Google veut rendre les mots de passe obsolètes en faisant des "passkeys" l'option par défaut

**Bruno** · 21/03/2022, 16h02

Un grand pari pour éliminer le besoin de mots de passe dans le monde,
la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Après dix ans de travail sur la question d’élimination des mots de passe dans le monde, l'Alliance FIDO, une association industrielle qui travaille spécifiquement sur l'authentification sécurisée, pense avoir enfin identifié la pièce manquante du puzzle. Jeudi, l'organisation a publié un livre blanc qui expose la vision de la FIDO pour résoudre les problèmes d'utilisabilité qui ont entravé les fonctions sans mot de passe et, apparemment, les ont empêchées d'être largement adoptées.

Les membres de la FIDO tels qu'Intel et Qualcomm, de développeurs de plateformes de premier plan tels qu'Amazon et Meta, d'institutions financières telles qu'American Express et Bank of America, ainsi que des développeurs des principaux systèmes d'exploitation Google, Microsoft et Apple ont collaboré à la rédaction de ce livre blanc. Le document est conceptuel et non technique, mais après des années d'investissement pour intégrer les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS et d'autres systèmes, tout repose désormais sur le succès de cette nouvelle étape.

La figure ci-dessous résume l'idée d'identifiants FIDO multi-appareils (avec des clés liées à l'appareil) et la manière dont ils diffèrent des identifiants FIDO traditionnels.

Nom : FIDO.jpg
Affichages : 18221
Taille : 31,0 Ko

« La clé du succès pour la FIDO est d'être facilement disponible, nous devons être aussi omniprésents que les mots de passe », explique Andrew Shikiar, directeur exécutif de l'Alliance FIDO. « Les mots de passe font partie de l'ADN du Web lui-même, et nous essayons de les supplanter. Ne pas utiliser de mot de passe devrait être plus facile que d'utiliser un mot de passe. »

Dans la pratique, cependant, même les systèmes sans mot de passe les plus transparents ne sont pas tout à fait au point. Une partie du défi réside simplement dans l'énorme inertie que les mots de passe ont accumulée. Les mots de passe sont difficiles à utiliser et à gérer, ce qui incite les gens à prendre des raccourcis, comme les réutiliser sur plusieurs comptes, et crée des problèmes de sécurité à chaque fois. Il s'est avéré difficile d'informer les consommateurs sur les alternatives sans mot de passe et de les mettre à l'aise avec ce changement.

Mais au-delà de la simple acclimatation, la FIDO cherche à comprendre ce qui rend les systèmes sans mot de passe difficiles à gérer. Le groupe a conclu que tout se résume à la procédure de changement ou d'ajout de dispositifs. Si la procédure de configuration d'un nouveau téléphone, par exemple, est trop compliquée et qu'il n'y a pas de moyen simple de se connecter à toutes vos applications et à tous vos comptes - ou si vous devez revenir aux mots de passe pour rétablir votre propriété sur ces comptes - la plupart des utilisateurs concluront que c'est trop compliqué de changer le statu quo.

La norme FIDO sans mot de passe s'appuie déjà sur les scanners biométriques d'un appareil (ou un code PIN principal que l’utilisateur sélectionne) pour s’authentifier sans qu'aucune de ses données ne transite par Internet vers un serveur Web pour validation. Le concept principal qui, selon la FIDO, résoudra finalement le problème des nouveaux appareils est la mise en œuvre par les systèmes d'exploitation d'un gestionnaire de « certificats FIDO », qui est quelque peu similaire à un gestionnaire de mots de passe intégré. Au lieu de stocker littéralement les mots de passe, ce mécanisme stockera des clés cryptographiques qui peuvent être synchronisées entre les appareils et sont protégées par le verrouillage biométrique ou par code d'accès de l’appareil.

L'Alliance FIDO et le groupe de travail WebAuthn du W3C proposent de combler ces lacunes dans une nouvelle version ("Niveau 3") de la spécification WebAuthn. Deux avancées proposées en particulier méritent d'être mentionnées :

Utiliser son téléphone comme authentificateur d'itinérance : les utilisateurs finaux disposent généralement déjà d'un smartphone ;
La quasi-totalité des mécanismes d'authentification à deux facteurs de l'espace grand public actuels utilisent déjà le smartphone de l'utilisateur. Le problème est qu'ils le font d'une manière qui peut être piratée : Il est possible de saisir par inadvertance un OTP sur le site d'un cybercriminel, ou il est possible d’approuver une demande de connexion sur son smartphone sans se rendre compte que le navigateur est en train d'utiliser un OTP.

