Discussion :

[Sandra Coret]

Google lance Passkeys for Android pour encourager les usagers à ne plus utiliser de mot de passe, afin de réduire la fréquence des usurpations d'identité

50 % des incidents de sécurité sont dus au vol de mots de passe ou d'informations d'identification clés des utilisateurs.

Les acteurs de la menace connaissent toutes les ficelles du métier et il existe un énorme problème à ce sujet. Et c'est peut-être l'une des principales raisons pour lesquelles les géants de la technologie comme Google introduisent les clés de sécurité comme la meilleure alternative aux mots de passe à l'heure actuelle.

Google n'est pas le seul à passer à la vitesse supérieure. Microsoft, LastPass et même Okta s'orientent vers une initiative où l'authentification sans mot de passe est la règle.

En gardant cette vision à l'esprit, Google a rendu publique sa décision d'éviter les mots de passe et d'introduire des clés de vérification sur les appareils Android.

L'entreprise ajoute que cette décision a été prise afin de rendre beaucoup plus difficile pour les cybercriminels de réussir à mener leurs attaques et à pirater les systèmes des utilisateurs en toute simplicité.

Cette nouvelle intervient alors qu'Apple et Microsoft se sont associés au géant des moteurs de recherche pour montrer un plus grand soutien aux ouvertures de session liées à des thèmes sans mot de passe en mars 2022.

Il est clair que les mots de passe ne suffisent plus et qu'ils sont à l'origine de nombreux problèmes.

Les recherches menées par SpyCloud ont également mis en évidence la naïveté des utilisateurs qui ont tendance à réutiliser leurs propres mots de passe pour de multiples plateformes parce qu'ils pensent que c'est pratique. Mais ils sont peu conscients des grandes menaces liées à ce comportement.

La solution consiste donc à se débarrasser des mots de passe dans leur ensemble, car cela permettra de réduire la fréquence des usurpations d'identité. C'est pourquoi les passkeys sont considérés comme une solution de remplacement moderne et plus sûre et un excellent moyen d'authentifier une entrée sur une plate-forme.

Les experts estiment que les clés éliminent tous les risques liés à la réutilisation des mots de passe et aux brèches dans les bases de données des comptes. De plus, elles offrent une protection contre toutes les formes d'attaques de phishing.

Le fait que la technologie sur laquelle il est basé soit conçue en tenant compte des normes industrielles est un autre point qui mérite réflexion. En outre, il est possible de l'utiliser aussi bien pour les systèmes d'exploitation que pour la navigation.

Il est conçu pour permettre aux utilisateurs de sauvegarder et de synchroniser leurs clés avec leur cloud. Au final, en cas de perte de leur appareil, ils ne seront pas confrontés à une situation de verrouillage.

Google a également indiqué qu'il allait permettre aux développeurs de prendre en charge les clés d'accès sur le Web grâce à Chrome et à l'API WebAuthn.

Au fur et à mesure que les jours passent et que de plus en plus de personnes sont sensibilisées, la demande de marchés sans mot de passe augmente au fur et à mesure. Selon les estimations des experts, sa valeur pourrait passer de près de 13 milliards de dollars à 54 milliards de dollars d'ici 2030.

De même, on insiste beaucoup pour que les fournisseurs ne s'appuient pas sur les mots de passe. Nous avons déjà vu Apple rendre public son projet de les éliminer et de promouvoir les clés de passe, tandis que l'authentification pourrait se faire par le biais de Face et Touch IDs. Microsoft fait quelque chose de similaire sous la forme d'un toucher biométrique et d'un code PIN pour l'authentification.

Alors que de plus en plus de personnes adoptent cette tendance, les fournisseurs seront mis sous pression pour offrir un accès plus large aux options sans mot de passe.

Source : Google

Et vous ?

Quel est votre avis sur l'arrêt de l'utilisation des mots de passe ?
Pensez-vous que cela va réellement résoudre les problèmes liés au vol d'identité ?

Voir aussi :

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ? La FIDO Alliance tente de rendre les mots de passe obsolètes

Les connexions sans mot de passe pourraient arriver plus tôt que prévu, 84 % des professionnels de l'informatique estimant que c'est un objectif qu'ils doivent absolument atteindre

57 % des entreprises affirment que l'utilisation de méthodes sans mot de passe a considérablement réduit les frictions et amélioré l'expérience des utilisateurs, selon SecureAuth

[Pierre Louis Chevalier]

C'est une bonne initiative, mais la majorité des gens n'y comprennent rien, et d'autre part très peu de sites le supportent.

