Discussion :

[Stéphane le calme]

Microsoft rapproche Windows 10 d'un avenir sans mots de passe,
avec le déploiement de la certification FIDO2 de Windows Hello dans la prochaine mise à jour de Windows 10

Microsoft a très discrètement confirmé faire un pas de plus vers la mort des mots de passe Windows 10 cette semaine. Yogesh Mehta, responsable du groupe Crypto, Identity & Authentication de Microsoft, a annoncé : « Avec la certification FIDO2 de Windows Hello, Microsoft rapproche les 800 millions d'utilisateurs de Windows 10 d'un monde sans mots de passe ».

Dans l’industrie de la sécurité, nombreux sont les acteurs qui estiment que les mots de passe ont atteint leur « date d’expiration ». Par cela, il faut comprendre qu’ils pensent que le concept de mot de passe en tant que méthode d’authentification sécurisée est désormais obsolète. C’est pour cela par exemple que vous avez un acteur comme Google qui recommande l’authentification multifacteur ou, plus récemment encore, l’utilisation d’une clé physique de sécurité.

Et Mehta de déclarer :

« Personne n'aime les mots de passe (en dehors des hackers). Les gens n'aiment pas les mots de passe, car nous devons nous en souvenir. Par conséquent, nous créons souvent des mots de passe faciles à deviner, ce qui en fait la première cible des pirates informatiques tentant d’accéder à votre ordinateur ou à votre réseau au travail.

« Depuis 2015, Microsoft crée un chemin vers un monde sécurisé et sans mot de passe avec Windows Hello, permettant aux utilisateurs de Windows 10 de se connecter partout sur leurs appareils à l'aide de la biométrie ou d'un code PIN et de laisser le monde des mots de passe. Poursuivant sur cette lancée, Microsoft a annoncé en novembre 2018 la possibilité d'utiliser Windows Hello ou une clé de sécurité FIDO2 pour se connecter en toute sécurité à votre compte Microsoft sur le Web, sans mot de passe! ».

Mehta a confirmé qu'avec la publication de la prochaine mise à jour de mai de Windows 10, Windows Hello devient un authentificateur entièrement certifié FIDO2. Pour mémoire, l'Alliance FIDO (qui signifie Fast Identity Online) est un organisme du secteur ayant pour mission de résoudre le problème des mots de passe en utilisant des normes ouvertes pour piloter des technologies capables de les remplacer en toute sécurité. FIDO2 est un ensemble de telles normes qui permettent des connexions sécurisées par une sécurité cryptographique renforcée. La certification en question s’applique à l’utilisation de Windows Hello pour les utilisateurs Windows 10.

« Aujourd'hui, l'alliance FIDO a annoncé que, avec la prochaine version de Windows 10, version 1903, Windows Hello est un authentificateur certifié FIDO2. FIDO2 permet aux développeurs d'exploiter des protocoles et des périphériques standard pour fournir aux utilisateurs une authentification facile aux services en ligne, dans les environnements de bureau et mobiles. Microsoft est un membre important de l'Alliance FIDO et collabore étroitement avec les membres de l'alliance pour permettre la connexion sans mot de passe pour les sites Web prenant en charge l'authentification FIDO2. Ensemble, ces normes permettent aux utilisateurs de se connecter plus facilement et en toute sécurité aux services en ligne à l'aide de clés de sécurité conformes à FIDO2 et de Windows Hello ».

Selon lui, « Chaque mois, plus de 800 millions de personnes utilisent un compte Microsoft pour accéder à la messagerie électronique, jouer à un jeu ou accéder à des fichiers dans le cloud. C’est pourquoi, outre la certification FIDO2, Windows 10, version 1903, permettra aux utilisateurs de la dernière version de Mozilla Firefox de se connecter à leur compte Microsoft ou à d’autres sites Web prenant en charge FIDO. Les navigateurs à base de chrome, y compris Microsoft Edge sur Chromium, prendront bientôt en charge la même fonctionnalité ».

Microsoft encourage les entreprises et les développeurs de logiciels à adopter une stratégie visant à créer un avenir sans mot de passe et à le commencer immédiatement par la prise en charge de solutions de remplacement du mot de passe, telles que Windows Hello, pour leurs utilisateurs.

« Pour prendre en charge l'authentification sécurisée sur les PC Windows 10 partagés, tels que ceux utilisés par Firstline Workers, les clés de sécurité compatibles Microsoft compatibles FIDO2 constituent une solution portable permettant aux utilisateurs de se connecter à Windows 10 sans mot de passe. Pour en savoir plus sur ce scénario, lisez les clés de sécurité Windows Hello et FIDO2 qui permettent une authentification simple et sécurisée des périphériques partagés ».