Les ajouts proposés aux spécifications de la FIDO/WebAuthn définissent un protocole qui utilise le Bluetooth pour communiquer entre le téléphone de l'utilisateur (qui devient l'authentificateur FIDO) et le dispositif à partir duquel l'utilisateur tente de s'authentifier. Le Bluetooth nécessite une proximité physique, ce qui signifie que l’utilisateur diqpose maintenant d’un moyen résistant au phishing pour utiliser le téléphone de l'utilisateur pendant l'authentification.

Grâce à cet ajout aux normes FIDO/WebAuthn, les déploiements à deux facteurs qui utilisent actuellement le téléphone de l'utilisateur comme second facteur pourront passer à un niveau de sécurité plus élevé (résistance au phishing) sans que l'utilisateur ait besoin de transporter un matériel d'authentification spécialisé (clés de sécurité).
Identités FIDO multi-dispositifs : l’équipe s’attend à ce que les fournisseurs d'authentifiants FIDO (en particulier ceux des authentificateurs intégrés dans des plateformes de systèmes d'exploitation) adaptent leurs implémentations d'authentificateurs de sorte qu'un justificatif FIDO puisse resister à la perte d'un appareil. En d'autres termes, si l'utilisateur a configuré un certain nombre d'identifiants FIDO pour différentes parties prenantes sur son téléphone, puis qu'il obtient un nouveau téléphone, il devrait pouvoir s'attendre à ce que toutes ses informations d'identification FIDO soient conservées.

Cela signifie que les utilisateurs n'ont plus besoin de mots de passe lorsqu'ils passent d'un appareil à l'autre, leurs identifiants FIDO sont déjà présentes, prêtes à être utilisées pour une authentification résistante au phishing. Notons que ce changement n'est pas un changement dans la norme c'est un changement que attendu des vendeurs d'authentificateurs dans la mise en œuvre de leur authentificateur. Il existe des propositions de modifications des spécifications WebAuthn et FIDO qui permettraient d'améliorer l'expérience des utilisateurs en matière d'authentification FIDO (y compris les authentifications FIDO multi-appareils), en particulier pour les parties prenantes qui doivent servir des utilisateurs utilisant un mot de passe et des utilisateurs utilisant la FIDO au même moment.

Pour ces informations d'identification FIDO multi-dispositifs, il incombe à la plateforme OS de s'assurer que les informations d'identification sont disponibles là où l'utilisateur en a besoin. (Notons que certaines entreprises appellent les informations d'identification FIDO passkeys dans leurs implémentations de produits, en particulier lorsque ces informations d'identification FIDO peuvent être des informations d'identification sur plusieurs appareils). Tout comme les gestionnaires de mots de passe le font avec les mots de passe, la plateforme OS sous-jacente "synchronisera" les clés cryptographiques qui appartiennent à un utilisateur.

Cela signifie que la sécurité et la disponibilité de la carte d'identité synchronisée d'un utilisateur dépendent de la sécurité de la plateforme OS sous-jacente (Google, Apple, Microsoft, etc.) pour ses comptes en ligne et de la méthode de sécurité utilisée pour rétablir l'accès en cas d'échec.

Si cela ne répond pas toujours aux besoins pour les cas d'utilisation qui exigent, par exemple, l'AAL3, il s'agit d'une amélioration considérable de la sécurité par rapport aux mots de passe. Lors de la conférence mondiale des développeurs d'Apple l'été dernier, la société a annoncé sa propre version de ce que décrit la FIDO, une fonction iCloud connue sous le nom de « Passkeys in iCloud Keychain », qui, selon Apple, est sa « contribution à un monde post-mots de passe ».

« Les Passkeys sont des informations d'identification WebAuthn avec l'incroyable sécurité que la norme offre, combinée à la convivialité d'être sauvegardée, synchronisée et de fonctionner sur tous vos appareils », a expliqué Garrett Davidson, un ingénieur de l'équipe d'expérience d'authentification des applications d'Apple, lors d’une conférence tenue en juin de l’année dernière. « Nous les stockons dans le trousseau iCloud. Comme tout ce qui se trouve dans votre trousseau iCloud, elles sont cryptées de bout en bout, de sorte que même Apple ne peut pas les lire... Et ils sont très faciles à utiliser. Dans la plupart des cas, il suffit d'une simple pression ou d'un clic pour se connecter. »

Si l’utilisateur a perdu son ancien smartphone par exemple, et qu’il possède un nouveau, le processus de transfert peut se faire simplement par le biais du flux de configuration proposé par Apple à ce moment-là. Si l’utilisateur décide de passer à Android, ou s’il passe d'un écosystème numérique à un autre, le processus ne sera peut-être pas aussi simple.

