Discussion :

[kain_tn]

Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.


Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…

Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.

C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.

[Aiekick]

microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...

[Fagus]

microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...

C'est sans doute vrai pour déverrouiller un appareil, mais c'est faux pour un site web ou une authentification à distance.

Dès que c'est à distance, il y a un risque :

• De vol des couples id/pass sur le serveur distant s'il est compromis
• De vol des couples id/pass sur le client s'il est compromis
• De vol des couples id/pass par fishing (pas seulement fishing moche par Google <w54867@liberiamail.xxx>, mais aussi le fishing parfait avec un site identique à l'original avec votre vrai nom et quelques infos perso pour mettre en confiance)

Dans ma boîte, tous les ans ils font une tentative de fishing interne (assez quelconque, même pas personnalisée, somme toute assez similaire à tous les fishing réels qu'on reçoit régulièrement), et à chaque fois il y a quelque chose comme 5 à 10% des gens qui donnent volontairement leurs identifiants. C'est quand même la preuve que c'est insécurisable...

Comment savoir qu'on est sur le bon site ? En vrai c'est impossible. Il faudrait vérifier l'url (avec tous les typosquattages possibles) et le certificat, sachant que de temps en temps des clés des autorités de certification sont volées, et que de toutes façons, les plus grosses sociétés passent leur temps à changer leurs url et leurs certificats sans jamais rien communiquer.

Avec l'authentification sans mot de passe à la sauce FIDO, le site web envoie un défi par clé publique et le client y répond en utilisant sa clé privée. À chaque fois, on est cryptographiquement sûr de savoir qui est qui.

Alors, ensuite arrivent les détails. Comment gérer des couples de clés cryptographiques ? Idéalement, elles sont stockées dans des TPM "inviolables" (y'en a dans les PC et les téléphones, faut bien que ça serve à quelque chose )...
J'ai pas trop vu le détail du schéma de google, mais je suppose qu'ils se proposent "bien aimablement" de sauvegarder tous les identifiants bien au chaud sur leurs serveurs et de ne jamais les divulguer à qui leur demanderait... Forcément, si c'était juste dans le téléphone, la perte du téléphone sans sauvegarde, c'est la fin du monde (si vous m'avez lu jusqu'ici, vous aurez compris que Me Michu ne va pas lire la doc du protocole de sauvegarde des clés cryptographiques).

Sinon, on peut s'acheter un token cryptographique (yubikey... ; on peut en fabriquer un aussi un pas très sécurisé mais très économique avec un raspberry pico). On reste propriétaire de ses clés, et propriétaire de la procédure de backup.

[Patrick Ruiz]

Microsoft ne souhaite pas permettre aux utilisateurs de se soustraire de son effort d’adoption de Passkey
L’entreprise vise une migration de tous vers la nouvelle méthode d'authentification sans mots de passe

Microsoft envisage de faire passer tout le monde aux Passkeys. Dans un nouveau billet intitulé "Convaincre un milliard d'utilisateurs d'aimer les Passkeys", l'entreprise partage son expérience et les résultats de tests A/B approfondis sur l'intégration de la technologie des Passkeys dans ses principaux services grand public tels que Xbox, MS 365 et Copilot. Le tableau suggère un retour sur les avantages et les inconvénients de ladite approche ainsi qu’un essai comparatif avec la méthode d’authentification par mots de passe.

Microsoft to Transition Everyone to Passkeys

In a new post titled "Convincing a Billion Users to Love Passkeys," Microsoft shares its experience and results from extensive A/B testing of integrating passkey technology into its main consumer services like Xbox, MS 365, and… pic.twitter.com/f5GbNHBGIr

— Kaspersky (@kaspersky) December 19, 2024

Les Passkeys : De quoi est-il question ? Quels sont les avantages et les inconvénients ? Quid du comparatif avec la méthode d’authentification par mots de passe ?