Enfin, il a expliqué que Microsoft Authenticator peut permettre aux utilisateurs d'authentifier leurs comptes Microsoft à l'aide de leurs téléphones mobiles. Construit sur une technologie sécurisée similaire à Windows Hello, Microsoft Authenticator regroupe l'authentification dans une application simple sur votre appareil mobile.

Andrew Shikiar, le directeur du marketing de l'Alliance FIDO, a déclaré que « Microsoft a été l'un des principaux défenseurs de la mission de l'Alliance FIDO qui consiste à faire évoluer le monde au-delà des mots de passe ». En effet, Microsoft a commencé à déployer des efforts pour supprimer progressivement les mots de passe depuis l’introduction en 2015 de Windows Hello, qui permet aux utilisateurs de Windows 10 de se connecter à des appareils utilisant la reconnaissance faciale. L’arrivée de la certification FIDO2 pour Windows 10 signifie-t-elle que les mots de passe sont maintenant morts ? Pas vraiment. La mort du mot de passe de Windows 10 pourrait encore être reportée à très longtemps. C’est d’ailleurs ce que reconnaît Mehta lorsqu’il déclare « Nous encourageons les entreprises et les développeurs de logiciels à adopter une stratégie visant à créer un avenir sans mot de passe et à commencer dès aujourd'hui en prenant en charge des mots de passe alternatifs tels que Windows Hello ». D’ailleurs, pour arriver dans cet avenir, Mehta indique qu’il faut « des solutions interopérables fonctionnant sur toutes les plateformes du secteur et les navigateurs ».

Jake Moore, spécialiste de la sécurité chez ESET, se réjouit de cette nouvelle. « Compte tenu du nombre de violations de données dont nous avons été témoins au cours des derniers mois, il est bon de voir les entreprises prendre les mesures nécessaires pour protéger leurs utilisateurs ». Cependant, il prévient que les mots de passe « resteront une caractéristique à l'arrière-plan » et que les utilisateurs doivent « adopter une meilleure gestion des mots de passe et une authentification multifactorielle pour protéger leurs données au cas où leurs informations se retrouveraient entre de mauvaises mains ».

Mehta conclu en disant que Windows Hello, les clés de sécurité FIDO2 et l’application mobile Microsoft Authenticator sont d’excellentes alternatives aux mots de passe. « Nous continuerons d’investir dans cet espace et avons hâte de partager les futures mises à jour ». En attendant, si vous êtes développeur, vous pouvez aider en prenant en charge l’authentification FIDO2 dans vos services Web et applications actuels.

Source : Microsoft

Et vous ?

Que pensez-vous de l'approche passwordless ?
En tant que développeur, allez-vous songer à prendre en charge l'authentification FIDO2 dans vos services Web et applications actuelles ?
Selon vous, Cette approche a-t-elle des chances de convaincre un public qui est déjà habitué aux mots de passe ?
Si oui, pourquoi ? Si non, quelles pourraient en être les causes ?

[herr_wann]

C'est une bonne initiative ! Lorsqu'une faille sera découverte dans le protocole en question, ce sont 800 millions de personnes qui seront vulnérables d'un coup. Les pirates vont adorer, les vendeurs de clés sécurisées aussi

[Voyvode]

@herr_wann
C'est pas grave, il suffira de rajouter un mot de passe pour protéger la clé sécurisée.

[4bstract]

"[...]permettant aux utilisateurs de Windows 10 de se connecter partout sur leurs appareils à l'aide de la biométrie ou d'un code PIN et de laisser le monde des mots de passe."

Un code PIN... un mot de passe quoi é_é
Je dois avouer ne pas vraiment saisir la différence avec un mot de passe et un code PIN.

De mon avis personnel (qui est tout à fait discutable), je pense que d'essayer de se débarrasser des mots de passes est un objectif chimérique. les alternatives actuelles proposées sont au moins aussi dysfonctionnelles que les mots de passe.

• L'authentification à facteurs multiples est certes efficace mais apporte à l'utilisateur un inconvénient supplémentaire. Et ce base souvent sur des mots de passe.
• La clé physique est autant problématique que le mot de passe. Elle peut être facilement volée, cassée ou répliquée et dans ces cas, il y a un délai pour en obtenir une nouvelle.
• L'authentification biométrique, outre le fait qu'elle pose problème concernant l'anonymat, est sujette aux accidents. Le corps humain se dégrade facilement, il ne peut être un moyen d'authentification fiable. Et une fois que vous pouvez plus vous connecter, il devient difficile de prouver son identité pour régler le problème (à moins d'utiliser les questions secrètes, etc... qui reviennent au final à un autre mot de passe).

