecture.png
Affichages : 2414
Taille : 64,5 Ko

    Pour Microsoft, il s’agit de sécuriser l’accès aux applications web et empêcher les attaques par hameçonnage dans un contexte sécuritaire marqué par les fuites massives de données et le vol de mots de passe. On peut simplement regretter que ces clés physiques compatibles FIDO2 ne fonctionnent qu’avec le navigateur de la firme de Redmond, du moins pour le moment.

    La manœuvre de Microsoft fait suite à celle de Google. Depuis le mois de juillet, l’entreprise a lancé Titan – sa propre clé de sécurité physique. Également construite en adéquation avec le standard FIDO (pour Fast Identity Online), cette clé devient, après activation via un compte Google, le seul moyen de vérifier l’identité de la personne qui tente une connexion ; c’est peut-être l’un des plus gros défauts de ce type de dispositifs que les entreprises présentent quasiment comme l’absolu en matière de sécurisation des comptes en ligne.

    Selon des chiffres publiés par Cyberscoop – un média en ligne spécialisé en cybersécurité – 71 % des attaques ciblées commencent par des tentatives de phishing. C’est dire le rôle que peuvent jouer ces clés dans la résorption de telles attaques, mais les défauts sont ailleurs. Une clé de sécurité physique peut s’égarer ouvrant l’accès du compte lié à celui qui est en sa possession – par exemple, un collègue sur le lieu de service. Dans d’autres cas, l’entreprise qui fait la promotion de la clé n’est pas celle qui la fabrique, ce qui laisse des doutes sur sa fiabilité.

    Source : Microsoft

    Et vous ?

    Qu’en pensez-vous ?

    Le mot de passe est-il appelé à mourir avec la vulgarisation croissante de ce type d’outils ?

    Que faites-vous personnellement pour protéger vos comptes en ligne des dangers du moment ?

    Voir aussi :

    Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google

    Les clés de sécurité physiques Titan de Google sont disponibles à 50 dollars aux États-Unis, pourquoi les utiliser ou non ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Avatar de Marwindows
    Homme Profil pro
    Dev'Ops
    Inscrit en
    mars 2010
    Messages
    50
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Dev'Ops

    Informations forums :
    Inscription : mars 2010
    Messages : 50
    Points : 635
    Points
    635

    Par défaut

    A mon sens (c'est un ressenti personnel), ça ne fonctionnera pas.


    1. Premièrement il faudrait livrer la clé avec l'ordinateur.
    2. Deuxièmement je serais curieux de savoir comment sont géré les ordinateurs familiaux (chacun sa clef) ?
    3. Troisièmement, en cas de perte de la fameuse clef ... il y a toujours l'utilisation du mot de passe ...
    4. Quatrièmement il faut que les sites concernés soit compatibles ... je ne vois aucune banque dans les plateformes compatibles :
      https://www.yubico.com/works-with-yubikey/catalog/
    5. Et dernièrement ... en cas de vol de la yubikey, le voleur n'as plus qu'a appuyer sur un bouton pour accéder à tous vos comptes ^^


    Bref une énième tentative de remplacer le mot de passe ...

    C'est comme d'utiliser les empreintes ou la rétine, une fois que tu t'es fait piquer l'empreinte des dix doigts et des 2 yeux ... on passe à quoi ?

  3. #3
    Membre émérite
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    520
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 520
    Points : 2 286
    Points
    2 286

    Par défaut

    Marwindows> Techniquement c'est une vrai solution pour passer outre les mots de passes, contrairement à de la biométrie par exemple. Ce type d'authentification est d'ailleurs utilisé depuis bien longtemps. Dans beaucoup d'entreprises les utilisateurs se connecte grâce à une carte à puce (protégé par un code pin) à leur compte Windows et aux autres services de la boite. Maintenant il y a divers problèmes d'applications effectivement.

    Troisièmement, en cas de perte de la fameuse clef ... il y a toujours l'utilisation du mot de passe ...
    Oui, le but avancé dans l'article ici n'est pas de plus avoir de mot de passe, mais de ne pas avoir à l'utiliser tant que possible, évitant de le taper par inadvertance sur un site de phishing.
    La perte de la clé ou l'oublie du mot de passe qui la protège est un gros soucis, tout comme l'oublie du mot de passe de ton gestionnaire de mot de passe.
    Si on gère bien la façon dont on configure une clé Yubico il est aussi possible de recréer une clé identique si on la perd, mais cela demande des compétences techniques.

    Quatrièmement il faut que les sites concernés soit compatibles ... je ne vois aucune banque dans les plateformes compatibles :
    C'est effectivement un des très gros points faibles.

    Et dernièrement ... en cas de vol de la yubikey, le voleur n'as plus qu'a appuyer sur un bouton pour accéder à tous vos comptes ^^
    Si on fait les choses proprement on protège la clé par un mot de passe, qui est demandé lorsqu'on appuie sur le bouton. Je parle là d'un mot de passe locale, qui se trouve dans la clé et n'est pas récupérable.


    Pour moi un des freins jusque là était surtout la configuration des clés types Yubico qui était techniquement hors de portée du grand public. A voir ce que propose MS comme outil pour simplifier leur gestion.

  4. #4
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 822
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 822
    Points : 2 953
    Points
    2 953

    Par défaut

    Citation Envoyé par Marwindows Voir le message
    C'est comme d'utiliser les empreintes ou la rétine, une fois que tu t'es fait piquer l'empreinte des dix doigts et des 2 yeux ... on passe à quoi ?
    Probablement la puce RFID, c'est vers cela qu'ils veulent tous en venir.
    Plus d'argent liquide.
    Gouvernement mondial et la marque de la bête (666).

    Rappelez-vous de Bush, Sarkozy: "Le gouvernement mondial", "The new world order".
    Si la réponse vous a aidé, pensez à cliquer sur +1

Discussions similaires

  1. protéger la connexion internet par un mot de passe
    Par Baka59 dans le forum Windows XP
    Réponses: 4
    Dernier message: 09/05/2008, 10h11
  2. Réponses: 0
    Dernier message: 26/03/2008, 16h46
  3. probleme connexion server mysql avec mot de passe
    Par jsdar dans le forum Débuter
    Réponses: 1
    Dernier message: 25/02/2007, 20h58
  4. Réponses: 7
    Dernier message: 06/06/2006, 15h54
  5. [Stratégie] Connexion à MySQL avec mot de passe crypté
    Par Krishtov dans le forum Général Java
    Réponses: 5
    Dernier message: 08/03/2006, 18h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo