Discussion :

[Stéphane le calme]

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?
La FIDO Alliance tente de rendre les mots de passe obsolètes

La protection par mot de passe a été l'aspect fondamental de la cybersécurité en ligne pendant des décennies, mais l'évolution rapide des techniques de piratage et des logiciels malveillants a nécessité l'arrivée d'une nouvelle façon de faire : l'authentification à plusieurs facteurs. De nombreuses entreprises sont passées à ce mode d'authentification en raison du fait que c'est le genre de chose qui pourrait potentiellement finir par créer une couche de défense supplémentaire, et le résultat final naturel de cette progression semble être un monde entièrement dépourvu de mots de passe.

La FIDO (pour Fast IDentity Online), une alliance de plusieurs entreprises (parmi lesquelles de Google, Apple, Meta et Microsoft) qui existe depuis 2013 tente d'accélérer l'obsolescence des mots de passe. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce de la FIDO étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :

• Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
• Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
• En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.

Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Les experts ont estimé que les changements devraient aider à vaincre de nombreux types d'attaques de phishing et à alléger le fardeau global des mots de passe pour les internautes, mais avertissent qu'un véritable avenir sans mot de passe peut encore prendre des années pour la plupart des sites Web.

Cependant, certains estiment que cela pourrait enfermer les utilisateurs dans un écosystème particulier. Prenant le cas d'une authentification avec Face ID sur iPhone, un expert s'interroge : « Si tout, de votre compte bancaire à votre compte Twitter, n'est accessible que par la reconnaissance faciale, votre iPhone deviendra encore plus important et cela pourrait vous décourager de vous éloigner de cet écosystème. Google, Amazon et la plupart des autres grandes entreprises technologiques soutiennent également l'initiative, mais cet effet secondaire potentiel involontaire est toujours à prendre en compte. Les utilisateurs ont déjà du mal à passer d'iOS à Android et vice versa, et cette nouvelle initiative pourrait rendre les choses encore plus prononcées ».

Certains suggèrent une solution basée sur la blockchain dans laquelle votre identifiant facial est stocké en toute sécurité sous la forme d'un NFT, car cela retirerait le contrôle des mains des grandes entreprises technologiques. Cependant, il reste à voir si l'une de ces solutions est durable, sinon nous pourrions continuer à nous fier aux mots de passe pour verrouiller nos comptes.

Sampath Srinivas, directeur de l'authentification de sécurité chez Google et président de l'Alliance FIDO, a déclaré que dans le cadre du nouveau système, votre téléphone stockera un identifiant FIDO appelé passkey qui est utilisé pour déverrouiller votre compte en ligne.

« Le mot de passe rend la connexion beaucoup plus sécurisée, car il est basé sur la cryptographie à clé publique et n'est affiché sur votre compte en ligne que lorsque vous déverrouillez votre téléphone », a écrit Srinivas. « Pour vous connecter à un site Web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n'aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur ».

Comme l'alliance FIDO le rappelle, Apple, Google et Microsoft prennent déjà en charge ces normes sans mot de passe (par exemple, "Se connecter avec Google"), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalité sans mot de passe. Dans le cadre de ce nouveau système, les utilisateurs pourront accéder automatiquement à leur mot de passe sur plusieurs de leurs appareils - sans avoir à réinscrire chaque compte - et utiliser leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité.

Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a estimé que cette annonce est « de loin l'effort le plus prometteur pour résoudre le défi de l'authentification » : « La partie la plus importante de cette norme est qu'elle n'obligera pas les utilisateurs à acheter un nouvel appareil, mais à la place, ils pourront utiliser des appareils qu'ils possèdent déjà et qu'ils savent utiliser comme authentificateurs », s'est réjouit Ullrich.

Steve Bellovin, professeur d'informatique à l'Université de Columbia et l'un des premiers chercheurs et pionniers d'Internet, pense que cette initiative de suppression des mots de passe est une « énorme avancée » dans l'authentification, mais a déclaré qu'il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.

Bellovin et d'autres disent qu'un scénario potentiellement délicat dans ce nouveau schéma d'authentification sans mot de passe est ce qui se passe lorsque quelqu'un perd son appareil mobile ou que son téléphone tombe en panne et qu'il ne peut pas se souvenir de son mot de passe iCloud.

« Je m'inquiète pour les personnes qui n'ont pas les moyens d'acheter un appareil supplémentaire ou qui ne peuvent pas facilement remplacer un appareil cassé ou volé », a déclaré Bellovin. « Je m'inquiète de la récupération de mot de passe oublié pour les comptes cloud ».

Google indique que même si vous perdez votre téléphone, « vos clés d'accès seront synchronisées en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s'est arrêté ».

Apple et Microsoft ont également des solutions de sauvegarde dans le cloud dont les clients utilisant ces plateformes pourraient se servir pour récupérer à partir d'un appareil mobile perdu. Mais Bellovin a déclaré que beaucoup dépendait de la sécurité de l'administration de ces systèmes cloud : « Est-il facile d'ajouter la clé publique d'un autre appareil à un compte, sans autorisation ? » s'est demandé Bellovin. « Je pense que leurs protocoles rendent cela impossible, mais d'autres ne sont pas d'accord ».

Source : FIDO Alliance

Et vous ?

Avez-vous déjà utilisé un outil d'authentification différent de votre mot de passe sur votre téléphone (par exemple votre empreinte digitale) lorsque vous vous connectiez sur une application compatible (WhatsApp, certaines applications bancaires ainsi que d'autres types d'applications) ?
Avez-vous déjà été obligé d'utiliser votre téléphone pour vous connecter à un service (par exemple les services Google lorsque vous voulez utiliser votre compte YouTube sur la télé ou votre compte Gmail sur votre ordinateur) ?
Qu'en pensez-vous dans l'absolu ? Préférez-vous que l'utilisation d'un autre outil pour l'authentification devrait être proposée par défaut ou devrait-elle être activable par l'utilisateur s'il le désire ?
Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?

[smarties]

Pour l'identification SSH, j'utilise la connexion via les clés depuis quelques temps.