Pour terminer cette tirade, rappelons tout de même que le vol d'identifiants se fait très bien en s'introduisant sur serveur, le problème ne serait règlé que partiellement.

Après, je dois avouer que je ne suis pas impartial étant donné que j'aime bien utiliser les mots de passe en général

[Stéphane le calme]

Microsoft lance la préversion publique du support de l'identification sans mot de passe à Azure AD,
grâce aux clés de sécurité FIDO2

Microsoft a annoncé la prise en charge en préversion publique des clés de sécurité FIDO2 dans Azure Active Directory (Azure AD) afin de fournir aux utilisateurs des fonctionnalités d'authentification sans mot de passe, éliminant ainsi les mots de passe du processus de connexion.

Avec l'aide d'une clé de sécurité FIDO2, ainsi que de l'application Microsoft Authenticator et de Windows Hello, tous les utilisateurs d'Azure AD peuvent désormais se connecter sans avoir à entrer de mot de passe.

L’équipe Microsoft 365 a avancé que « ces facteurs d’authentification puissants sont basés sur les mêmes protocoles et normes de chiffrement de clé publique / clé privée de classe mondiale, qui sont protégés par un facteur biométrique (reconnaissance des empreintes digitales ou du visage) ou un code PIN. Les utilisateurs appliquent le facteur biométrique ou le code PIN pour déverrouiller la clé privée stockée de manière sécurisée sur l'appareil. La clé est ensuite utilisée pour prouver l'identité de l'utilisateur et du périphérique vis-à-vis du service ».

Parallèlement à la prise en charge de la connexion sans mot de passe FIDO2, les utilisateurs de Microsoft 365 auront également accès à plusieurs autres nouvelles fonctionnalités en préversion publique cette semaine, parmi lesquelles :

• Une nouvelle méthode d'authentification dans votre portail administrateur Azure AD qui vous permet d'attribuer des informations d'identification sans mot de passe à l'aide des clés de sécurité FIDO2 et d'une connexion sans mot de passe avec Microsoft Authenticator à des utilisateurs et des groupes.
• des fonctionnalités mises à jour dans le portail d'enregistrement convergé permettant à vos utilisateurs de créer et de gérer des clés de sécurité FIDO2.
• la possibilité d'utiliser les clés de sécurité FIDO2 pour s'authentifier sur des périphériques Windows 10 connectés à Azure AD sur les dernières versions des navigateurs Edge et Firefox.

Le vice-président de la division Microsoft Identity, Alex Simons, a assuré que la société ajouterait également un certain nombre d'autres fonctionnalités conçues pour permettre la gestion de tous les « facteurs d'authentification traditionnels (authentification multifactorielle (AMF), jetons OATH, identification du numéro de téléphone, etc.) »

L'objectif final est d'ajouter une prise en charge de l'ensemble des facteurs d'authentification disponibles, afin de réduire considérablement le risque de compromission du compte en rendant le processus de connexion considérablement plus sécurisé à long terme.

« Malheureusement, les mots de passe ne sont plus un mécanisme de sécurité efficace. Les analystes du secteur savent que 81% des cyberattaques réussies commencent par un nom d'utilisateur et un mot de passe compromis », a déclaré Alex Simons. « En outre, l'AMF traditionnelle, bien que très efficace, peut être difficile à utiliser et présente un taux d'adoption très faible ».

Microsoft a intégré les nouvelles solutions d'authentification sans mot de passe en préversion publique avec l'aide de Feitian Technologies, Yubico et HID Global, qui fournissent des clés et des cartes de sécurité compatibles avec le nouveau support Azure AD FIDO2.

Chacun des trois partenaires Microsoft fournit aux utilisateurs Azure AD différents facteurs de forme FIDO2:

• La biométrie pour assurer votre sécurité : un moyen naturel de vous connecter à un compte
• Des clés NFC et des clés de sécurité USB vous permettant d’accéder à tout PC compatible FIDO
• Des cartes à puce utilisées par les entreprises qui souhaitent utiliser des badges pour la gestion des identités

La liste complète des fournisseurs de clés de sécurité FIDO2 compatibles avec l'expérience sans mot de passe Azure AD est disponible sur le site Web de documentation de Microsoft Azure.

Microsoft fournit également une procédure détaillée étape par étape pour activer la fonctionnalité en préversion de connexion sans mot de passe pour Azure AD, ainsi qu'une liste d'extensions et de fonctionnalités que les clés FIDO2 doivent implémenter pour être compatibles.

Activer la fonctionnalité de connexion sans mot de passe pour Azure AD

Source : Microsoft (1, 2, 3)

Et vous ?

