Discussion :

[Patrick Ruiz]

Sécurité : Microsoft entre dans l’ère de la connexion à ses services sans mot de passe
Avec des clés physiques basées sur WebAuthn

Le géant de la Tech a passé l’annonce dans un récent billet de blog : il est désormais possible de se connecter à un compte Microsoft sans fournir le tandem nom d’utilisateur et mot de passe. À la place, la firme de Redmond propose des clés physiques pour permettre aux utilisateurs d’accéder à sa large gamme de services : Outlook, Office, OneDrive, Bing, Skype, Xbox Live, etc. Attention, seuls les utilisateurs de Windows 10 October Update pourront bénéficier de cette nouveauté.

Le matériel disponible dans les points de vente des partenaires Microsoft (Yubico et Feitian Technologies) s’appuie sur FIDO2. Le standard est architecturé autour de la norme WebAuthn (publiée en tant que recommandation W3C au mois d’avril) qui permet à tout site web ou service en ligne d’utiliser des applications, des clés physiques ou des données comme méthode de connexion plutôt que des mots de passe, ou de faire usage de ces approches alternatives comme deuxième méthode de vérification. Depuis le mois de juillet, le navigateur Microsoft Edge supporte cette spécification. La firme de Redmond comblait alors le gap avec Firefox 60 et Chrome 67.

Pour Microsoft, il s’agit de sécuriser l’accès aux applications web et empêcher les attaques par hameçonnage dans un contexte sécuritaire marqué par les fuites massives de données et le vol de mots de passe. On peut simplement regretter que ces clés physiques compatibles FIDO2 ne fonctionnent qu’avec le navigateur de la firme de Redmond, du moins pour le moment.

La manœuvre de Microsoft fait suite à celle de Google. Depuis le mois de juillet, l’entreprise a lancé Titan – sa propre clé de sécurité physique. Également construite en adéquation avec le standard FIDO (pour Fast Identity Online), cette clé devient, après activation via un compte Google, le seul moyen de vérifier l’identité de la personne qui tente une connexion ; c’est peut-être l’un des plus gros défauts de ce type de dispositifs que les entreprises présentent quasiment comme l’absolu en matière de sécurisation des comptes en ligne.

Selon des chiffres publiés par Cyberscoop – un média en ligne spécialisé en cybersécurité – 71 % des attaques ciblées commencent par des tentatives de phishing. C’est dire le rôle que peuvent jouer ces clés dans la résorption de telles attaques, mais les défauts sont ailleurs. Une clé de sécurité physique peut s’égarer ouvrant l’accès du compte lié à celui qui est en sa possession – par exemple, un collègue sur le lieu de service. Dans d’autres cas, l’entreprise qui fait la promotion de la clé n’est pas celle qui la fabrique, ce qui laisse des doutes sur sa fiabilité.

Source : Microsoft

Et vous ?

Qu’en pensez-vous ?

Le mot de passe est-il appelé à mourir avec la vulgarisation croissante de ce type d’outils ?

Que faites-vous personnellement pour protéger vos comptes en ligne des dangers du moment ?

Voir aussi :

Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google

Les clés de sécurité physiques Titan de Google sont disponibles à 50 dollars aux États-Unis, pourquoi les utiliser ou non ?

[Marwindows]

A mon sens (c'est un ressenti personnel), ça ne fonctionnera pas.

1. Premièrement il faudrait livrer la clé avec l'ordinateur.
2. Deuxièmement je serais curieux de savoir comment sont géré les ordinateurs familiaux (chacun sa clef) ?
3. Troisièmement, en cas de perte de la fameuse clef ... il y a toujours l'utilisation du mot de passe ...
4. Quatrièmement il faut que les sites concernés soit compatibles ... je ne vois aucune banque dans les plateformes compatibles :
   https://www.yubico.com/works-with-yubikey/catalog/
5. Et dernièrement ... en cas de vol de la yubikey, le voleur n'as plus qu'a appuyer sur un bouton pour accéder à tous vos comptes ^^

Bref une énième tentative de remplacer le mot de passe ...

C'est comme d'utiliser les empreintes ou la rétine, une fois que tu t'es fait piquer l'empreinte des dix doigts et des 2 yeux ... on passe à quoi ?

[benjani13]

Marwindows> Techniquement c'est une vrai solution pour passer outre les mots de passes, contrairement à de la biométrie par exemple. Ce type d'authentification est d'ailleurs utilisé depuis bien longtemps. Dans beaucoup d'entreprises les utilisateurs se connecte grâce à une carte à puce (protégé par un code pin) à leur compte Windows et aux autres services de la boite. Maintenant il y a divers problèmes d'applications effectivement.

Troisièmement, en cas de perte de la fameuse clef ... il y a toujours l'utilisation du mot de passe ...

Oui, le but avancé dans l'article ici n'est pas de plus avoir de mot de passe, mais de ne pas avoir à l'utiliser tant que possible, évitant de le taper par inadvertance sur un site de phishing.
La perte de la clé ou l'oublie du mot de passe qui la protège est un gros soucis, tout comme l'oublie du mot de passe de ton gestionnaire de mot de passe.
Si on gère bien la façon dont on configure une clé Yubico il est aussi possible de recréer une clé identique si on la perd, mais cela demande des compétences techniques.

Quatrièmement il faut que les sites concernés soit compatibles ... je ne vois aucune banque dans les plateformes compatibles :

C'est effectivement un des très gros points faibles.

Et dernièrement ... en cas de vol de la yubikey, le voleur n'as plus qu'a appuyer sur un bouton pour accéder à tous vos comptes ^^

Si on fait les choses proprement on protège la clé par un mot de passe, qui est demandé lorsqu'on appuie sur le bouton. Je parle là d'un mot de passe locale, qui se trouve dans la clé et n'est pas récupérable.


Pour moi un des freins jusque là était surtout la configuration des clés types Yubico qui était techniquement hors de portée du grand public. A voir ce que propose MS comme outil pour simplifier leur gestion.

[hotcryx]

C'est comme d'utiliser les empreintes ou la rétine, une fois que tu t'es fait piquer l'empreinte des dix doigts et des 2 yeux ... on passe à quoi ?

Probablement la puce RFID, c'est vers cela qu'ils veulent tous en venir.
Plus d'argent liquide.
Gouvernement mondial et la marque de la bête (666).

Rappelez-vous de Bush, Sarkozy: "Le gouvernement mondial", "The new world order".