Personnellement, je compte garder quand même une majorité de mots de passe et je les enregistre pour les sites peu sensibles (forum Développez par exemple)

J'ai de la double identification pour les plus sensibles

[Hariom]

Quand je vois qu'il est possible de prendre le contrôle et de récupérer l'ensemble des données juste avec un numéro de téléphone (remember Pegasus) je vois pas en quoi le soucis sera réglé

[Invité]

Bonsoir,

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?

Oui

La FIDO Alliance tente de rendre les mots de passe obsolètes

Avez-vous déjà utilisé un outil d'authentification différent de votre mot de passe sur votre téléphone (par exemple votre empreinte digitale) lorsque vous vous connectiez sur une application compatible (WhatsApp, certaines applications bancaires ainsi que d'autres types d'applications) ?

Oui , j'ai déjà utilisé un token .

Avez-vous déjà été obligé d'utiliser votre téléphone pour vous connecter à un service (par exemple les services Google lorsque vous voulez utiliser votre compte YouTube sur la télé ou votre compte Gmail sur votre ordinateur) ?

Tout à fait pour accéder aux infos de sécu d'une adresse mail Microsoft. J'autorise la réception d'un appel téléphonique sur ma ligne GSM ET fixe. Pour pirater une ligne fixe faut déjà y aller Même par fibre ou réseau cuivré usuel.

Qu'en pensez-vous dans l'absolu ?

Hyper sécuriser l'accès aux params de sécu pourquoi pas. Par contre devoir recevoir un SMS si je veux ouvrir mon PC, en vacances , sans connection internet , pour aller sur word ou outlook, hors de question . A imposer de la norme trop lourde les GAFAM vont rétropédaler.

Préférez-vous que l'utilisation d'un autre outil pour l'authentification devrait être proposée par défaut ou devrait-elle être activable par l'utilisateur s'il le désire ?

Quand je suis à domicile, je n'ai ni l'envie , ni forcement le temps d'avoir un process lourd , pour me connecter à mon PC perso avec un bricolage protocolaire avec réception de SMS .

Quid si l'on me vole mon GSM et que je n'ai pas la possibilité d'ouvrir mon PC ? Ainsi les GAFAM me priveraient de l'utilisation mon matériel informatique ?

J'imagerais la situation comme suit :

> vous perdez vos clefs
> vous appelez le serrurier depuis la ligne fixe de votre voisin
> le serrurier refuserez de changer votre serrure, au motif que vous n’appelez pas de votre ligne fixe perso

Situation qui relève quasi de la schizophrénie ^^ Pourtant , c'est ceux vers quoi on se dirige si l'on écoute de manière sainte et religieuse les gafam. Un monde dystopique et idéaliste .

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?

Parfaitement !

De quel droit Google ou Microsoft, aurait le droit de m'autoriser ou non à utiliser un matériel que j'ai acheté et dont je suis propriétaire ?

C'est comme ci Peugeot ou Renault interdisaient aux proprios de monospace vert de circuler ... alors que vous êtres bien le proprio légal ^^

[Stéphane le calme]

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon,
Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Apple a présenté ses passkeys à l'édition 2022 de la WWDC, une nouvelle norme de connexion biométrique qui pourrait enfin mettre un terme aux mots de passe pour de bon. Comme Apple l'explique : « les passkeys utilisent les informations d'identification de la clé publique iCloud Keychain, éliminant ainsi le besoin de mots de passe. Au lieu de cela, ils s'appuient sur une identification biométrique telle que Touch ID et Face ID dans iOS, ou sur une confirmation spécifique dans macOS pour générer et authentifier des comptes. En tant qu'authentificateur, votre appareil Apple génère une paire de clés publique-privée unique pour chaque compte qu'il crée sur un service. L'authentificateur conserve la clé privée et partage sa clé publique avec le serveur, appelé partie utilisatrice ».

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet.

De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues. Dans le cadre de l'édition 2020 de la journée du mot de passe,

Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.

Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.

Aussi, depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une autre alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

« Nous sommes censés créer des mots de passe complexes et uniques, les mémoriser et les modifier fréquemment, mais personne n'aime faire cela non plus. Dans un récent sondage sur Twitter de Microsoft, une personne sur cinq a déclaré qu'elle préférait accidentellement "répondre à tous" – ce qui peut être monumentalement embarrassant – plutôt que de réinitialiser un mot de passe(...).

« À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalité sera déployée dans les semaines à venir.

« Passez à une authentification sans mot de passe en quelques clics rapides ».

L'alternative d'Apple

Les passkeys sont basées sur l'API d'authentification Web (WebAuthn), une norme qui utilise la cryptographie à clé publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockées sur l'appareil plutôt que sur un serveur Web. Le remplacement du mot de passe numérique utilise Touch ID ou Face ID pour la vérification biométrique, ce qui signifie qu'au lieu d'avoir à saisir une longue chaîne de caractères, une application ou un site Web auquel vous vous connectez enverra une demande d'authentification à votre téléphone.

Au cours de sa démonstration WWDC de la technologie sans mot de passe, Apple a montré comment les clés d'accès sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un cryptage de bout en bout. Les utilisateurs pourront également se connecter à des sites Web et à des applications sur des appareils non Apple à l'aide d'un iPhone ou d'un iPad pour scanner un code QR et Touch ID ou Face ID pour s'authentifier.

« Parce qu'il suffit d'un simple clic pour se connecter, c'est à la fois plus facile, plus rapide et plus sécurisé que presque toutes les formes d'authentification courantes aujourd'hui », a déclaré Garrett Davidson, ingénieur Apple de l'équipe Authentication Experience,

Apple n'est pas seul dans ses efforts pour tuer le mot de passe. Le mois dernier, Google et Microsoft se sont associés à Apple pour étendre la prise en charge des connexions sans mot de passe sur les mobiles, les ordinateurs de bureau et les navigateurs. Ce nouvel engagement collectif a été salué par Jen Easterly, directrice de la U.S. Cybersecurity and Infrastructure Security Agency (CISA), qui à l'époque l'a qualifié de « type de pensée avant-gardiste qui, en fin de compte, assurera la sécurité des Américains en ligne ».

C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce du 5 mai étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :

• Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
• Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
• En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.

Source : Apple

Et vous ?

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des passkeys d'Apple ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?

[TotoParis]

Mais n'est-ce pas un peu illusoire si on relit ceci : https://www.developpez.com/actu/3334...n-des-enfants/

[Invité]

Bonjour,

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?