Chacune des plateformes référencées applique une analyse de risque sophistiquée et utilise des seconds facteurs implicites ou explicites lors de l'authentification pendant l'authentification, offrant ainsi des protections de type AAL2 à un grand nombre de leurs utilisateurs. Ce changement, qui consiste à laisser chaque service se débrouiller tout seul avec son propre système d'authentification basé sur un mot de passe, pour s'appuyer sur la plus grande des mécanismes d'authentification des plateformes, est la façon dont les utilisateurs peuvent réduire de manière significative la dépendance excessive de l'internet aux mots de passe à grande échelle.

Source : FIDO Alliance

Et vous ?

Que pensez-vous de cette initiative ? Peut-on parler de révolution pour la sécurité sur le web ?

Voir aussi

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform

Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS

CrowdSec dévoile "The Majority Report", son premier rapport sur l'état des lieux de la menace cyber, basé sur les données de la communauté d'utilisateurs de CrowdSec

Invité · 21/03/2022, 23h11

Bonsoir,

Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Que pensez-vous de cette initiative ?

On "pense toujours" avoir trouvé la solution ... Même un code temporaire reste un mot de passe d'une façon ou d'une autre. On se heurte aussi à une autre réalité . Pour se connecter à certains service l'usager n'a pas spécialement envie d'avoir une artillerie de bidule sur lui ... Ou n'est pas en capacité de les avoirs.

Qui voudrait par exemple tout le temps saisir un code d'un téléphone ou d'un token pour utiliser le client logiciel Outlook ou Thunderbird ?

Peut-on parler de révolution pour la sécurité sur le web ?

Non car le risque de faille existera toujours .

**gangsoleil** · 22/03/2022, 15h07

Bonjour,

Donc tant que je suis dans un écosystème donné (Google, Apple, Meta, Amazon, Microsoft), je peux faire une confiance aveugle à cette entreprise, et les mécanismes de changement de hardware et/ou de changement seront simples. Mais ces personnes ne pensent pas à uniformiser leur solution ??? Sérieusement ??? Et ils espèrent que cette solution sera adoptée ?

Google a déjà publié des articles du genre "nous avons trouvés comment se passer du mot de passe", mais jusqu'ici il n'en est rien. Je ne vois pas cette organisation être plus avancée.

**alexvb6** · 26/03/2022, 06h53

C'est clair qu'on va tous s'empresser de sauter sur le truc : imaginez un monde où s'em**rde à avoir sur soi un dispositif, qui ne marchera QUE quand y'a du réseau, ou de la batterie, ou du Bluetooth, et QUE avec des appareils/logiciels conçus pour gérer cette norme, qui sera évolutive pendant 15 ans et mal implémentée car faut baisser les coûts des IOT, au même titre que le WIFI (je me souviens du WIFI 802.11 B de 2004... c'était une galère sans nom pour rejoindre un réseau, même à 10cm du routeur).

Au final, le code informatique en AVAL des validations de hashs/clefs et autres secrets reste le même : un test qui renvoie une valeur booléenne.
Du coup, un peu de craquage dans un éditeur HEXA permettra TOUJOURS de faire foirer "le beau système".

On retrouve ainsi la force des booléens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
if (superLibrairieFIDO.fonctionAuthentification4096BitsQuantiquesDeMesCouilles = True) {
    userLogged = true;
}else if (JeSaisFaireDeLhexaEtDuCoupMemeSiCestFalseBenCaMarcheAussi = True) {
    userLogged = true;
}

Merci les gars, mais on se passera de votre machin.
On est pas des chiens, on préfère manger autre chose que du FIDO.