Les Passkeys (littéralement « clés de sécurité ») sont une forme d'authentification des utilisateurs qui existe sous diverses formes depuis plus d'une décennie. Elles prennent généralement la forme de données biométriques stockées localement sur l'appareil de l'utilisateur et sont considérées comme l'une des méthodes d'authentification les plus résistantes aux menaces. De nombreuses entreprises de cybersécurité et experts en authentification considèrent également ces clés de sécurité comme une alternative viable aux noms d'utilisateur et aux mots de passe.

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, cette méthode est confrontée à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont elle peut faire l'objet.

De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.

Dans le cadre de l'édition 2020 de la journée du mot de passe, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes. Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.

La mise à contribution des Passkeys comme alternative aux mots de passe soulève néanmoins un jeu de questions qui soulignent de potentiels inconvénients de l’approche :

• Quels sont les risques potentiels liés à l’utilisation des passkeys ? Par exemple, que se passe-t-il si l’appareil de l’utilisateur est perdu, volé ou endommagé ? Que se passe-t-il si la reconnaissance faciale ou l’empreinte digitale ne fonctionne pas correctement ou est compromise ?
• Quels sont les défis liés à l’adoption des passkeys, notamment pour les applications héritées qui ne fonctionnent qu’avec des mots de passe ?
• Quelles sont les alternatives aux passkeys proposées par d’autres acteurs du marché de la cybersécurité et comment peuvent-elles être interconnectées ? En clair, est-ce qu'une alternative aux passkeys me permettra par exemple de m'authentifier sur mon compte Google ou dois-je nécessairement passer par la solution de Google ?

Microsoft annonce une augmentation de 987 % de l’utilisation des Passkeys sur ses services

Microsoft révèle que sa dernière expérience d'ouverture de session a entraîné une baisse de 10 % de l'utilisation des mots de passe et une augmentation de 987 % de l'utilisation des passkeys. L'entreprise prévoit que, compte tenu de la nouvelle expérience d'ouverture de session, "des centaines de millions de nouveaux utilisateurs créeront et utiliseront des passkeys au cours des prochains mois". C’est de l’ordre du plausible lorsqu’on prend en compte que l’adoption des authentifications par Passkeys a connu une augmentation de 400 % en 2024.

Les perspectives d'un avenir sans mot de passe remontent à une décennie plus loin, en 2004, lorsque Bill Gates, cofondateur de Microsoft, a prédit la mort du mot de passe lors de la conférence RSA Security. À l'époque, il s'agissait d'un vœu pieux - les problèmes liés aux mots de passe entraînaient des failles de sécurité, comme c'est encore le cas aujourd'hui -, mais il semble aujourd'hui que cette éventualité soit envisageable.

La Fast Identity Online Alliance (FIDO) poursuit le même objectif depuis 2013. Avec la publication de la norme d'authentification WebAuthn et le développement du projet FIDO2, les géants de la technologie Apple, Google et Microsoft ont obtenu un moyen commun de mettre en œuvre les Passkeys. Le train est en marche.

Source : Microsoft

Et vous ?

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?

Voir aussi :

Google déploie Passkey, une nouvelle option d'authentification marquant un pas vers un avenir sans mot de passe. Mais l'entreprise se garde bien d'en préciser les limites

PayPal lance les Passkeys, conçus pour remplacer les mots de passe permettant une connexion facile et sécurisée pour les consommateurs

Il est désormais possible de se passer des mots de passe dans Chrome avec passkeys, ils sont désormais disponibles dans Chrome Stable M108

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

[weed]

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?

Ce serait une mauvaise idée de passer par Microsoft Authenticator. Mieux vaut ne pas mettre tous ses oeufs dans le même panier. Je viens de voir par exemple que le gestionnaire de mot de passe libre supporte les passkey kepassxc :
https://goodtech.info/keepassxc-nouveautes/

Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?

Pas top en effet. On donne sufisamment d'info à Google, ce n'est en effet pas une bonne idée. On ne sait pas ce qu'il peut se passe.

Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?