Qu'on nage dans une situation utopique .

Comment fera t on dans les cas suivants :

Accéder à une machine quand il n'y a pas de réseau télécom ? Si on doit avoir un accès web pour ouvrir son PC ou smartphone ... et qu'il n'y a pas de réseau on ne peut donc pas utiliser son matériel ?
On se coupe un doigt .
On se blesse au visage .
Le / la conjoint(e) décède .

Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ?

Non

Dans quelle mesure ?

Il est impossible d'être à 100% dépendants de solutions passant par internet. Idem , on ne peut pas créer un système d'accès ou la perte d'un moyen d'accès condamne l'accès définitivement ...

La perte d'un bras ou d'une main et on ne peut plus donner son emprunte digitale ... Par exemple.

Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?

Les cas d'usages sont de mon point de vu en réalité bien limité (finance, banque , transaction financière, validation d'un achat ... )

Pour ouvrir outlook ou thunderbird en local sur ma machine ( a domicile ou en vacances par exemple) . S'il n'y a pas d'accès internet, ou de réseau je n'ai pas forcement l'envie d'attendre plusieurs un sms ou qu'une appli fonctionne.

Que pensez-vous des passkeys d'Apple ?

système trop risqué comme expliqué plus haut.

Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?

Aucune, on crée encore un Nième besoin au lieu de passer par l'éducation. C'est de vendre une solution ou l'utilisateur devient totalement dépendant (au risque de le mettre dans situations totalement ubuesque comme exposé plus haut).

" Le réseau GSM et la fibre sont en panne ! Revenez demain pour utiliser et vous connecter à Excel ! "

Je caricature, c'est pour montrer l'absurdité de la chose en cas d'indispo du réseau télécom ...

Quelle alternative pour continuer de travailler en local ?

[Sandra Coret]

PayPal lance les Passkeys, conçus pour remplacer les mots de passe, permettant une connexion facile et sécurisée pour les consommateurs

Les Passkeys sont conçus pour remplacer les mots de passe et permettre aux consommateurs de se connecter de manière transparente sur tous les appareils et toutes les plateformes. Elles facilitent les achats en ligne pour les consommateurs et éliminent les frictions à la caisse pour les commerçants.

PayPal a annoncé qu'il ajoutait les clés de passe comme méthode de connexion facile et sécurisée pour les comptes PayPal. Les passkeys sont une nouvelle norme industrielle créée par l'Alliance FIDO et le World Wide Web Consortium qui remplacent les mots de passe par des paires de clés cryptographiques, offrant aux clients un moyen simple et sécurisé de se connecter à PayPal, basé sur une technologie résistante au phishing et conçue pour qu'il n'y ait pas de données de passkey partagées entre les plateformes.

La nouvelle option de connexion à PayPal sera d'abord disponible pour les utilisateurs d'iPhone, d'iPad ou de Mac sur PayPal.com et sera étendue à d'autres plateformes au fur et à mesure que celles-ci prendront en charge les clés de sécurité.

Membre fondateur de l'Alliance FIDO, PayPal est l'une des premières sociétés de services financiers à mettre les clés de passe à la disposition de ses utilisateurs. Cette norme de sécurité d'avant-garde est importante car les passkeys répondent à l'un des plus grands problèmes de sécurité sur le web, à savoir la faiblesse de l'authentification par mot de passe. Plus de 2,6 milliards d'enregistrements ont été piratés en 2017 et, parmi ces piratages, on estime que 81 % ont été causés par le vol et la devinette de mots de passe.

De nombreux consommateurs recyclent les mots de passe à travers les services en ligne, ce qui peut non seulement être encombrant, mais aussi les amener à réutiliser les mêmes mots de passe, potentiellement vulnérables, à travers les services. Les Passkeys sont conçus pour remplacer les mots de passe pour une expérience de connexion encore plus transparente et sécurisée avec PayPal.

Les Passkeys permettront également à davantage de consommateurs de finaliser leurs achats avec PayPal - une fois que les utilisateurs de PayPal auront créé une Passkey, ils n'auront plus à se souvenir de leur mot de passe, ce qui leur permettra de régler leurs achats plus facilement. Selon une récente enquête menée auprès des consommateurs américains, 44 % d'entre eux ont abandonné un achat en ligne parce qu'ils avaient oublié leur mot de passe.

Doug Bland, SVP et GM, Head of Consumer, PayPal, déclare : " Le lancement des passkeys pour PayPal est fondamental pour notre engagement à offrir à nos clients des moyens sûrs, sécurisés et faciles d'accéder et de gérer leur vie financière quotidienne ", a déclaré "Nous sommes ravis d'offrir à nos clients une expérience de paiement plus transparente, qui élimine les risques liés à la faiblesse et à la réutilisation des informations d'identification et supprime la frustration liée à la mémorisation d'un mot de passe. Nous facilitons les achats en ligne pour nos clients."

Comment créer un Passkey PayPal ?

La création et l'utilisation d'un Passkey avec PayPal est un processus rapide et facile sur un appareil Apple. Une fois créées, les clés d'accès sont synchronisées avec le trousseau iCloud, ce qui garantit une relation forte et privée entre un client et son appareil, et une expérience de connexion facile pour les utilisateurs de PayPal avec des appareils fonctionnant sous iOS 16, iPadOS 16.1 ou macOS Ventura.

Une fois que les clients existants se connectent à PayPal avec un navigateur sur le web de bureau ou mobile en utilisant leurs informations d'identification PayPal existantes, telles qu'un nom d'utilisateur et un mot de passe, ils auront la possibilité de "Créer un passkey."
Les clients seront alors invités à s'authentifier avec Apple Face ID ou Touch ID. Ensuite, la clé de passe sera automatiquement créée, et la prochaine fois que les clients PayPal se connecteront, ils n'auront plus besoin d'utiliser ou de gérer un mot de passe.

Les clés PayPal peuvent être utilisées pour se connecter sur n'importe quel appareil

Si leurs appareils ne prennent pas encore en charge les clés, les utilisateurs peuvent toujours utiliser un iPhone pour se connecter avec une clé PayPal. Il suffit de scanner le code QR qui s'affiche après avoir saisi son identifiant PayPal.