**megs** · 28/03/2022, 08h56

De bien grands mots pour dire qu'ils proposent de vendre des clés et certificats aux utilisateurs et aux entreprises afin de remplacer les mots de passe. bonne nouvelle pour les pirates. y a plus qu'a investir leurs systèmes chopper les certificats racines en attendant qu'ils prennent le pouvoir sur l'authentification. On nous prends vraiment pour des cons... Un moyen de plus pour un tiers d'investir vos affaires personnelles sans votre avis. imaginez que du jour au lendemain vos clés ne soient plus accessible ou bloqués par le prestataire par ce que vous n'avez plus assez d'argent pour payer le service, bha vous perdez l'acces a toute votre vie ... faites travailler vos neurones...

**daerlnaxe** · 28/03/2022, 09h06

Je rejoins l'avis de GangSoleil et je relance que je n'ai pas envie justement de me passer de mot de passe, l'identification automatique amène des facilités par la prise sur le réel en plus de déléguer un contrôle absolu.

**Nancy Rey** · 06/05/2022, 08h59

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes,
les géants de la tech veulent déployer la norme "passkey"de FIDO dans l'année à venir

Le 5 mai journée mondiale du mot de passe et pour fêter l'événement, Apple, Google et Microsoft lancent un "effort conjoint" pour tuer le mot de passe. Les principaux fournisseurs de systèmes d'exploitation veulent "étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium". Cette norme est appelée "crédential FIDO multi-dispositifs" ou simplement "passkey". Au lieu d'une longue chaîne de caractères, ce nouveau système prévoit que l'application ou le site Web auquel vous vous connectez envoie une demande d'authentification à votre téléphone. À partir de là, vous devrez déverrouiller le téléphone, vous authentifier à l'aide d'un code PIN ou d'un identifiant biométrique, puis vous pourrez continuer. L'objectif est de mettre en place une authentification multiplateforme cohérente et facile à gérer pour les logiciels et les sites Web, sans avoir à se souvenir des mots de passe.

Nom : Screenshot_2022-05-06 passkey – Recherche Google.png
Affichages : 2834
Taille : 15,2 Ko

Dans un effort commun, les géants de la technologie Apple, Google et Microsoft ont annoncé hier matin qu'ils sont engagés à mettre en place une prise en charge de la connexion sans mot de passe sur toutes les plateformes mobiles, de desktop et de navigateur qu'ils contrôlent dans l'année à venir. Cela signifie que l'authentification sans mot de passe sera disponible sur toutes les principales plateformes de périphériques dans un avenir proche : les systèmes d'exploitation mobiles Android et iOS, les navigateurs Chrome, Edge et Safari, et les environnements de bureau Windows et macOS.

« Tout comme nous concevons nos produits pour qu'ils soient intuitifs et performants, nous les concevons également pour qu'ils soient privés et sécurisés. Travailler avec l'industrie pour établir de nouvelles méthodes de connexion plus sûres qui offrent une meilleure protection et éliminent les vulnérabilités des mots de passe est au cœur de notre engagement à construire des produits qui offrent une sécurité maximale et une expérience utilisateur transparente, le tout dans le but de garder les informations personnelles des utilisateurs en sécurité », a déclaré Kurt Knight, directeur principal du marketing des produits de plateforme chez Apple.

Un processus de connexion sans mot de passe permettra aux utilisateurs de choisir leur téléphone comme principal dispositif d'authentification pour les applications, sites web et autres services numériques, comme le détaille Google dans un billet de blog publié hier. Il suffira alors de déverrouiller le téléphone avec l'action définie par défaut (saisie d'un code PIN, dessin d'un motif ou déverrouillage par empreinte digitale) pour se connecter aux services Web sans avoir à saisir de mot de passe, grâce à l'utilisation d'un jeton cryptographique unique appelé "passkey", partagé entre le téléphone et le site Web.

Comment cela fonctionnera-t-il ?

« Cette étape importante témoigne du travail de collaboration réalisé dans l'ensemble du secteur pour renforcer la protection et éliminer l'authentification obsolète par mot de passe. Pour Google, cette étape représente près d'une décennie de travail aux côtés de la FIDO, dans le cadre de notre innovation continue vers un avenir sans mot de passe. Nous sommes impatients de rendre la technologie basée sur la FIDO disponible sur Chrome, ChromeOS, Android et d'autres plateformes, et nous encourageons les développeurs d'applications et de sites Web à l'adopter, afin que les gens du monde entier puissent s'affranchir en toute sécurité des risques et des tracas liés aux mots de passe », déclare Mark Risher, directeur principal de la gestion des produits chez Google.