Donc ça risque de prendre du temps avant que cela ait un impact, si cela en a un un jour.

[Bruno]

Il est désormais possible de se passer des mots de passe dans Chrome avec passkeys
elles sont désormais disponibles dans Chrome Stable M108

Après une période de test qui a débuté en octobre, Google a ajouté cette semaine la norme de connexion sécurisée sans mot de passe à la version stable M108 de Chrome. La fonctionnalité est désormais disponible avec Chrome sur les ordinateurs de bureau et les appareils mobiles fonctionnant sous Windows 11, macOS et Android. « Nous avons annoncé en octobre que la prise en charge des clés de chiffrement était disponible dans Chrome Canary. Aujourd'hui, nous avons le plaisir d'annoncer que la prise en charge des clés de passe est désormais disponible dans Chrome Stable M108 », a déclaré Ali Sarraf, Product Manager, Chrome.

Les mots de passe sont généralement la première ligne de défense dans nos vies numériques. Cependant, ils risquent d'être hameçonnés, de faire l'objet de fuites de données et même de souffrir d'une mauvaise hygiène des mots de passe. Google est conscient de ces problèmes depuis longtemps, c'est pourquoi elle a créé des moyens de défense comme la vérification en deux étapes et le Gestionnaire de mots de passe Google.

Pour faire face aux menaces de sécurité de manière plus simple et plus pratique, Google opte et évolue vers une authentification sans mot de passe. C'est là que les clés de passe entrent en jeu. Selon Google, les clés de passe sont un substitut beaucoup plus sûr aux mots de passe et aux autres facteurs d'authentification susceptibles d'être piratés. Ils ne peuvent pas être réutilisés et protègent les utilisateurs contre les attaques de phishing. Les clés de passe reposent sur des normes industrielles et fonctionnent sur différents systèmes d'exploitation et écosystèmes de navigateurs, et peuvent être utilisés pour les sites Web et les applications.

Les clés de passe suivent des modèles d'interface utilisateur déjà connus et s'appuient sur l'expérience existante de la saisie automatique de mot de passe. Pour les utilisateurs finaux, l'utilisation d'un mot de passe est similaire à l'utilisation d'un mot de passe enregistré aujourd'hui, où ils confirment simplement avec le verrouillage de l'écran de leur appareil existant, comme leur empreinte digitale. Les clés de passe sur les téléphones et les ordinateurs des utilisateurs sont sauvegardés et synchronisés via le cloud pour éviter les verrouillages en cas de perte de l'appareil.

En outre, les utilisateurs peuvent utiliser les clés stockées sur leur téléphone pour se connecter à des applications et des sites Web sur d'autres appareils. Une clé de passe est une identité unique stockée sur un ordinateur, téléphone ou tout autre périphérique, comme une clé de sécurité USB. Pour les sites Web ou les applications qui ont mis en œuvre l'API de clé de passe, elle peut permettre de se connecter par le biais d'une confirmation simple et rapide associée à la biométrie de l’appareil ou à une autre authentification sécurisée.

Les clés de sécurité sont excellentes pour la sécurité, car elles ne nécessitent pas de mot de passe qui pourrait être divulgué. Et comme toutes les grandes entreprises technologiques comme Apple, Google et Microsoft collaborent pour adopter la technologie (et le nom), l'expérience devrait devenir indépendante des appareils. La technologie repose sur la norme FIDO, qui utilise la cryptographie à clé publique, ce qui rend possible l'aspect multiplateforme.

• Les utilisateurs peuvent créer et utiliser des clés sur les appareils Android, qui sont synchronisées de manière sécurisée via le gestionnaire de mots de passe Google ;
• Les développeurs peuvent intégrer la prise en charge des clés de sécurité sur leurs sites pour les utilisateurs finaux utilisant Chrome via l'API WebAuthn, sur Android et d'autres plateformes prises en charge.

Google permet également de synchroniser les mots de passe d'Android vers d'autres appareils via le gestionnaire de mots de passe de l'entreprise ou un gestionnaire tiers qui le prend en charge, comme 1Password ou Dashlane.

L'utilité des clés de passe dans Chrome et dans d'autres navigateurs dépendra de la mise en œuvre par les sites de l'API WebAuthn pour accepter les clés de passe. Certains magasins en ligne comme Best Buy l'ont déjà fait, et des services comme PayPal l'ont également activé.