Les clés PayPal commencent à être déployées dès maintenant pour les clients aux États-Unis. Les clés PayPal seront disponibles dans d'autres pays au début de l'année 2023, ainsi que sur d'autres plateformes technologiques au fur et à mesure qu'elles prendront en charge les clés.

Source : PayPal

Et vous ?

Que pensez-vous des Passkeys PayPal ?

Voir aussi :

Google lance Passkeys pour Android pour encourager les usagers à ne plus utiliser de mot de passe, afin de réduire la fréquence des usurpations d'identité

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la tech veulent déployer la norme "passkey" de FIDO dans l'année à venir

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ? La FIDO Alliance tente de rendre les mots de passe obsolètes

59 % des employés utilisent encore leur identifiant et leur mot de passe pour s'authentifier, 61 % estiment qu'une méthode d'authentification multifacteurs doit désormais être adoptée

[kain_tn]

Une fois que les clients existants se connectent à PayPal avec un navigateur sur le web de bureau ou mobile en utilisant leurs informations d'identification PayPal existantes, telles qu'un nom d'utilisateur et un mot de passe, ils auront la possibilité de "Créer un passkey."
Les clients seront alors invités à s'authentifier avec Apple Face ID ou Touch ID. Ensuite, la clé de passe sera automatiquement créée, et la prochaine fois que les clients PayPal se connecteront, ils n'auront plus besoin d'utiliser ou de gérer un mot de passe.

Chouette. Maintenant, un enfant autorisé sur le téléphone de papa ou de maman pourra faire des achats sans connaître le mot de passe du compte Paypal des parents...

Pour sécuriser une authentification, on peut rajouter un second facteur d'authentification, pas en retirer un... Une raison de plus de ne plus utiliser Paypal à la maison.

[Kulvar]

Je refuse de dépendre d'un gadget ou d'une application pour être autorisé à accéder à mes comptes.

Vive les mots de passe !

[Aiekick]

mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...

[Fagus]

mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...

Je vais lancer un prudent "ça dépend".
1) si on utilise un token sécurisé qui contient les mots de passe, ça peut être à la fois simple et sécurisé. c'est ce qu'ils semblent faire par voie logicielle. J'imagine d'après l'article qu'ils chiffrent les mots de passe avec des données biométriques, c'est mieux que laisser les gens utiliser des mots de passe bidons.
2) en théorie on n'a pas besoin de mots de passe longs, quelques caractères seulement suffiraient. Par ex, juste avec 6 caractères alphanumériques sans majuscules, on a une chance sur 2.10^9 de deviner un mot de passe tiré au hasard. Il suffirait "juste" que les essais soient limités, et que côté serveur les hashs soient stockés sur un périphérique "inviolable" qui répond vrai ou faux et compte les essais. C'est le principe du PIN des cartes à puces, personne ne s'offusque d'avoir 4 chiffres comme pass et c'est relativement inviolable.

[Invité]

Bonsoir

PayPal lance les Passkeys, conçus pour remplacer les mots de passe, permettant une connexion facile et sécurisée pour les consommateurs

Que pensez-vous des Passkeys PayPal ?

Un mot de passe "secours" ? ! Cela ressemble étrangement à la "question secrète" un temps en service à la création d'un compte Microsoft

Dans le fond pour accèder à Paypal , rien de mieux qu'un 2FA . Avec un deuxième mdp ? Là c'est discutable (de mon point de vu non pas besoin d'un second mdp).

[HaryRoseAndMac]

Ca existe encore paypal ???

Avec le nombre de casserole qu'ils ont au cul, il faut croire que les gens n'apprennent pas.

[Fagus]

Ca existe encore paypal ???

Avec le nombre de casserole qu'ils ont au cul, il faut croire que les gens n'apprennent pas.

C'est normal que ça existe encore. Selon le point de vue marchant c'est un coût et une exposition à leurs pratiques douteuses. Pour le client, c'est gratuit, largement plus sécurisé que de filer son n° de CB à n'importe qui, et en plus il y a une assurance incluse assez bonne.

Qu'est ce que le client a comme alternative ?
- Paylib le paypal français, sans assurance, accepté presque nulle part, et j'ai un taux d'échec aléatoire injustifié de transaction très élevé. Une commerçante m'a confirmé le problème d'échecs des transaction au point qu'elle n'en veut plus.
- Les diverses banques en ligne ou sa propre banque, pour avoir la sécurité, mais sans assurance et payant.

Si les commerçants ne répercutent pas sur le client leurs frais paypal (certains le font), paypal a de l'avenir. Et encore, je préfère payer 1€ ma rare transaction avec un marchant étranger à la sécurité douteuse et avoir le remboursement si le colis est perdu...

[deathman8683]

Je vais lancer un prudent "ça dépend".
1) si on utilise un token sécurisé qui contient les mots de passe, ça peut être à la fois simple et sécurisé. c'est ce qu'ils semblent faire par voie logicielle. J'imagine d'après l'article qu'ils chiffrent les mots de passe avec des données biométriques, c'est mieux que laisser les gens utiliser des mots de passe bidons.
2) en théorie on n'a pas besoin de mots de passe longs, quelques caractères seulement suffiraient. Par ex, juste avec 6 caractères alphanumériques sans majuscules, on a une chance sur 2.10^9 de deviner un mot de passe tiré au hasard. Il suffirait "juste" que les essais soient limités, et que côté serveur les hashs soient stockés sur un périphérique "inviolable" qui répond vrai ou faux et compte les essais. C'est le principe du PIN des cartes à puces, personne ne s'offusque d'avoir 4 chiffres comme pass et c'est relativement inviolable.

La carte fait aussi partie du système, c'est à dire sa puce, qui contient une clé cryptographique.

[Stéphane le calme]

Google déploie Passkey, une nouvelle option d'authentification marquant un pas vers un avenir sans mot de passe.
Mais l'entreprise se garde bien d'en préciser les limites

Google a déployé mercredi une nouvelle option d’authentification que la grande enseigne de la technologie a qualifiée de « début de la fin du mot de passe ». Les passkey (littéralement « clés de sécurité ») sont une forme d'authentification des utilisateurs qui existe sous diverses formes depuis plus d'une décennie. Elles prennent généralement la forme de données biométriques stockées localement sur l'appareil de l'utilisateur et sont considérées comme l'une des méthodes d'authentification les plus résistantes aux menaces. De nombreuses entreprises de cybersécurité et experts en authentification considèrent également ces clés de sécurité comme une alternative viable aux noms d'utilisateur et aux mots de passe.