En subordonnant la connexion à un appareil physique, l'idée est que les utilisateurs bénéficient simultanément de la simplicité et de la sécurité. Sans mot de passe, il n'y aura pas d'obligation de se souvenir des détails de connexion à travers les services ou de compromettre la sécurité en réutilisant le même mot de passe à plusieurs endroits. De même, avec un système sans mot de passe, il sera beaucoup plus difficile pour les pirates informatiques de compromettre les données de connexion à distance, puisque la connexion nécessite l'accès à un appareil physique ; et, en théorie, les attaques par phishing où les utilisateurs sont dirigés vers un faux site web pour capturer le mot de passe seront beaucoup plus difficiles à organiser.

Vasu Jakkal, vice-président de Microsoft chargé de la sécurité, de la conformité, de l'identité et de la confidentialité, a souligné le degré de compatibilité entre les plateformes. « Avec les clés de passe sur votre appareil mobile, vous êtes en mesure de vous connecter à une application ou à un service sur presque n'importe quel appareil, quelle que soit la plate-forme ou le navigateur que l'appareil exécute. Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome fonctionnant sous Microsoft Windows, en utilisant un mot de passe sur un appareil Apple », a déclaré Jakkal dans un communiqué.

La fonctionnalité multiplateforme est rendue possible par une norme appelée FIDO, qui utilise les principes du chiffrement à clé publique pour permettre une authentification sans mot de passe et une authentification multifactorielle dans une série de contextes. Le téléphone d'un utilisateur peut stocker un mot de passe unique conforme à la norme FIDO et ne le partage avec un site Web pour l'authentification que lorsque le téléphone est déverrouillé. Selon la publication de Google, les clés peuvent également être facilement synchronisées avec un nouvel appareil à partir d'une sauvegarde sur le cloud en cas de perte du téléphone.

Bien que de nombreuses applications populaires prennent déjà en charge l'authentification FIDO, l'ouverture de session initiale nécessitait l'utilisation d'un mot de passe avant de pouvoir configurer FIDO : ce qui signifie que les utilisateurs étaient toujours vulnérables aux attaques de phishing au cours desquelles les mots de passe étaient interceptés ou volés. Mais les nouvelles procédures supprimeront l'exigence initiale d'un mot de passe, comme l'a déclaré Sampath Srinivas, directeur de la gestion des produits pour l'authentification sécurisée chez Google et président de l'Alliance FIDO : « Cette prise en charge étendue de FIDO annoncée aujourd'hui permettra aux sites Web de mettre en œuvre, pour la première fois, une expérience de bout en bout sans mot de passe avec une sécurité résistant au phishing. Cela inclut à la fois la première connexion à un site Web et les connexions répétées. Lorsque la prise en charge des clés de passe sera disponible dans l'ensemble du secteur en 2022 et 2023, nous disposerons enfin de la plateforme internet pour un avenir véritablement sans mot de passe ».

Les entreprises essaient de se passer de mot de passe depuis des années, mais il n'a pas été facile d'y parvenir. Les mots de passe fonctionnent bien s'ils sont longs, aléatoires, secrets et uniques, mais l'élément humain des mots de passe est toujours un problème. Nous ne sommes pas très doués pour mémoriser des chaînes de caractères longues et aléatoires. Il est tentant de noter les mots de passe ou de les réutiliser, et les programmes de phishing essaient de vous inciter à donner votre mot de passe à un tiers. Lorsqu'une faille de sécurité se produit, les paires nom d'utilisateur/mot de passe sont faciles à partager et il existe d'énormes bases de données d'identifiants compromis.

Le billet de blog de la FIDO indique : « Ces nouvelles capacités devraient être disponibles sur les plateformes d'Apple, de Google et de Microsoft au cours de l'année prochaine ». Apple, qui semble avoir lancé toute la tendance des "passkey", a déjà un système opérationnel dans iOS 15 et macOS Monterey, mais il n'est pas encore compatible avec les autres plateformes. Le support des passkey de Google a déjà été repéré dans Play Services sur Android, il devrait donc rapidement être pris en charge par des appareils Android même plus anciens dès qu'il sera prêt.

Sources : Apple, Google, FIDO

Et vous ?

Que pensez-vous de cette initiative ? Peut-on parler de révolution pour la sécurité sur le web ?