Avec la dernière version de Chrome, Google active les clés d'accès sur Windows 11, macOS et Android. Sur Android, les clés seront synchronisées de manière sécurisée via Google Password Manager ou, dans les futures versions d'Android, tout autre gestionnaire de mots de passe prenant en charge les clés. Une fois que vous avez enregistré une clé de passe sur votre appareil, elle peut s'afficher dans le remplissage automatique lorsque vous vous connectez pour vous aider à être plus sûr.

Sur un appareil de bureau, vous pouvez également choisir d'utiliser une clé d'accès à partir de votre appareil mobile à proximité. Comme les clés d'accès reposent sur des normes industrielles, vous pouvez utiliser un appareil Android ou iOS.

Un mot de passe ne quitte pas votre appareil mobile lorsque vous vous connectez de cette manière. Seul un code généré de manière sécurisée est échangé avec le site. Ainsi, contrairement à un mot de passe, il n'y a aucun risque de fuite. Pour permettre le contrôle des clés de sécurité, à partir de la version M108 de Chrome, il est possible de gérer vos clés de sécurité à partir de Chrome sur Windows et macOS.

PayPal a annoncé qu'il ajoutait les clés de passe comme méthode de connexion facile et sécurisée pour les comptes PayPal. PayPal est l'une des premières sociétés de services financiers à mettre les clés de passe à la disposition de ses utilisateurs. Cette norme de sécurité d'avant-garde est importante car les passkeys répondent à l'un des plus grands problèmes de sécurité sur le web, à savoir la faiblesse de l'authentification par mot de passe. Plus de 2,6 milliards d'enregistrements ont été piratés en 2017 et, parmi ces piratages, on estime que 81 % ont été causés par le vol et la devinette de mots de passe.

Pour que les clés de sécurité fonctionnent, les développeurs doivent intégrer la prise en charge des clés de sécurité sur leurs sites à l'aide de l'API WebAuthn. Depuis des années, nous collaborons avec d'autres acteurs du secteur, notamment Apple et Microsoft, les membres de l'Alliance FIDO et le W3C, afin de définir des normes d'authentification sécurisée.

Source : Chromium Blog

Et vous ?

Quel est votre avis sur le sujet ?

Trouvez-vous nécessaire l'abandon des mots de passe au profit des clés de passe ?

Voir aussi :

Google lance Passkeys pour Android pour encourager les usagers à ne plus utiliser de mot de passe, afin de réduire la fréquence des usurpations d'identité

PayPal lance les Passkeys, conçus pour remplacer les mots de passe, permettant une connexion facile et sécurisée pour les consommateurs

[pmithrandir]

J'avoue avoir du mal a voir l'avantage de cette solution.

Si je comprend bien on a une clef privé qui génère des clefs publiques utilisées pour autoriser nos accès.

Sauf que cette clef privé est bien stockée quelque part, device, cloud google, etc...
Qu'est ce qui empêche de prendre cette clef et de l'utiliser ailleurs
Comment tous nos devices vont ils pouvoir utiliser ce système (smartphone, iOS et Android, ordi sous Linux windows ... Mais aussi les systèmes tiers plus obscurs comme un rpi etc...)

J'ai du mal a comprendre la mise en oeuvre finale.

[JPLAROCHE]

le system KeypassXC fonctionne depuis longtemps avec un chiffrage 256 bytes ... et en local

[Fagus]

Je pense au contraire que c'est un progrès relatif* pour l'utilisateur lamba.

D'après ce que je lis vite fait là il semble s'agir d'une authentification basée sur un secret inviolable dans un appareil de confiance, qui est utilisé par cet appareil pour répondre à un défit cryptographique unique lors du login sur un site.
C'est à dire le système FIDO qu'on trouve not. dans les yubikey, ou maintenant sur les appareils apple avec leurs puces TPM qui peuvent stocker les secrets.

Sauf que dans cette histoire les secrets sont téléversés dans le cloud de google ..., contrairement aux clés yubikey où le principe est que tout est calculé dans la puce et que toute lecture de la puce est interdite.

C'est un compromis. Si on pert sa yubikey c'est fâcheux. Avec le système de google, si on perd son téléphone on survit, mais on confie à google tous ses accès...

Néanmoins, il faut se rendre compte que le citoyen lambda utilise 12345678 comme code et est susceptible de le donner à n'importe quel hameçonnage.