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, cette méthode est confrontée à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont elle peut faire l'objet.

De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.

Dans le cadre de l'édition 2020 de la journée du mot de passe, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.

Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.

Les Passkey de Google disponibles comme option de connexion

Les Passkey de Google, qui sont désormais disponibles pour tous les utilisateurs du fournisseur, incluent trois options : un code PIN, la reconnaissance faciale ou l'authentification par empreinte digitale. Lorsque la fonctionnalité est activée, Google demande une authentification chaque fois qu'un utilisateur se connecte ou tente d'accéder à des informations sensibles.

Selon un article du blog de sécurité Google publié parallèlement à l'annonce, les Passkey sont stockées localement sur l'ordinateur ou l'appareil mobile de l'utilisateur.

« Les données biométriques ne sont jamais partagées avec Google ou tout autre tiers - le verrouillage de l'écran ne déverrouille le mot de passe que localement », lit-on sur le blog.

Le message, coécrit par les ingénieurs de Google, Arnar Birgisson et Diana Smetters, a fait valoir que les mots de passe imposent « une grande responsabilité aux utilisateurs » et risquent de tomber entre les mains d'acteurs malveillants :

Les Passkey sont une alternative plus pratique et plus sûre aux mots de passe. Elles fonctionnent sur toutes les principales plateformes et navigateurs et permettent aux utilisateurs de se connecter en déverrouillant leur ordinateur ou leur appareil mobile avec leur empreinte digitale, la reconnaissance faciale ou un code PIN local.

L'utilisation de mots de passe impose une grande responsabilité aux utilisateurs. Choisir des mots de passe forts et les mémoriser sur différents comptes peut être difficile. De plus, même les utilisateurs les plus avertis sont souvent amenés à les abandonner lors de tentatives de phishing. Le 2SV (2FA/MFA) aide, mais met à nouveau la pression sur l'utilisateur avec des frictions supplémentaires et indésirables et ne protège pas toujours complètement contre les attaques de phishing et les attaques ciblées comme les "SIM swaps" pour la vérification par SMS. Les Passkey aident à résoudre tous ces problèmes.

Sauvegardées en local

Birgisson et Smetters ont ajouté que les Passkey sont une protection suffisamment solide pour que Google permette aux utilisateurs d'ignorer la connexion par mot de passe et la vérification en deux étapes lorsqu'une Passkey est activée. De plus, ils ont expliqué que tout est sauvegardé localement.

Lorsque vous ajoutez une Passkey à votre compte Google, nous commencerons à la demander lorsque vous vous connecterez ou effectuerez des actions sensibles sur votre compte. La Passkey elle-même est stockée sur votre ordinateur local ou votre appareil mobile, qui vous demandera votre biométrie de verrouillage d'écran ou votre code PIN pour confirmer qu'il s'agit bien de vous. Les données biométriques ne sont jamais partagées avec Google ou tout autre tiers - le verrouillage de l'écran ne déverrouille le Passkey que localement.

Contrairement aux mots de passe, les Passkey ne peuvent exister que sur vos appareils. Elles ne peuvent pas être écrites ou données accidentellement à un acteur malveillant. Lorsque vous utilisez une Passkey pour vous connecter à votre compte Google, cela prouve à Google que vous avez accès à votre appareil et que vous êtes en mesure de le déverrouiller. Pris ensemble, cela signifie que les Passkey vous protègent contre le phishing et toute mauvaise manipulation accidentelle à laquelle les mots de passe sont sujets, comme la réutilisation ou l'exposition lors d'une violation de données. Il s'agit d'une protection plus solide que la plupart des méthodes 2SV (2FA/MFA) offertes aujourd'hui, c'est pourquoi nous vous permettons d'ignorer non seulement le mot de passe, mais également la 2SV lorsque vous utilisez une Passkey. En fait, les Passkey sont suffisamment solides pour remplacer les clés de sécurité des utilisateurs inscrits à notre programme de protection avancée.

La création d'une Passkey sur votre compte Google en fait une option de connexion. Les méthodes existantes, y compris votre mot de passe, fonctionnent toujours au cas où vous en auriez besoin, par exemple lorsque vous utilisez des appareils qui ne prennent pas encore en charge les Passkey. Les Passkey sont encore nouvelles et il faudra un certain temps avant qu'elles ne fonctionnent partout. Cependant, la création d'une Passkey aujourd'hui présente toujours des avantages en matière de sécurité, car elle nous permet d'accorder une plus grande attention aux connexions qui se rabattent sur les mots de passe. Au fil du temps, nous les examinerons de plus en plus au fur et à mesure que les Passkey gagneront en soutien et en familiarité.

Le début et la fin du mot de passe ? Vraiment ?

Dans un deuxième article de blog intitulé « Le début de la fin du mot de passe », les chefs de produit Google Christiaan Brand et Sriram Karra ont écrit que bien que le déploiement de Passkey représente une étape pour s'éloigner des mots de passe, les utilisateurs pourront toujours choisir des mots de passe traditionnels et l' authentification multifacteurs car « comme tout nouveau départ, le changement conduisant à Passkey prendra du temps ».

L'introduction de Passkey de Google fait partie de la stratégie annoncée précédemment par l'entreprise pour commencer à supprimer progressivement les noms d'utilisateur et les mots de passe au profit de systèmes d'authentification plus solides pour mieux protéger les comptes. En mai dernier, Google a rejoint Apple et Microsoft pour étendre la prise en charge de la norme FIDO2 de la Fast Identity Online Alliance, une spécification d'authentification sans mot de passe qui est à la base de l'option de clé de sécurité de Google.

Pour Jack Poller, un analyste de stratégie d'entreprise, la transition vers l'authentification sans mot de passe « prend définitivement de la vitesse » et la mise en œuvre de Google est « très simple et facile à utiliser ».