Pourquoi pas. Après il reste toujours les certificats client SSL

[DespairPaprika]

Je suis étonnée de la brièveté avec laquelle les gestionnaires de mots de passe sont mentionnés. En effet, ils résolvent le problème de rétention, permettant un mot de passe fort et unique par site/service, et ils sont résistants à la perte d'un appareil à condition d'avoir mis en place la synchronisation. Plusieurs d'entre eux sont indépendants des géants du web, open-source et audités (notamment KeePass et Bitwarden). Ajoutez à ça la praticité de l'autocomplétion (au cas où elle ne fonctionne pas, ne générez quand même pas des mdp interminables)

En pratique, j'ajoute à ça l'authentification à deux facteurs TOTP, pour une authentification forte. Certains internautes n'ont pas confiance en Microsoft et Google, alors des indépendants existent (Aegis...). Là aussi il faut faire des sauvegardes, je déconseille de synchroniser sur un serveur car ça annulerait l'intérêt de cette méthode - requérir une de vos possessions pour vous authentifier.

Voilà, comme ça on a une authentification forte, sans passer par les GAFAM, et sans utiliser de biométrie 👍

[Fagus]

[...]les gestionnaires de mots de passe sont mentionnés.[...]
Voilà, comme ça on a une authentification forte, sans passer par les GAFAM, et sans utiliser de biométrie 👍

Les mots de passe sont sensibles à l'hameçonnage entre autres.
ex :
1 achat sur un site web référencé dans google.
2 création de compte, ouverture au paiement de la fenêtre de votre banque ou de paypal
3 vous validez tout
4 découverte que le site est tenu par des brouteurs qui ont fait un site parfait en pompant des sites légitimes (j'en vois de temps en temps correctement référencés avec l'adresse et le siret), qu'ils ont copié parfaitement le site de la banque, et qu'ils ont l'argent et tous les identifiants.

Que pensez-vous de la clé de sécurité ?
Que pensez-vous des Passkeys ?

D'après ce que j'ai compris, les passkeys standards sont basés sur des clés privées liées au site, donc pas d'hameçonnage, donc bien, mais que tout est synchronisé sur les cloud de MS/google/apple qui donc obtiennent tous les accès pour la plus grande joie des américains.
De plus, que se passe-t-il si on perd son appareil ? c'est simple, on retélécharge ses clés sur un nouvel appareil en passant par son compte google ou microsoft... auquel donc on accède par un bête mot de passe !!!
Donc, si on se fait voler son compte google ou MS mal sécurisé par un bête mot de passe, on donne tous les accès sécurisés au voleur !! mais c'est génial

La clé de sécurité avec FIDO c'est pareil, mais on garde ses clés (et donc on a intérêt à garder une clé en double dans une endroit sécurisé qui ne va pas cramer en même temps en cas de sinistre).
On peut aussi sécuriser son compte google etc avec FIDO, et on a un peu envie pour peu qu'il s'agisse du compte développeur.

[Gluups]

J'ai eu une machine avec lecteur d'empreinte digitale.

Ça a fonctionné six mois, le temps de montrer à tout le monde que ça marche.

Ensuite, le constructeur et l'éditeur du système d'exploitation se sont renvoyé la balle au sujet d'une incompatibilité. Impossible d'utiliser le lecteur d'empreinte digitale au-delà de cette mise à jour.

Si ça avait été en panne tout de suite, j'aurais pu étudier d'autres propositions, mais au bout de six mois de mises à jour, j'estime que ça ferme la porte à d'autres versions, dont on ne peut jamais exclure qu'une mise à jour les mette hors service une fois que la presse aura le dos tourné.

Donc, j'en reste aux mots de passe.

Le code numérique, assurément c'est pratique à la maison.
Mais je me suis demandé il y a quelques semaines comment Microsoft allait s'y prendre pour nous prouver qu'un mot de passe de quatre caractères parmi dix c'est plus sécurisé que huit caractères parmi cinquante deux, et je n'ai pas connaissance d'avoir reçu une réponse depuis.

***
J'ai dit cinquante deux parce que je ne suis pas très réveillé, mais ça c'est juste les lettres. Si on ajoute dix chiffres et dix signes de ponctuation on en est à soixante-douze.

[Gluups]

Avec le code PIN numérique, je suis loin du compte.

En allant voir sur passkeys.com j'ai vu un peu plus de quoi il retourne.