Voir aussi :

Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform

Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS

**MARCELBENH** · 06/05/2022, 09h53

Bonjour,

Les grands groupes veulent donc nous vendre des clés ? (peut-être pas dans un premier temps, mais il est certain qu'une fois que nous serons dépendants ils serreront le noeud coulant).
Et la solution des coffres forts à mot de passe avec clé privée alors ?
Si on y réfléchit bien, utiliser un keepass (ou équivalent) avec sa base sur un cloud et sa clé privée sur son appareil, c'est la même chose et c'est libre ?
En plus chacun peut générer lui même sa clé.
J'ai pas l'impression qu'il s'agisse d'une grande avancée

A votre avis ?

**emilie77** · 06/05/2022, 09h55

ça veut dire quelques choses comme Yubikey? 45€ en plus il en faut au moins deux, ... Le Hw peut se casser, se perdre, etc. En plus c'est plus facile pour les forces de l'ordre inserer une clé et avoir accés a tout que t'extraire une password de la tete.
Le F2A devrait etre utilisé encore?

**Kulvar** · 06/05/2022, 10h32

Jusqu'à ce qu'un gars trouve comment extraire la clé privée avec un virus...

Ou alors ce sera un appareil à acheter, et si tu renverse ton café dessus ou que ton chien décide que c'est un jouet à mâcher tu perds tout.

Je vais m'en passer et rester sur les mots de passe avec un gestionnaire de mot de passe.

**Arya Nawel** · 06/05/2022, 10h36

Et ca se passe comment si tas pas de telephone?

**MARCELBENH** · 06/05/2022, 12h00

Envoyé par Arya Nawel

Et ca se passe comment si tas pas de telephone?

Un bon bloc note avec tes mots de passe

Non... tu achète la clé

**23JFK** · 06/05/2022, 14h04

... ou comment remplacer des mots-de-passe fixes par des mots-de-passe tournants tout en obtenant l'identité civile de l'utilisateur via son numéro de téléphone et donc une valorisation de sa base de donnée utilisateur à dessein de profilage.

Cette pseudo avancée cache des problèmes bien plus lourds et difficiles à régler pour les personnes lambda que la simple réinitialisation d'un mot-de-passe en cas de panne, ou de vol, ou de perte, ou de changement d'appareil et/ou de numéro de téléphone ; sans compter les anciens numéros réaffectés qui enverront des demandes d'authentifications à la mauvaise personne...

Conclusion: Le mot-de-passe est un horizon indépassable en matière de sécurité et de relatif anonymat, il n'appartient qu'aux utilisateurs de ne pas choisir des mdp ridiculement faciles à cracker.

**Arya Nawel** · 07/05/2022, 16h25

Quelq'un de plus intelligent que moi peut-il m'expliquer en quoi cela est mieux pour les ordinateurs portables et les appareils mobiles ?

Invité · 07/05/2022, 22h30

Bonsoir

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la tech veulent déployer la norme "passkey"de FIDO dans l'année à venir

Que pensez-vous de cette initiative ?

Que le mot de passe classique a encore un bel avenir devant lui . Comme cité par mes voisins du dessus. Il y a de nombreux cas ou le fido pose problème ... Un peu comme demander une adresse mail à un vieux de 80 balais qui ouvre un compte en banque. ^^

Peut-on parler de révolution pour la sécurité sur le web ?

Non pas du tout.

**Stéphane le calme** · 09/05/2022, 13h22

Apple, Google et Microsoft ont annoncé leur intention de supprimer les mots de passe et simplifier les connexions,
votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

À l'occasion de la Journée mondiale du mot de passe qui s'est mardi 5 mai, les grandes enseignes technologiques Google, Apple et Microsoft ont annoncé vouloir bientôt supprimer les mots de passe. Pour les utilisateurs, la connexion devrait être simplifiée sur tous les appareils, sites web et applications, indique Google dans un communiqué.

C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce du 5 mai étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :

Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.

Nom : telephone.png
Affichages : 2479
Taille : 112,8 Ko

Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Suite à cette annonce, les experts ont estimé que les changements devraient aider à vaincre de nombreux types d'attaques de phishing et à alléger le fardeau global des mots de passe pour les internautes, mais avertissent qu'un véritable avenir sans mot de passe peut encore prendre des années pour la plupart des sites Web.

Sampath Srinivas, directeur de l'authentification de sécurité chez Google et président de l'Alliance FIDO, a déclaré que dans le cadre du nouveau système, votre téléphone stockera un identifiant FIDO appelé passkey qui est utilisé pour déverrouiller votre compte en ligne.