« Le déploiement par Google de la prise en charge des Passkey, aux côtés d'Apple et de Microsoft, garantit que les composants fondamentaux de l'authentification sans mot de passe basée sur FIDO sont disponibles sur toutes les principales plates-formes », a-t-il déclaré. « Désormais, les développeurs peuvent ajouter une authentification sans mot de passe aux applications et aux sites Web en toute confiance que les utilisateurs peuvent passer au "sans mot de passe" tout en utilisant tous les principaux navigateurs, ordinateurs portables et appareils mobiles ».

Poller a déclaré qu'il s'attend à ce que les Passkey soient rapidement adoptées par les utilisateurs d'ici la fin de l'année.

Pour mémoire, depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une autre alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

« À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. »

Apple, pour sa part, a fait une démo de sa technologie d'authentification sans mot de passe durant l'édition 2022 de la WWDC. Apple a montré comment les Passkey sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un chiffrement de bout en bout. Les utilisateurs pourront également se connecter à des sites Web et à des applications sur des appareils non Apple à l'aide d'un iPhone ou d'un iPad pour scanner un code QR et Touch ID ou Face ID pour s'authentifier.

Lors de la conférence RSA 2023, le PDG de 1Password, Jeff Shiner, a déclaré que son entreprise adoptait les Passkey. Il a ajouté que 75 % des personnes interrogées dans une nouvelle étude menée par le gestionnaire de mots de passe étaient prêtes à utiliser des Passkey, même si l'adoption des mécanismes d'authentification sans mot de passe « prendra encore plusieurs années ».

Une approche qui a quand même ses limites

Dans sa présentation, Google n'aborde pas certaines questions importantes qui pourraient intéressées le public. Nous pouvons en soulever quelques-unes :

• Quels sont les risques potentiels liés à l’utilisation des passkeys ? Par exemple, que se passe-t-il si l’appareil de l’utilisateur est perdu, volé ou endommagé ? Que se passe-t-il si la reconnaissance faciale ou l’empreinte digitale ne fonctionne pas correctement ou est compromise ?
• Quels sont les défis liés à l’adoption des passkeys, notamment pour les applications héritées qui ne fonctionnent qu’avec des mots de passe ?
• Quelles sont les alternatives aux passkeys proposées par d’autres acteurs du marché de la cybersécurité et comment peuvent-elles être interconnectées ? En clair, est-ce qu'une alternative aux passkeys me permettra par exemple de m'authentifier sur mon compte Google ou dois-je nécessairement passer par la solution de Google ?

Les voix indépendantes, telles que celle d'experts en cybersécurité, des associations de consommateurs ou des organismes de régulation, pourraient apporter un regard critique sur les Passkeys et les intérêts de Google.

Source : Google (1, 2)

Et vous ?

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?

[Bruno]

Google annonce un nouvel algorithme qui protège le chiffrement FIDO contre les ordinateurs quantiques,
il combine l'ECDSA avec un algorithme post-quantique appelé Dilithium

Google a présenté un nouvel algorithme qui renforce la sécurité des clés de sécurité FIDO contre les ordinateurs quantiques. L’algorithme combine l’ECDSA, une méthode de signature numérique, avec Dilithium, un algorithme post-quantique qui résiste aux attaques quantiques. Cette innovation vise à prévenir la cryptopocalypse, c’est-à-dire la rupture de la cryptographie actuelle par l’informatique quantique. Les clés de sécurité FIDO permettent aux utilisateurs de se connecter sans mot de passe à des sites web en utilisant des clés cryptographiques stockées dans des appareils.

FIDO est une norme industrielle qui offre le moyen le plus sûr de se connecter à des sites web sans utiliser de mots de passe. Elle repose sur des clés de sécurité, des appareils qui stockent des clés cryptographiques et qui intègrent une authentification à deux facteurs. Cependant, FIDO utilise une cryptographie qui pourrait être compromise par l’informatique quantique, une technologie qui pourrait briser la plupart des systèmes de sécurité actuels. Pour éviter cette cryptopocalypse, Google a combiné l’ECDSA, une méthode de signature numérique utilisée par FIDO, avec Dilithium, un algorithme post-quantique qui résiste aux attaques quantiques.

Cette approche permet de renforcer la sécurité des clés de sécurité FIDO tout en conservant leur compatibilité avec les normes existantes. Google espère que cette innovation encouragera l’adoption de la cryptographie post-quantique et contribuera à préserver la sécurité en ligne à l’ère quantique.

FIDO2 est la dernière spécification de la FIDO Alliance (Fast Identity Online) non commerciale créée dans le but de développer des normes libres de droits pour une authentification sécurisée au niveau mondial sur le World Wide Web. Après FIDO Universal Second Factor (FIDO U2F) et FIDO Universal Authentication Framework (FIDO UAF), FIDO2 est déjà le troisième standard à voir le jour grâce au travail de l’Alliance.

Comment FIDO2 garantit la sécurité des connexions Web

L’objectif principal de la FIDO Alliance est l’élimination progressive des mots de passe sur Internet et la FIDO Alliance a ainsi favorisé le développement de FIDO2. Pour cela, le chemin de communication sécurisé entre le client (le navigateur) et les services Web respectifs est d’abord configuré ou enregistré afin d’être disponible en permanence pour les connexions ultérieures. Dans ce processus, les clés FIDO2 mentionnées plus haut sont générées et vérifiées, et fournissent la base du chiffrement de la procédure de connexion. La procédure est la suivante :

• L’utilisateur s’enregistre auprès du service en ligne et génère une nouvelle paire de clés sur l’appareil utilisé, composée alors d’une clef privée (Private Key) et d’une clé publique FIDO2 (Public Key) ;
• Alors que la clé privée est stockée sur l’appareil et n’est connue que du côté client, la clé publique est enregistrée dans la base de données des clés du service Web ;
• Les authentifications ultérieures ne sont désormais possibles qu’en justifiant la clé privée, qui doit toujours être déverrouillée par l’action de l’utilisateur. Il existe plusieurs options telles que la saisie d’un code PIN, l’appui sur un bouton, la saisie vocale ou l’insertion d’un matériel à deux facteurs (token FIDO2) distinct. Certains systèmes d’exploitation tels que Windows 10 et Android peuvent désormais également servir de jetons (tokens) de sécurité.