Le principe est que la chaîne de caractères qu'on envoie en ligne pour s'authentifier n'est valable que quelques secondes.

Donc, le pirate crée un site web pour vous inviter à vous authentifier donc fournir votre mot de passe, seulement pas de bol pour lui, quand il va vouloir s'en servir, ce mot de passe ne sera plus valable.

Jusque là, la protection contre le phishing consistait à ignorer ce qui était un peu trop absurde pour être honnête. Mais de la même façon que dans une salle de bain on ne doit pas pouvoir toucher un appareil électrique depuis la baignoire même si on le veut, de même pour s'authentifier c'est quand même mieux qu'on ne puisse pas envoyer son mot de passe à un pirate même si on le veut.

Pour mettre ça en œuvre, bien entendu, l'initiative revient aux serveurs.

D'un autre côté, l'utilisateur doit s'authentifier sur sa machine pour ouvrir une session, et c'est après ça que les logiciels se débrouillent entre eux pour réaliser l'authentification sans même que l'utilisateur ait à avoir conscience qu'il est en train de se passer quelque chose. Enfin si j'ai bien compris.

Et là encore si j'ai bien compris, je suppose que le navigateur web doit implémenter la technologie.

Nous avons donc deux sujets :

• l'authentification sur la machine de l'utilisateur
• et l'authentification sur un serveur

Il m'apparaît que ce que j'ai dit précédemment reste valable pour l'authentification sur la machine de l'utilisateur.

Pour un serveur, les administrateurs ont effectivement à disposition les moyens d'une authentification d'un nouveau genre, où les mails du genre "vous avez un nouvel identifiant" ne seront plus gênants que par le bruit qu'ils représentent, et plus par ce que Madame Michu pourrait en faire.

[weed]

Je viens de tomber sur une discussion intéressant sur Reddit à peu près similaire

Le travail m'oblige à installer Microsoft Authenticator sur mon téléphone.

https://www.reddit.com/r/privacy/com...crosoft/?tl=fr

avec les messages suivants :

MS a la possibilité de désactiver le compte MS si l'application MS Authenticator ne lui envoie pas de flux de données de coordonnées GPS. Vous ne pouvez pas désactiver l'application et si vous essayez d'exécuter une application de géoconfidentialité sur votre téléphone, elle aura également la possibilité de désactiver votre compte.

Encore une fois, ce n’est pas vrai. De nombreuses petites et moyennes entreprises utilisent les services cloud Microsoft. Que vous y accédiez sur place, à votre domicile ou en déplacement, tout cela est « inconnu » pour Microsoft jusqu'à ce qu'il confirme votre identité. Je me bats tous les jours... avec notre support informatique et leur support MS. Ce qu'il faut retenir, c'est que c'est la méthode MS, alors gérez-le.

Une partie du problème réside dans le fait que de nombreux informaticiens ne comprennent pas vraiment la technologie de sécurité moderne. MS Authenticator utilise plusieurs vecteurs, notamment les coordonnées GPS, WiFi/BT SSID/MAC, pour vous suivre. S'il s'agit d'un simple TOTP, le service informatique peut délivrer un jeton à l'utilisateur... ce serait beaucoup moins cher que d'émettre un téléphone avec des frais mensuels. Ils ne le peuvent pas parce que MS souhaite suivre et collecter les données des utilisateurs.

Pas seulement TOTP... MS Authenticator collecte les coordonnées GPS à tout moment et les utilise comme vecteur géographique et crée une carte d'informations sur tous les endroits où vous vous rendez. J’aimerais que les gens prêtent vraiment attention à ces choses plutôt que de simplement supposer que tout peut être accepté.

Bref si il y avait un standard, pourquoi pas. Mais j'ai l'impression qu'il n'y a pas de standard et que l'on soit obliger d'utiliser des logiciels proprio.

[Stéphane le calme]

Sécurité ou dépendance ? Microsoft opte pour une authentification sans mots de passe pour les nouveaux comptes qui se connectent à ses services,
mais impose à demi-mot son Microsoft Authenticator

Microsoft a annoncé que tous les nouveaux comptes créés sur ses services (tels que Microsoft 365, Xbox, Skype ou Copilot) seront désormais configurés sans mot de passe par défaut. Cette initiative marque une avancée majeure vers une authentification plus sécurisée et conviviale, en mettant en avant des méthodes telles que les passkeys, les notifications push via l'application Microsoft Authenticator et les clés de sécurité physiques.