« Le mot de passe rend la connexion beaucoup plus sécurisée, car il est basé sur la cryptographie à clé publique et n'est affiché sur votre compte en ligne que lorsque vous déverrouillez votre téléphone », a écrit Srinivas. « Pour vous connecter à un site Web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n'aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur ».

Comme l'alliance FIDO le rappelle, Apple, Google et Microsoft prennent déjà en charge ces normes sans mot de passe (par exemple, "Se connecter avec Google"), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalité sans mot de passe. Dans le cadre de ce nouveau système, les utilisateurs pourront accéder automatiquement à leur mot de passe sur plusieurs de leurs appareils - sans avoir à réinscrire chaque compte - et utiliser leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité.

Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a estimé que cette annonce est « de loin l'effort le plus prometteur pour résoudre le défi de l'authentification » : « La partie la plus importante de cette norme est qu'elle n'obligera pas les utilisateurs à acheter un nouvel appareil, mais à la place, ils pourront utiliser des appareils qu'ils possèdent déjà et qu'ils savent utiliser comme authentificateurs », s'est réjouit Ullrich.

Steve Bellovin, professeur d'informatique à l'Université de Columbia et l'un des premiers chercheurs et pionniers d'Internet, pense que cette initiative de suppression des mots de passe est une « énorme avancée » dans l'authentification, mais a déclaré qu'il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.

Bellovin et d'autres disent qu'un scénario potentiellement délicat dans ce nouveau schéma d'authentification sans mot de passe est ce qui se passe lorsque quelqu'un perd son appareil mobile ou que son téléphone tombe en panne et qu'il ne peut pas se souvenir de son mot de passe iCloud.

« Je m'inquiète pour les personnes qui n'ont pas les moyens d'acheter un appareil supplémentaire ou qui ne peuvent pas facilement remplacer un appareil cassé ou volé », a déclaré Bellovin. « Je m'inquiète de la récupération de mot de passe oublié pour les comptes cloud ».

Google indique que même si vous perdez votre téléphone, « vos clés d'accès seront synchronisées en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s'est arrêté ».

Apple et Microsoft ont également des solutions de sauvegarde dans le cloud dont les clients utilisant ces plateformes pourraient se servir pour récupérer à partir d'un appareil mobile perdu. Mais Bellovin a déclaré que beaucoup dépendait de la sécurité de l'administration de ces systèmes cloud : « Est-il facile d'ajouter la clé publique d'un autre appareil à un compte, sans autorisation ? » s'est demandé Bellovin. « Je pense que leurs protocoles rendent cela impossible, mais d'autres ne sont pas d'accord ».

Nicholas Weaver, maître de conférences au département d'informatique de l'Université de Californie à Berkeley, a déclaré que les sites Web devaient encore disposer d'un mécanisme de récupération pour le scénario « vous avez perdu votre téléphone et votre mot de passe », qu'il a décrit comme « un problème vraiment difficile à résoudre en toute sécurité et déjà l'une des plus grandes faiblesses de notre système actuel ». « Si vous oubliez le mot de passe et que vous perdez votre téléphone et que vous pouvez le récupérer, c'est une situation qui est une cible énorme pour les attaquants », a déclaré Weaver. « Si vous oubliez le mot de passe et que vous perdez votre téléphone et que vous NE POUVEZ PAS, eh bien, vous avez maintenant perdu votre jeton d'autorisation utilisé pour vous connecter. Il faudra que ce soit ce dernier. Apple a l'infrastructure en place pour le prendre en charge (iCloud keychain), mais il n'est pas clair si Google le fait ».

Même ainsi, a-t-il déclaré, l'approche globale de FIDO a été un excellent outil pour améliorer à la fois la sécurité et la convivialité.

« C'est un très, très grand pas en avant, et je suis ravi de voir cela », a déclaré Weaver. « Tirer parti de l'authentification forte du propriétaire du téléphone (si vous avez un mot de passe décent) est plutôt agréable. Et au moins pour l'iPhone, vous pouvez rendre cela robuste même pour les compromissions de téléphone, car c'est l'enclave sécurisée qui gérerait cela et l'enclave sécurisée ne fait pas confiance au système d'exploitation hôte ».

Les grandes enseignes de la technologie ont déclaré que les nouvelles fonctionnalités sans mot de passe seront activées sur les plateformes Apple, Google et Microsoft « au cours de l'année à venir ». Mais les experts ont déclaré qu'il faudra probablement encore plusieurs années aux sites Web avec de petits trafics pour adopter la technologie et abandonner complètement les mots de passe.