La base de FIDO2 est constituée du Client to Authenticator Protocol (CTAP) et du standard de W3C WebAuthn, qui se combinent pour permettre l’authentification lorsque les utilisateurs s’identifient avec des authentificateurs cryptographiques (comme la biométrie ou les codes PIN) ou des authentificateurs externes (comme les clés FIDO, les appareils portables ou mobiles) sur un terminal WebAuthn en toute sécurité (également appelé FIDO2 Server) généralement associé à un site Web ou une application Web.

Après plus de dix ans de travail sur la question d’élimination des mots de passe dans le monde, l'Alliance FIDO, une association industrielle qui travaille spécifiquement sur l'authentification sécurisée, pense avoir enfin identifié la pièce manquante du puzzle. Jeudi, l'organisation a publié un livre blanc qui expose la vision de la FIDO pour résoudre les problèmes d'utilisabilité qui ont entravé les fonctions sans mot de passe et, apparemment, les ont empêchées d'être largement adoptées.

Les membres de la FIDO tels qu'Intel et Qualcomm, de développeurs de plateformes de premier plan tels qu'Amazon et Meta, d'institutions financières telles qu'American Express et Bank of America, ainsi que des développeurs des principaux systèmes d'exploitation Google, Microsoft et Apple ont collaboré à la rédaction de ce livre blanc. Le document est conceptuel et non technique, mais après des années d'investissement pour intégrer les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS et d'autres systèmes, tout repose désormais sur le succès de cette nouvelle étape.

Dilithium est un système de signature numérique qui est fortement sécurisé contre les attaques par message choisi sur la base de la dureté des problèmes de treillis sur les treillis de modules. La notion de sécurité signifie qu'un adversaire ayant accès à un oracle de signature ne peut pas produire une signature d'un message dont il n'a pas encore vu la signature, ni produire une signature différente d'un message qu'il a déjà vu signé. Dilithium est l'un des algorithmes candidats soumis au projet de cryptographie post-quantique du NIST.

La conception de Dilithium est basée sur la technique « Fiat-Shamir avec abandons » de Lyubashevsky qui utilise l'échantillonnage par rejet pour rendre les schémas Fiat-Shamir basés sur des treillis compacts et sûrs. Le schéma avec les plus petites tailles de signature utilisant cette approche est celui de Ducas, Durmus, Lepoint et Lyubashevsky qui est basé sur l'hypothèse NTRU et utilise de manière cruciale l'échantillonnage gaussien pour créer des signatures.

L'échantillonnage gaussien étant difficile à mettre en œuvre de manière sûre et efficace, nous avons choisi d'utiliser uniquement la distribution uniforme. Dilithium améliore le schéma le plus efficace qui n'utilise que la distribution uniforme, dû à Bai et Galbraith, en utilisant une nouvelle technique qui réduit la clé publique de plus d'un facteur 2. Dilithium aurait la plus petite clé publique + taille de signature de tous les schémas de signature basés sur un treillis qui n'utilisent que l'échantillonnage uniforme.

La mise en œuvre que nous proposons repose sur une approche hybride qui combine l'algorithme de signature ECDSA, qui a fait ses preuves, et l'algorithme de signature à résistance quantique récemment normalisé, Dilithium. En collaboration avec l'ETH, nous avons développé ce nouveau schéma de signature hybride qui offre le meilleur des deux mondes.

Il est essentiel de s'appuyer sur une signature hybride, car la sécurité de Dilithium et d'autres algorithmes de résistance quantique récemment normalisés n'a pas encore résisté à l'épreuve du temps, et les récentes attaques contre Rainbow (un autre algorithme de résistance quantique) démontrent la nécessité de faire preuve de prudence. Cette prudence est particulièrement justifiée pour les clés de sécurité, car la plupart d'entre elles ne peuvent pas être mises à jour - bien que nous y travaillions pour OpenSK. L'approche hybride est également utilisée dans d'autres efforts post-quantiques, comme la prise en charge de TLS par Chrome.

D'un point de vue technique, l'un des principaux défis consistait à créer une implémentation de Dilithium suffisamment petite pour fonctionner sur le matériel contraint des clés de sécurité. Grâce à une optimisation minutieuse, nous avons pu développer une implémentation optimisée pour la mémoire Rust qui ne nécessite que 20 Ko de mémoire, ce qui est suffisamment petit. Nous avons également passé du temps à nous assurer que la vitesse de signature de notre implémentation était bien conforme à la spécification attendue des clés de sécurité. Cela dit, nous pensons que l'amélioration de la vitesse de signature en exploitant l'accélération matérielle permettrait aux clés d'être plus réactives.

À l'avenir, nous espérons que cette implémentation (ou une variante de celle-ci) sera normalisée dans le cadre de la spécification des clés FIDO2 et prise en charge par les principaux navigateurs web afin que les informations d'identification des utilisateurs puissent être protégées contre les attaques quantiques. Si vous souhaitez tester cet algorithme ou contribuer à la recherche sur les clés de sécurité, rendez-vous sur notre site OpenSK.

Le système RSA

Inventé par Ron Rivest, Adi Shamir et Len Adleman, le système RSA (nommé d’après les initiales de ses auteurs) fut présenté pour la première fois en août 1977, dans la chronique mathématique de Martin Gardner de la revue Scientific American. Les circonstances de sa découverte sont assez amusantes : ces trois auteurs avaient décidé de travailler ensemble pour démontrer l’impossibilité logique des systèmes cryptographiques « à clé publique ». Ils échouèrent donc en découvrant un système de cryptographie à clé publique, le système RSA. Mais cet échec n’en est pas vraiment un : l’efficacité du système RSA à clé publique est depuis lors reconnue et a assuré la renommée de ses auteurs !

Le système RSA est aujourd’hui un système universel servant dans une multitude d’applications. Sa technique est protégée par un brevet dans certains pays (aux États-Unis, ce brevet a expiré en septembre 2000). Elle a été vendue à près de 350 entreprises et on estime que plus de 300 millions de programmes installés peuvent utiliser le RSA, les transactions sécurisées via internet par exemple l’emploient pour la plupart. Internet fait un usage systématique du RSA pour assurer la confidentialité du courrier électronique et authentifier les utilisateurs.