Contexte

Après avoir soutenu les connexions Windows sans mot de passe pendant des années et même permis aux utilisateurs de supprimer les mots de passe de leurs comptes, Microsoft fait son plus grand pas vers un avenir sans mot de passe. Désormais, la société demandera aux personnes qui ouvrent un nouveau compte de n'utiliser par défaut que des méthodes plus sûres, telles que les clés d'accès, les notifications push et les clés de sécurité.

Il est important de noter que cette nouvelle politique s'applique uniquement aux nouveaux comptes. Les utilisateurs existants peuvent choisir de supprimer leur mot de passe via les paramètres de leur compte, mais ne sont pas obligés de le faire. Microsoft n'est pas seul dans cette démarche. Des entreprises comme Apple, Google et Amazon soutiennent également l'adoption des passkeys, en collaboration avec la FIDO Alliance, qui promeut des standards ouverts pour une authentification sans mot de passe.

Une réponse aux failles des mots de passe traditionnels

Les mots de passe ont longtemps été le talon d'Achille de la cybersécurité. Faciles à oublier, souvent réutilisés et vulnérables aux attaques par force brute ou au phishing, ils représentent une menace constante. Microsoft rapporte qu'elle bloque en moyenne 7 000 attaques par seconde visant les mots de passe.

Les passkeys, basées sur les standards FIDO, utilisent une paire de clés cryptographiques : une clé publique stockée sur les serveurs de Microsoft et une clé privée conservée sur l'appareil de l'utilisateur. L'authentification s'effectue via des méthodes biométriques (empreinte digitale, reconnaissance faciale) ou un code PIN, rendant les tentatives de phishing pratiquement inefficaces.

Qu'est-ce que les passkeys ?

Les passkeys peuvent remplacer les mots de passe traditionnels par les méthodes d'authentification propres à votre appareil. Ainsi, vous pouvez vous connecter à Gmail, PayPal ou iCloud simplement en activant Face ID sur votre iPhone, le capteur d'empreintes digitales de votre téléphone Android ou Windows Hello sur un PC.

Basé sur la technologie WebAuthn (ou Web Authentication), deux clés différentes sont générées lorsque vous créez un mot de passe : une clé stockée par le site web ou le service où se trouve votre compte, et une clé privée stockée sur l'appareil que vous utilisez pour vérifier votre identité.

Bien entendu, si les clés sont stockées sur votre appareil, que se passe-t-il s'il est cassé ou perdu ? Étant donné que les passkeys fonctionnent sur plusieurs appareils, vous pouvez disposer d'une copie de sauvegarde. De nombreux services prenant en charge les passkeys se réauthentifient également à l'aide de votre numéro de téléphone ou de votre adresse électronique, ou d'une clé de sécurité matérielle, si vous en possédez une.

Les coffres-forts de mots de passe d'Apple et de Google prennent déjà en charge les passkeys, tout comme les gestionnaires de mots de passe tels que 1Password et Dashlane. 1Password a également créé un annuaire en ligne répertoriant les services qui permettent aux utilisateurs de se connecter à l'aide d'une clé de sécurité.

Vers l'ouverture de session sans mot de passe

Il y a dix ans, Microsoft a eu une idée audacieuse. Au lieu de s'identifier à l'aide de mots de passe maladroits et peu sûrs, pourquoi ne pas simplement sourire ?

C'est dans cette optique que Microsoft a lancé Windows Hello, un nouveau moyen pour les utilisateurs de se connecter en toute sécurité à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN. Windows Hello a permis de poser les bases d'une toute nouvelle ère d'authentification. Aujourd'hui, plus de 99 % des personnes qui se connectent à leurs appareils Windows avec leur compte Microsoft le font à l'aide de Windows Hello.