Que pensez-vous de ces nouvelles options de connexion ?
Avez-vous déjà essayé une autre méthode d'identification que le couple identifiant / mot de passe ? Lequel ? Qu'en avez-vous pensé ?

Voir aussi :

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe et appellent les sites et entreprises à l'adopter
Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites
Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Netflix annonce la disponibilité de FIDO en open source, son outil de gestion d'incidents de sécurité

[darklinux]

Sa , c 'est très bien

[droggo]

Bonjour,

Il ne nous reste plus qu'à attendre la catastrophe si largement prévisible ...

[Bill Fassinou]

Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification
comme Windows Hello, Microsoft Authenticator et la biométrie

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet. Microsoft travaille depuis quelques années à rendre le mot de passe obsolète et a annoncé la semaine dernière qu'il dispose désormais d'assez d'alternatives pouvant lui permettre de supprimer le mot de passe pour ses clients dès 2021.

L'utilisation du mot de passe et les enjeux pour les personnes et les organisations

Un mot de passe est une chaîne de caractères utilisée pour vérifier l'identité d'un utilisateur au cours du processus d'authentification. Généralement, les mots de passe sont utilisés en conjonction avec un nom d'utilisateur ; ils sont conçus pour être connus uniquement de l'utilisateur et lui permettre d'accéder à une application, un site Web ou un dispositif. Les mots de passe peuvent varier en longueur et peuvent contenir des lettres, des chiffres et des caractères spéciaux. Cependant, même s'il existe des recommandations pour former un mot de passe théoriquement "fort", il n'est jamais techniquement totalement "sécurisé".

Selon Microsoft, les mots de passe sont un véritable casse-tête et ils présentent des risques de sécurité pour les utilisateurs et les organisations de toutes tailles, avec une moyenne d'un compte d'entreprise sur 250 compromis chaque mois. Selon Gartner, 20 à 50 % de tous les appels au service d'assistance sont destinés à la réinitialisation de mots de passe. Le Forum économique mondial (World economic forum - WEF) estime que la cybercriminalité coûte à l'économie mondiale environ 2,9 millions de dollars chaque minute, dont environ 80 % pour les mots de passe.

En effet, de nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.

En outre, dans le cadre de la journée mondiale du mot de passe le 7 mai, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe en 2020. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.

Il existe également d'autres études traitant des défis liés aux défis des mots de passe auxquels les organisations sont confrontées. Des centres de recherche et plusieurs acteurs du secteur de la cybersécurité recherchent depuis quelques années des solutions pour venir à bout de ces problèmes et d'autres, comme Microsoft, sont pour une approche sans mot de passe. La firme de Redmond est en effet un partisan de la technologie sans mot de passe depuis un certain temps et a récemment déclaré qu'elle veut que les mots de passe traditionnels et non sécurisés meurent.

Microsoft veut supprimer le mot de passe pour ses clients d'ici la fin de 2021

Dans l'objectif d'éliminer le mot de passe, qu'il voit comme dépassé et peu sûr pour les entreprises, Microsoft a investi ces dernières années dans diverses solutions telles que Windows Hello, Microsoft Authenticator, les clés de sécurité FIDO2 et un système d'authentification des veines de la paume, entre autres choses. Ainsi, il s'efforce de faire passer les gens à ses solutions sans mot de passe et jeudi dernier, il a mis en évidence les progrès qu'il a réalisés pour tuer les mots de passe en 2020, et a déclaré qu'elle prévoit de les faire disparaître pour tous ses clients en 2021.

Selon les chiffres de la société, en novembre 2019, 100 millions de personnes utilisaient la connexion sans mot de passe de Microsoft. Ce chiffre est passé à 150 millions en mai 2020, ce qui montre bien que des millions de personnes sont prêtes à abandonner leurs mots de passe en raison de la gêne qu'elles ressentent à les mémoriser et de l'insécurité qu'elles peuvent ressentir. Tout au long de l'année 2020, Microsoft a participé à diverses conférences pour partager sa vision d'un avenir sans mot de passe et d'un environnement Zero Trust.

Il a également dévoilé en avant-première la prise en charge d'Azure Active Directory pour les clés de sécurité FIDO2 dans les environnements hybrides, ainsi qu'un nouveau assistant sans mot de passe via le centre d'administration Microsoft 365. L'entreprise s'est également engagée avec plusieurs partenaires de sécurité dans la Microsoft Intelligent Security Association (MISA) pour mettre en place des solutions sans mot de passe. Pour rappel, FIDO2 est le terme général qui désigne la toute nouvelle série de spécifications de l'Alliance FIDO.