Bref, ça va se généraliser puisque Microsoft, Apple, Google, FIDO, etc veulent déployer ce système.
Ensuite, tout dépend de la capacité du système à résister à une extraction du secret si le système est corrompu. Pour ceux qui le stockent dans un TPM, ça doit être assez costaud (Apple...).

* Progrès relatif, car tout centraliser chez google c'est aussi un risque énorme. Il y a quelques années la youtubeuse Heliox racontait comment elle avait accidentellement exécuté dans un moment de fatigue un troyen sur son PC avec sa session google ouverte et c'était fini. Le pirate a désactivé sa double authentification dans sa session google ouverte (car google ne demande pas la double authentification pour désactiver cette dernière, ce qui est pratique... mais c'est une énorme faille logique). D'autant que voler un compte courriel central, c'est voler via les réinitialisations de compte tous les comptes liés en général...
Je n'ai pas d'intérêt chez proton, mais sur ce scénario, c'est mieux chez eux, car une fois qu'on a activé la double authentification, elle est obligatoire pour toute action de sécurité, ce qui bloque ce scénario de vol de compte.

[onilink_]

Dès qu'il s'agit de centralisation de mots de passe c'est une ânerie.

C'est comme les gestionnaires de mots de passe qui stockent les mots de passe.... sur le cloud.
Car oui Jamy, c'est très logique!


Mais bon c'est un problème qui n'a pas de solution magique.
Soit on choisis la simplicité d'utilisation et on se retrouve plus ou moins forcé à utiliser un tiers de confiance ou une centralisation des moyens d'authentification (pour pouvoir retrouver ses identifiants en cas de perte d'appareil ou d'oublis de mot de passe).
Soit on prend le risque de perdre ses accès ou on rend la tache d'authentification bien plus complexe.


Perso j'ai choisis la méthode suivante: tous les sites ou je me fiche de la sécurité, j'utilise un passe aléatoire généré par Firefox et je lui laisse conserver les identifiants.
Les sites ou j'ai besoin d'une sécurité supplémentaire j'utilise la 2FA et un gestionnaire de passe LOCAL avec évidemment un chiffrement qui permet l'accès seulement grâce a un mot de passe maître.
Le hic dans l'histoire c'est qu'il ne faut surtout pas oublier le mot de passe maître. Et que le changer "régulièrement" peut devenir fastidieux.

Mais dans tous les cas la meilleure sécurité c'est d'éviter la centralisation et de changer régulièrement ses accès.
Même un gestionnaire de mot de passe peut être considéré comme une centralisation et est un risque potentiel.
Un accès malveillant à la machine et tout peut être compromis. Donc il faut une partition chiffrée, ce qui fait un mot de passe supplémentaire à connaître...

Bref, pas étonnant que les failles dans les entreprises soient plus souvent au niveau "de l'humain" que de la machine.

[lemalo]

Dès qu'il s'agit de centralisation de mots de passe c'est une ânerie.

C'est comme les gestionnaires de mots de passe qui stockent les mots de passe.... sur le cloud.
Car oui Jamy, c'est très logique!


Mais bon c'est un problème qui n'a pas de solution magique.
Soit on choisis la simplicité d'utilisation et on se retrouve plus ou moins forcé à utiliser un tiers de confiance ou une centralisation des moyens d'authentification (pour pouvoir retrouver ses identifiants en cas de perte d'appareil ou d'oublis de mot de passe).
Soit on prend le risque de perdre ses accès ou on rend la tache d'authentification bien plus complexe.

Une solution que j'utilise pour mitiger le risque du tiers de confiance c'est d'utiliser un mot de passe "double aveugle" pour mes comptes les plus critiques. En résumé ça consiste à ne pas enregistrer tout le mot de passe dans le gestionnaire de mots de passe.

Pour le détail, il y a une explication détaillée ici

[kain_tn]

le system KeypassXC fonctionne depuis longtemps avec un chiffrage 256 bytes ... et en local

Tout est dit.

[...]Pour ceux qui le stockent dans un TPM, ça doit être assez costaud (Apple...).[...]

Pas forcément. Il y avait un lien sur Developpez et sur Phoronix il y a quelques mois qui expliquait que des hackers avaient contourné le TPM d'un PC avec un accès sur la machine, sans soudure. Ils s'en étaient servi pour récupérer une clé Bitlocker, je crois.