Cependant, à mesure que le monde et nos vies numériques évoluaient, il est devenu évident qu'il ne suffisait pas de se connecter à son appareil sans mot de passe. Pour assurer la sécurité de votre vie numérique, vous devez pouvoir vous connecter à n'importe quel compte sans mot de passe. Dans le cadre d'un effort à l'échelle du secteur, Microsoft a collaboré étroitement avec l'alliance FIDO et avec des partenaires de plateforme pour développer les passkeys : une méthode d'authentification basée sur des normes et résistante au phishing, qui remplace les mots de passe. Désormais, vous pouvez vous connecter à n'importe quelle application ou site web pris en charge à l'aide d'un passkey en utilisant votre visage, votre empreinte digitale ou votre code PIN. Des centaines de sites web, représentant des milliards de comptes, prennent désormais en charge l'ouverture de session à l'aide d'un passkey. Le monde change !

Au cours de la dernière décennie, nous avons observé deux tendances importantes qui coïncident : les gens se sont de plus en plus habitués à se connecter à leurs appareils sans mot de passe, et le nombre de cyberattaques basées sur des mots de passe a augmenté de façon spectaculaire. Les acteurs malveillants savent que l'ère des mots de passe est révolue et que le nombre de comptes faciles à compromettre diminue. Ils consacrent donc des ressources considérables à l'automatisation des attaques par force brute et par hameçonnage contre tout compte encore protégé par un mot de passe. L'année dernière, nous avons observé un nombre stupéfiant de 7 000 attaques de mots de passe par seconde (plus du double du taux de 2023). Alors que les passkeys deviennent la nouvelle norme, il faut s'attendre à une pression accrue des cyberattaquants sur tous les comptes encore protégés par des mots de passe ou d'autres méthodes d'ouverture de session susceptibles d'être hameçonnées.

La nouvelle initiative de Microsoft en faveur de l'absence de mots de passe s'accompagne du lancement récent d'une fenêtre de connexion optimisée, dont les étapes ont été réorganisées afin d'améliorer la fluidité de l'expérience sans mot de passe et avec des clés de sécurité d'abord.

Bien que les comptes actuels n'aient pas à se débarrasser de leurs mots de passe, les nouveaux comptes essaieront de les laisser derrière eux en ne vous invitant pas du tout à créer un mot de passe :

« Dans le cadre de cette simplification de l'interface utilisateur, nous modifions le comportement par défaut des nouveaux comptes. Les nouveaux comptes Microsoft seront désormais « sans mot de passe par défaut ». Les nouveaux utilisateurs disposeront de plusieurs options sans mot de passe pour se connecter à leur compte et ils n'auront jamais besoin d'enregistrer un mot de passe. Les utilisateurs existants peuvent se rendre dans les paramètres de leur compte pour supprimer leur mot de passe ».

Oui... mais

L'annonce de Microsoft ne mentionne pas que, même après avoir créé un mot de passe, les utilisateurs ne peuvent pas se passer de mot de passe tant qu'ils n'ont pas installé l'application Microsoft Authenticator sur leur téléphone. Microsoft a rendu Authy, Google Authenticator et d'autres applications similaires incompatibles, un choix qui gêne inutilement les utilisateurs et sape l'ensemble du message marketing « sans mot de passe par défaut ».

L'utilisation de Microsoft Authenticator n'est pas une condition préalable à l'utilisation d'une clé de sécurité, mais les titulaires de comptes qui ne l'ont pas ne pourront pas se débarrasser de leurs mots de passe de connexion. Le fait qu'un mot de passe soit toujours associé au compte compromet la plupart des avantages des clés d'accès en matière de sécurité.

Les Passkeys, qui font partie de la norme WebAuthn de l'Alliance FIDO, fournissent en théorie un moyen d'authentification immunisé contre le phishing, les fuites de mots de passe et la pulvérisation de mots de passe. La dernière version « FIDO2 » de WebAuthn crée, lors de chaque inscription, une paire de clés de cryptage publique/privée unique qui est générée et stockée sur le téléphone, l'ordinateur, le Yubikey ou tout autre appareil similaire de l'utilisateur. Dans le jargon de WebAuthn, ce dispositif est appelé « Authenticator ». La partie publique de la clé est envoyée au service de compte. La clé privée reste liée à l'appareil de l'utilisateur, où elle ne peut pas être extraite.