FIDO2 permet aux utilisateurs de tirer parti des appareils courants pour s'authentifier facilement aux services en ligne dans les environnements mobiles et de bureau. Les spécifications FIDO2 sont la spécification d'authentification Web (WebAuthn) du World Wide Web Consortium (W3C) et le protocole Client-to-Authenticator (CTAP) correspondant de FIDO Alliance. Voici quelques chiffres mis en avant par Microsoft, attestant de ses efforts pour mettre fin à l'utilisation du mot de passe sur ses différentes plateformes :

• l'utilisation sans mot de passe dans Azure Active Directory a augmenté de plus de 50 % pour Windows Hello for Business, la connexion téléphonique sans mot de passe avec Microsoft Authenticator et les clés de sécurité FIDO2 ;
• il y a désormais plus de 150 millions d'utilisateurs sans mot de passe dans Azure Active Directory et les comptes consommateurs de Microsoft ;
• le nombre de consommateurs utilisant Windows Hello pour se connecter à des appareils Windows 10 au lieu d'un mot de passe est passé de 69,4 % en 2019 à 84,7 % en 2020.

Fier d'en être arrivé là, Microsoft a déclaré que si tout se passe comme prévu, il rendra les mots de passe obsolètes pour tous ses clients avant la fin de 2021. Il développe actuellement de nouvelles API et un UX pour gérer les clés de sécurité FIDO2, et vise également à fournir un "portail d'enregistrement convergent", où les clients peuvent gérer leurs identifiants sans mot de passe. Tout en espérant que 2021 marque le retour à la normale (la fin de la crise sanitaire liée au Covid-19), la société a souligné que le fait de passer à une authentification sans mot de passe facilitera considérablement la vie en ligne.

Source : Microsoft

Et vous ?

Que pensez-vous de l'authentification sans mot de passe ? Garantit-elle plus de sécurité que le mot de passe ?
Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?

Voir aussi

69 % des employés révèlent leurs mots de passe à leurs collègues, d'après une enquête menée par Yubico et Ponemon

99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes, révèle un rapport

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe et appellent les sites et entreprises à l'adopter

Microsoft rapproche Windows 10 d'un avenir sans mots de passe avec le déploiement de la certification FIDO2 dans la prochaine mise à jour Windows 10

Google renforce la sécurité mobile sur iOS avec la prise en charge de YubiKey via NFC et Lightning

[tanaka59]

Bonjour,

Que pensez-vous de l'authentification sans mot de passe ?

Cela n'existe pas ... Il y a toujours un mot de passe genre un token ou code temporaire ... cela reste un mot de passe malgré tout.

Garantit-elle plus de sécurité que le mot de passe ?

Pas nécessairement ... Quid des moments ou l'on a pas forcement internet ou le réseau de téléphonie fixe comme mobile pour recevoir le code temporaire ? Quid du télétravail quand l'utilisateur n'a accès à sa ligne d'entreprise ?

Quid des utilisateurs sans smartphone ou GSM qui ont un pc windows 10 ?

Quid des particuliers lors du premier paramétrage du pc sans internet ?

Partir du postulat que tout le monde à internet pour les sacro-saintes solutions multifacteurs me fait bien ...

Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?

J'ai déjà essayé Hellow et l'identification multifacteur ... deçu car trop usine à gaz ... pire parfois même le sms n'arrive pas ...

[marsupial]

Curieux de voir ce que cela va donner. Mais bon, ils devraient y arriver puisque j'y suis arrivé pour la solution de sécurité de THALES.
Comme quoi SUNBURST a des conséquences pouvant être bénéfiques.

@tanaka59 : je pense que MS vise le public pro avant tout.

Que pensez-vous de l'authentification sans mot de passe ? Garantit-elle plus de sécurité que le mot de passe ?

Elle évite bien des piratages. Je n'ai pas eu l'occasion de tester les solutions MS depuis mon poste sur GNU/Linux.

[MRSizok]

Pas grave, on a pas forcément besoin des mdp utilisateurs pour les hackers...Suffit de voir Microsoft qui vient de se faire avoir via Azure..

[ji_louis]

Je ne doute pas du fait qu'une solution biométrique (doigt, veines, oeil, etc) donne un code plus complexe, personnel et reproductible qu'un mot de passe.

Le problème est "Que se passera-t-il quand ce code biométrique aura été compromis?" (parce que tout code binaire peut être copié et reproduit).
Imaginez votre compte bancaire vidé par un pirate qui aura utilisé votre code biométrique (donc non répudiable), opération non remboursée par la banque...

La gestion des mots de passe est une plaie nécessaire pour assurer un bon niveau de sécurité. Les industriels de l'informatique veulent faire passer tous leurs clients sur des services distants, donc gérés par les industriels, ce qui assure à ces industriels une clientèle captive qu'ils pourront pressurer à loisir (quand ils n'en profiteront pas pour pirater leurs secrets, de la correspondance, industriels, commerciaux ou autres, comme Amazon est accusé de l'avoir fait).