La sécurité du RSA et d'autres formes traditionnelles de chiffrement asymétrique repose sur des problèmes mathématiques dont la réponse est facile à vérifier, mais difficile à calculer. Le RSA, par exemple, repose sur la difficulté de factoriser les nombres premiers. Une méthode de factorisation connue sous le nom d'algorithme de Shor permet théoriquement de résoudre ce type de problèmes.

Algorithme de Shor

L'algorithme de Shor est l'un des premiers algorithmes quantiques à avoir démontré des avantages par rapport aux algorithmes classiques. En termes généraux, l'algorithme de Shor nous permet de trouver la décomposition en nombres premiers de très grands nombres en O((logN)³) temps et O(logN) espace.

Actuellement, la sécurité d'Internet repose principalement sur le système de chiffrement RSA, qui implique le cryptage à l'aide d'un grand nombre composé de deux grands nombres premiers. La recherche de grands nombres premiers est donc très utile pour décrypter les messages. L'algorithme de Shor utilise la mécanique quantique pour trouver de tels nombres premiers, et ainsi casser le cryptage RSA beaucoup plus rapidement et efficacement que dans le cas classique.

Google a donc présenté un nouvel algorithme qui renforce la sécurité des clés de sécurité FIDO contre les ordinateurs quantiques. Cette innovation est importante pour protéger la confidentialité et l’identité des utilisateurs qui se connectent sans mot de passe à des sites web. Toutefois, Google n’est pas le seul acteur à travailler sur la cryptographie post-quantique. D’autres entreprises et organismes, comme Microsoft, IBM ou le NIST, développent également des solutions pour anticiper l’arrivée de l’informatique quantique.

Il reste donc à voir si l’algorithme de Google sera adopté par la communauté FIDO et s’il sera compatible avec les autres standards post-quantiques. Par ailleurs, Google devra faire preuve de transparence et d’éthique dans l’utilisation de ses clés de sécurité, afin de ne pas abuser de sa position dominante sur le marché du web.

Source : Google

Et vous ?

À votre avis, quels sont les risques potentiels liés à l’utilisation de clés de sécurité FIDO pour se connecter sans mot de passe à des sites web ?

Quels sont selon vous, les avantages et les inconvénients de combiner l’ECDSA avec Dilithium par rapport à utiliser uniquement un algorithme post-quantique ? Quelle est la fiabilité de l’algorithme Dilithium par rapport aux autres algorithmes post-quantiques sélectionnés par le NIST ?

Quels seraient les obstacles et les opportunités pour l’adoption de la cryptographie post-quantique par les utilisateurs et les fournisseurs de services en ligne ?

Voir aussi :

Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe et appellent les sites et entreprises à l'adopter

[Nancy Rey]

Google envisage de supprimer les mots de passe en faisant des "passkeys" l'option par défaut

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel. Google a déclaré que les passcodes de sont plus faciles à mémoriser, plus rapides à utiliser et offrent plus de sécurité. L'entreprise a dévoilé la prise en charge des passkeys en mai, mais a annoncé dans un billet de blog que la technologie deviendrait désormais l'option de choix lors de la création d'un mot de passe.

Une clé d'accès ou passkey est un identifiant numérique utilisé comme méthode d'authentification pour un site Web ou une application.En début d'année, Google a mis en place la prise en charge des passkeys, un moyen plus simple et plus sûr de se connecter à ses comptes en ligne. La firme a reçu des commentaires très positifs de la part des utilisateurs. C'est pourquoi Google rend aujourd'hui les mots de passe encore plus accessibles en les proposant comme option par défaut dans les comptes Google personnels.

La prochaine fois que vous vous connecterez à votre compte, vous serez invité à créer et à utiliser un mot de passe, ce qui simplifiera vos connexions ultérieures. Cela signifie également que l'option "Ignorer le mot de passe lorsque c'est possible" sera activée dans les paramètres de votre compte Google.

Pour utiliser les passkeys, il vous suffit d'utiliser une empreinte digitale, un scan du visage ou un code PIN pour déverrouiller votre appareil. Ils sont 40 % plus rapides que les mots de passe et reposent sur un type de chiffrement qui les rend plus sûrs. Bien qu'il s'agisse d'un grand pas en avant, nous savons que les nouvelles technologies mettent du temps à s'imposer, si bien que les mots de passe risquent de perdurer encore un peu. C'est pourquoi les utilisateurs auront toujours la possibilité d'utiliser un mot de passe pour s'identifier et pourront choisir de ne pas utiliser les mots de passe en désactivant l'option "Ignorer le mot de passe lorsque c'est possible".

Google a constaté que l'un des avantages les plus immédiats des passkeys est qu'ils évitent aux utilisateurs d'avoir à se souvenir de tous les chiffres et caractères spéciaux des mots de passe. Ils sont également résistants au phising.

Les passkeys dans plus d'endroits

Depuis leur lancement en début d'année, les utilisateurs ont utilisé les passkeys dans leurs applications favorites telles que YouTube, Search et Maps, et Goole se dit être encouragés par les résultats. Google est d'autant plus ravis de constater que les passkeys sont de plus en plus adoptés dans les différents secteurs d'activité. Récemment, Uber et eBay ont activé les passkeys - donnant aux utilisateurs la possibilité d'abandonner leur mot de passe lorsqu'ils s'identifient sur leurs plateformes - et la compatibilité avec WhatsApp sera également bientôt assurée.

La voie à suivre sans mot de passe

Goole promet tenir au courant des autres possibilités d'utilisation des passkeys sur d'autres comptes en ligne. En attendant, les utilisateurs sont encouragés à adopter les codes d'accès, ce qui rendra les mots de passe rares et, à terme, obsolètes.

Source : Google

Et vous ?

Que pensez-vous des alternatives aux mots de passe ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des Passkeys de Google ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?

Voir aussi :

Google déploie Passkey, une nouvelle option d'authentification marquant un pas vers un avenir sans mot de passe. Mais l'entreprise se garde bien d'en préciser les limites

PayPal lance les Passkeys, conçus pour remplacer les mots de passe permettant une connexion facile et sécurisée pour les consommateurs

Il est désormais possible de se passer des mots de passe dans Chrome avec passkeys, ils sont désormais disponibles dans Chrome Stable M108

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

[JPLAROCHE]

Google envisage de supprimer les mots de passe en faisant des "passkeys" l'option par défaut

Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.


Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…