Des recherches récentes montrent que beaucoup trop de personnes réutilisent ou recyclent encore les mots de passe (modifiant légèrement le même mot de passe), ce qui présente un risque de prise de contrôle de compte lorsque ces informations d'identification sont finalement exposées lors d'une violation de données. Un rapport publié en mars par la société de cybersécurité SpyCloud a révélé que 64 % des utilisateurs réutilisaient les mots de passe pour plusieurs comptes et que 70 % des informations d'identification compromises lors de violations précédentes étaient toujours utilisées.

Sources : FIDO Alliance, Google

Et vous ?

Avez-vous déjà utilisé votre téléphone comme outil d'authentification ? Sur quel(s) site(s), application(s) ou appareil(s) ?

Que pensez-vous de cette façon de se connecter ?

Que pensez-vous de l'initiative de l'Alliance FIDO ?

Voir aussi

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform

Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS

CrowdSec dévoile "The Majority Report", son premier rapport sur l'état des lieux de la menace cyber, basé sur les données de la communauté d'utilisateurs de CrowdSec

**gangsoleil** · 09/05/2022, 15h04

OK, donc si je résume, mon téléphone remplace mon mot de passe, et j'ai un mot de passe de secours pour mon compte cloud -- au cas où.

Donc si je retourne le truc, en tant qu'attaquant, il y a toujours le mot de passe cloud qui est vulnérable.

Et en plus, à part Apple qui a un truc, les autres ne savent pas comment faire pour le cas où un utilisateur perdrait son téléphone et son mot de passe de compte cloud qu'il n'utilise jamais.

Mais c'est une avancée majeure ?

Et tout ceci ne prend pas en compte qu'une bonne partie des gens ne vérouillent pas du tout leur téléphone avec un code.

**kain_tn** · 09/05/2022, 16h11

Envoyé par gangsoleil

OK, donc si je résume, mon téléphone remplace mon mot de passe, et j'ai un mot de passe de secours pour mon compte cloud -- au cas où.

Donc si je retourne le truc, en tant qu'attaquant, il y a toujours le mot de passe cloud qui est vulnérable.

Et en plus, à part Apple qui a un truc, les autres ne savent pas comment faire pour le cas où un utilisateur perdrait son téléphone et son mot de passe de compte cloud qu'il n'utilise jamais.

Mais c'est une avancée majeure ?

Et tout ceci ne prend pas en compte qu'une bonne partie des gens ne vérouillent pas du tout leur téléphone avec un code.

C'est une avancée majeure... pour les attaquants et pour ceux qui te vendent du matériel, oui

Maintenant pour nous, ce n'est pas terrible. C'est d'autant plus dommage qu'utiliser du FIDO en second facteur en plus du mot de passe, c'est pas mal pour te protéger en cas de fuite de la DB avec des mots de passe non-hashés, ou par exemple pour empêcher du brute force sur ton compte disponible en ligne, etc.

Par contre, l'utiliser en tant que seul facteur, c'est complètement débile. Et tu soulèves aussi un point important en ce qui concerne le verrouillage du téléphone.

**23JFK** · 09/05/2022, 17h16

C'est donner beaucoup trop de pouvoir à une poignée d'acteurs économiques déjà bien envahissants et une solution pas assez nationale. D'autant plus qu'avec ce système et la coopération obligatoire des sociétés américaines avec les agences gouvernementales, ça va devenir open-bar pour des dérives d'hyper-surveillance/espionnage.

Invité · 15/05/2022, 00h13

Bonsoir,

Apple, Google et Microsoft ont annoncé leur intention de supprimer les mots de passe et simplifier les connexions, votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Avez-vous déjà utilisé votre téléphone comme outil d'authentification ?

Oui pour des applis bancaires ET de paiement ... Le mot de passe est toujours nécessaire vu qu'on en reçoit un par sms ^^ car temporaire.

Sur quel(s) site(s), application(s) ou appareil(s) ?

Banque et service de paiement

Que pensez-vous de cette façon de se connecter ?

Elle n'est pas généralisable. Je me voit assez mal attendre un sms pour me connecter à un pc hors réseau internet, dans la France profonde . Ou alors pour utiliser word ou excel

Que pensez-vous de l'initiative de l'Alliance FIDO ?

Cela restera un marché de niche. C'est aussi , encore donner trop de pouvoir aux gafam.