Il vaut mieux avoir un service local de gestion des mots de passes avec une sauvegarde ad hoc et des procédures de redémarrage idoines, cela assure l'indépendance de l'entreprise.

[chrtophe]

Elle évite bien des piratages. Je n'ai pas eu l'occasion de tester les solutions MS depuis mon poste sur GNU/Linux.

Les voitures modernes n'ont plus de clés, c'est pas pour ça qu'elles ne se font pas voler.

Les piratages se feront différemment. Ca mettra peut-être un peu plus de sécurité, tant qu'on ne se blesse pas le doigt d'authentification .

[zoonel]

Moi ce dont j'ai le plus peur avec ce genre de système c'est que se passe-t-il si on perd sa clef ? (je parle ici plutot de FIDO2 que des veines de la paume même si c'est également possible)
(gsm volé, dongle perdu, ...)
Si c'est pour une société je dirais qu'on s'en fout, doit y avoir des backup qque part.
Mais si c'est pour du perso, comment on fait ? on backup sa clef, mais qu'on sécurise avec quoi du coup ? (un mdp ? ) Et encore c'est si on a été assez prudent pour faire un backup (et puis on le backup où ?).
D'après ce que j'ai lu sur ce genre d'auth, si t'as pas de backup de la clef t'es foutu, tes données sont perdues à jamais.
Dans la vie réelle au moins si tu perds tes clefs tu peux faire appel à un serrurier pour quand même rentrer chez toi, même avec une porte blindée. Ici non, c'est bien ça qui me fait peur.

[chrtophe]

Dans le cas de l'authentification à double facteurs par exemple, tu peux générer des clés de secours. Encore faut il le savoir et penser à le faire.

[Fagus]

Moi ce dont j'ai le plus peur avec ce genre de système c'est que se passe-t-il si on perd sa clef ? (je parle ici plutot de FIDO2...

Les gens qui vendent des clés physiques te disent d'en acheter 2...

Personnellement, j'imprime la clé sur un papier que j'archive sur un autre site. Il y a moyen de l'imprimer sous forme chiffrée (naturellement ou via GPG). On peut aussi la convertir en QR code ou autre archivage graphique en offline avant de l'imprimer pour éviter un OCR fastidieux.

Le papier a l'avantage de se conserver au delà d'une vie, prendre peu de place et coûter moins cher qu'une clé de secours ou un média qui sera moins fiable.

[tanaka59]

Bonjour,

Les gens qui vendent des clés physiques te disent d'en acheter 2...

Personnellement, j'imprime la clé sur un papier que j'archive sur un autre site. Il y a moyen de l'imprimer sous forme chiffrée (naturellement ou via GPG). On peut aussi la convertir en QR code ou autre archivage graphique en offline avant de l'imprimer pour éviter un OCR fastidieux.

Le papier a l'avantage de se conserver au delà d'une vie, prendre peu de place et coûter moins cher qu'une clé de secours ou un média qui sera moins fiable.

D'ou l'utilité d'avoir plusieurs comptes de secours chez plusieurs opérateurs différents.

Le papier aussi peut bruler, prendre la flotte, se perdre, et j'en passe

En gros des sauvegardes multicanal (cloud, pc , clef usb, papier ... )

[Nancy Rey]

Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale :
Une photo infrarouge et une trame vidéo leur ont suffi

L'authentification biométrique est un élément clé des plans de l'industrie technologique qui vise à supprimer les mots de passe dans le monde. Mais une nouvelle méthode pour contourner le système de reconnaissance faciale Windows Hello de Microsoft montre qu'une petite manipulation matérielle peut inciter le système à se déverrouiller alors qu'il ne devrait pas le faire. En effet, les chercheurs de CyberArk ont trompé Windows Hello, le système d'authentification sans mot de passe intégré à Windows 10 et Windows 11, en utilisant une seule image infrarouge accompagnée d'une trame vidéo. Windows Hello englobe trois méthodes d'authentification : un code PIN généré par l'utilisateur, un scanner d'empreintes digitales et un outil de reconnaissance faciale. Les chercheurs de CyberArk ont spécifiquement ciblé ses capacités de reconnaissance faciale, mais des problèmes ont également été découverts dans d'autres aspects du système.