Lorsque l'utilisateur souhaite se connecter, le service de compte lui présente un « défi unique » qui se présente sous la forme d'une entrée aléatoire. Lorsque l'utilisateur active l'Authenticator - en saisissant un code PIN ou un mot de passe ou en fournissant une empreinte digitale ou un scan du visage - l'Authenticator utilise la clé privée pour signer le défi et l'envoyer au site. Le site utilise alors la clé publique dont il dispose pour vérifier la validité de la signature.

Cette conception élégante permet à la personne qui se connecte de prouver cryptographiquement qu'elle est bien l'utilisateur autorisé, sans jamais exposer un justificatif d'identité qui pourrait être volé ou compromis d'une autre manière. En outre, la paire de clés unique est cryptographiquement liée à l'URL du compte auquel elle appartient, ce qui rend impossible l'utilisation de l'identifiant contre des sites d'hameçonnage de type « look-alike ». (Le flux pour l'ancienne version FIDO1 de WebAuthn est différent).

Les comptes Microsoft avec Microsoft Authenticator sont l'un des rares à offrir la possibilité de se passer véritablement de mot de passe. Pour ceux qui ne souhaitent pas installer l'application, leur compte sera toujours associé à ce secret partagé facile à compromettre. Dans ce cas, certains des principaux avantages des clés d'accès sont mis en sourdine.

Avantages et défis

L'adoption des passkeys offre plusieurs bénéfices notables aux entreprises :

• Taux de réussite élevé : Les utilisateurs de passkeys réussissent leur connexion dans 98 % des cas, contre seulement 32 % pour ceux utilisant des mots de passe traditionnels.
• Rapidité : La connexion via passkey est trois fois plus rapide qu'avec un mot de passe et huit fois plus rapide qu'avec une authentification à deux facteurs traditionnelle.
• Réduction des coûts IT : Moins de demandes de réinitialisation de mots de passe signifie une charge réduite pour les équipes informatiques.

Malgré ces avantages, la transition vers une authentification sans mot de passe présente certains défis :

• Dépendance aux appareils : La perte ou le vol d'un appareil peut compliquer l'accès aux comptes, même si des solutions de récupération existent.
• Interopérabilité limitée : Actuellement, Microsoft favorise son propre Authenticator pour la gestion des passkeys, ce qui peut poser problème aux utilisateurs d'autres solutions.
• Courbe d'apprentissage : Pour certains utilisateurs, notamment les moins technophiles, l'adoption de nouvelles méthodes d'authentification peut être déroutante.

Source : Microsoft

Et vous ?

L’abandon du mot de passe ne risque-t-il pas de rendre les utilisateurs trop dépendants d’un écosystème fermé (Microsoft Authenticator, Windows Hello, etc.) ?

Comment garantir l’accessibilité de ces nouvelles méthodes pour les utilisateurs moins technophiles, ou ceux qui n’ont pas accès à des smartphones récents ?

Les utilisateurs dans les pays en développement, ou à connectivité limitée, ne risquent-ils pas d’être exclus ou désavantagés par cette approche “passwordless” ?

La volonté de Microsoft d’imposer ses propres outils d’authentification ne va-t-elle pas à l’encontre de l’esprit d’universalité promu par la FIDO Alliance ?

Les entreprises utilisant plusieurs systèmes (Google Workspace, Azure, AWS…) pourront-elles vraiment unifier leur authentification sans mots de passe ?

[kain_tn]

L’abandon du mot de passe ne risque-t-il pas de rendre les utilisateurs trop dépendants d’un écosystème fermé (Microsoft Authenticator, Windows Hello, etc.) ?

Complètement dépendants, même, avec en prime siphonnage de données, localisation précise, etc...

[BugFactory]

Si mon smartphone tombe en panne, je ferai une recherche sur le Net pour le réparer. Si j'ai besoin du smartphone pour dévérouiller le PC, il va y avoir comme un problème.