Des services comme FaceID d'Apple ont rendu l'authentification par reconnaissance faciale plus courante ces dernières années, et Windows Hello a poussé l'adoption encore plus loin. Apple ne permet d'utiliser FaceID qu'avec les caméras intégrées aux iPhone et iPad récents, et ce service n'est toujours pas pris en charge par les Macs. Mais comme le matériel Windows est très diversifié, la reconnaissance faciale Hello fonctionne avec toute une série de webcams tierces. Là où certains pourraient voir une facilité d'adoption, cependant, les chercheurs de la société de sécurité CyberArk ont vu une vulnérabilité potentielle. En effet, vous ne pouvez pas faire confiance à une vieille webcam pour offrir des protections solides dans la manière dont elle collecte et transmet les données. La reconnaissance faciale de Windows Hello ne fonctionne qu'avec les webcams dotées d'un capteur infrarouge en plus du capteur de couleur RGB. Mais le système, en fait, ne regarde même pas les données RGB. Cela signifie qu'avec une image infrarouge directe du visage d'une cible et un cadre noir, les chercheurs ont découvert qu'ils pouvaient déverrouiller l'appareil de la victime protégé par Windows Hello.

Procédé : les chercheurs ont branché une carte de prototypage sur un PC en USB . Celle-ci se fait passer pour une webcam et envoie deux images statiques (une image noire + une photo infrarouge de l'utilisateur). Windows hello prend l'ensemble pour l'utilisateur et se déverrouille. « Nous avons essayé de trouver le point faible de la reconnaissance faciale et ce qui serait le plus intéressant du point de vue de l'attaquant, l'option la plus approchable. Nous avons créé une carte complète du flux de reconnaissance faciale de Windows Hello et avons vu que le plus pratique pour un attaquant serait de se faire passer pour la caméra, car tout le système repose sur cette entrée », explique Omer Tsarfati, chercheur à la société de sécurité CyberArk.

Microsoft appelle la découverte une "vulnérabilité de contournement de la fonction de sécurité de Windows Hello" et a publié des correctifs mardi dernier pour résoudre le problème. En outre, la société suggère aux utilisateurs d'activer la "sécurité de connexion améliorée de Windows Hello", qui utilise la "sécurité basée sur la virtualisation" de Microsoft pour chiffrer les données du visage de Windows Hello et les traiter dans une zone de mémoire protégée où elles ne peuvent pas être altérées.

Tsarfati, qui présentera ses conclusions le mois prochain lors de la conférence Black Hat sur la sécurité à Las Vegas, explique que l'équipe de CyberArk a choisi d'examiner l'authentification par reconnaissance faciale de Windows Hello, en particulier, car de nombreuses recherches ont déjà été menées dans l'ensemble du secteur sur le piratage des codes PIN et l'usurpation des capteurs d'empreintes digitales. Il ajoute que l'équipe a été attirée par l'importante base d'utilisateurs de Windows Hello. En mai 2020, Microsoft a déclaré que le service comptait plus de 150 millions d'utilisateurs. En décembre, l'entreprise a ajouté que 84,7 % des utilisateurs de Windows 10 se connectent avec Windows Hello.

Bien que cela semble simple (montrez deux photos au système et vous êtes accepté) ces contournements de Windows Hello ne seraient pas faciles à réaliser dans la pratique. Le piratage nécessite que les attaquants disposent d'une image infrarouge de bonne qualité du visage de la cible et qu'ils aient un accès physique à son appareil. Mais le concept est important, car Microsoft continue de promouvoir l'adoption de Hello avec Windows 11. La diversité du matériel parmi les appareils Windows et l'état lamentable de la sécurité de l'IdO pourraient se combiner pour créer d'autres vulnérabilités dans la façon dont Windows Hello accepte les données du visage. « Un attaquant vraiment motivé pourrait faire ces choses. Microsoft a été formidable pour travailler avec et a produit des atténuations, mais le problème plus profond en soi, concernant la confiance entre l'ordinateur et la caméra, reste présent », dit Tsarfati.

Il existe différentes façons de prendre et de traiter les images pour la reconnaissance faciale. La technologie FaceID d'Apple, par exemple, ne fonctionne qu'avec les réseaux de caméras TrueDepth, une caméra infrarouge combinée à un certain nombre d'autres capteurs. Mais Apple est en mesure de contrôler à la fois le matériel et le logiciel de ses appareils d'une manière que Microsoft n'a pas pour l'écosystème Windows. Les informations de configuration de Windows Hello Face indiquent simplement « S'identifier avec la caméra infrarouge de votre PC ou une caméra infrarouge externe ».

Marc Rogers, chercheur de longue date en sécurité des capteurs biométriques et vice-président de la cybersécurité de la société de gestion des identités numériques Okta, estime que Microsoft devrait indiquer clairement aux utilisateurs quelles sont les webcams tierces certifiées comme offrant des protections solides pour Windows Hello. Les utilisateurs peuvent toujours décider s'ils veulent acheter l'un de ces produits plutôt que n'importe quelle vieille webcam infrarouge, mais des directives et des recommandations spécifiques aideraient les gens à comprendre les options.

Les recherches de CyberArk s'inscrivent dans une catégorie plus large de piratages connus sous le nom d'"attaques de déclassement", dans lesquelles un appareil est amené à utiliser un mode moins sûr, comme une tour de téléphonie mobile malveillante qui force votre téléphone à utiliser des données mobiles 3G, avec ses défenses plus faibles, au lieu de la 4G. Une attaque visant à faire accepter à Windows Hello des données faciales statiques et préenregistrées utilise le même principe, et des chercheurs ont déjoué la reconnaissance faciale de Windows Hello avant de faire accepter au système des photos en utilisant différentes techniques. Selon Rogers, il est surprenant que Microsoft n'ait pas anticipé la possibilité d'attaques contre des caméras tierces comme celle conçue par CyberArk.

Source : CyberArk, Microsoft

Et vous ?

Que pensez-vous de l'authentification sans mot de passe ? Garantit-elle plus de sécurité que le mot de passe ?
Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?

Voir aussi :

Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification comme Windows Hello, Microsoft Authenticator et la biométrie

Yubico et Microsoft annoncent la disponibilité générale d'une connexion sans mot de passe pour tous les utilisateurs d'Azure Active Directory (Azure AD) Grâce à la Yubikey avec le protocole FIDO2

Windows 11 exigera que les nouveaux ordinateurs portables aient une caméra frontale dès 2023

[Fagus]

En résumé : Ils ont branché une carte de prototypage sur un PC en USB . Celle-ci se fait passer pour une webcam et envoie deux images statiques (une image noire + une photo infrarouge de l'utilisateur). Windows hello prend ça pour l'utilisateur et se déverrouille.

[Gluups]

J'entends qu'un mot de passe de quatre chiffres est plus fiable qu'un mot de passe de huit caractères alphanumériques

Outre que 9999 tentatives me semblent plus vite faites que 70 puissance 8 (si on considère 52 lettres, 10 chiffres, 8 signes de ponctuation), si dans un Open Space je tape quatre chiffres sur la rangée du haut, la tendance naturelle est de faire ça avec deux doigts. Quelle est la difficulté de lire ce code depuis l'autre bout de l'Open Space ?

Alors qu'en ayant passé le temps qu'il faut à maîtriser la frappe dactylographique, la position des mains reste constante, ça requiert déjà plus d'attention de repérer quel est le doigt qui bouge, de combien, dans quel ordre. Et si il est changé tous les mois, il faut mémoriser ça en 80 essais, si on fait une pause par demi-journée et qu'on travaille vingt jours dans le mois.

Cela étant, je suis d'accord que les 4 chiffres sont plus vite tapés.

Verrouiller l'ordinateur quand j'éloigne le téléphone ? La dernière fois que j'ai essayé, ça n'a pas marché.

J'ai eu un portable qui était vendu avec sur le pavé tactile un lecteur d'empreinte digitale, spécifiquement pour être utilisé avec Windows Hello. Ça fonctionnait très bien, sauf qu'au bout de neuf mois ce que Microsoft a trouvé de plus urgent à faire, a été de modifier Windows Hello pour ne plus reconnaître ce modèle. Et plutôt que de l'annoncer clairement en expliquant les enjeux, a joué à cache-cache et dit à l'utilisateur voyez avec le constructeur. Qu'est-ce que le constructeur peut bien y faire si Windows change et ne reconnaît plus le matériel ?
Parce que si Microsoft a communiqué aussi efficacement avec le constructeur qu'avec l'utilisateur, le constructeur n'a aucune chance de fournir un pilote à jour.
Donc, lorsque la machine a été obstruée par l'appétit des mises à jour Windows en espace disque, et qu'il a de nouveau fallu passer à la caisse, cette fois j'ai acheté un portable sans lecteur d'empreinte digitale, puisque ça ne sert à rien.

À la maison c'est bien pratique, à l'extérieur j'ai entendu des histoires de gens qui ont réussi à déverrouiller la reconnaissance d'empreinte digitale avec une photo de l'empreinte du doigt sur un verre.
J'imagine que c'est quelques gugusses, qui sont capables de faire ça, mais peut-être justement ceux qu'il ne faudrait pas.

Donc, euh ... Quelque chose de fiable ?
Ah, vaste question.
Normalement, il faut changer souvent ses mots de passe.
Ah oui, mais plus on les change souvent, moins ils sont faciles à se rappeler. Et quoi de moins sécurisé qu'un ordinateur dont l'utilisateur a oublié le mot de passe ?

Ah, oui, d'où les autres solutions proposées ...