Apple, Google et Microsoft s’associent pour prendre en charge les connexions FIDO sans mot de passe

Le 5 mai – Journée mondiale du mot de passe – nous nous sommes peut-être rapprochés du fait que les mots de passe appartiendraient au passé.

Dans un effort conjoint, les géants de la technologie Apple, Google et Microsoft ont annoncé jeudi matin qu’ils s’étaient engagés à renforcer la prise en charge de la connexion sans mot de passe sur toutes les plates-formes mobiles, de bureau et de navigateur qu’ils contrôlent au cours de l’année à venir. En effet, cela signifie que l’authentification sans mot de passe arrivera sur toutes les principales plates-formes d’appareils dans un avenir pas trop lointain : les systèmes d’exploitation mobiles Android et iOS ; Navigateurs Chrome, Edge et Safari ; et les environnements de bureau Windows et macOS.

“Tout comme nous concevons nos produits pour qu’ils soient intuitifs et performants, nous les concevons également pour qu’ils soient privés et sécurisés”, a déclaré Kurt Knight, directeur principal de la plateforme de marketing produit chez Apple. “Travailler avec l’industrie pour établir de nouvelles méthodes de connexion plus sécurisées qui offrent une meilleure protection et éliminent les vulnérabilités des mots de passe est au cœur de notre engagement à créer des produits qui offrent une sécurité maximale et une expérience utilisateur transparente – le tout dans le but de garder les utilisateurs ‘informations personnelles en toute sécurité.’

Une représentation de la connexion sans mot de passe
image : Alliance FIDO

Un processus de connexion sans mot de passe permettra aux utilisateurs de choisir leur téléphone comme principal dispositif d’authentification pour les applications, les sites Web et d’autres services numériques, comme Google l’a détaillé dans un article de blog publié jeudi. Déverrouiller le téléphone avec tout ce qui est défini comme action par défaut – entrer un code PIN, dessiner un motif ou utiliser le déverrouillage par empreinte digitale – sera alors suffisant pour se connecter aux services Web sans jamais avoir besoin de saisir un mot de passe, rendu possible grâce à l’utilisation de un jeton cryptographique unique appelé passe-partout qui est partagé entre le téléphone et le site Web.

En subordonnant les connexions à un appareil physique, l’idée est que les utilisateurs bénéficieront simultanément de la simplicité et de la sécurité. Sans mot de passe, il n’y aura aucune obligation de mémoriser les informations de connexion à travers les services ou de compromettre la sécurité en réutilisant le même mot de passe à plusieurs endroits. De même, un système sans mot de passe rendra beaucoup plus difficile pour les pirates de compromettre les informations de connexion à distance, car la connexion nécessite l’accès à un appareil physique ; et, théoriquement, les attaques de phishing où les utilisateurs sont dirigés vers un faux site Web pour la capture de mot de passe seront beaucoup plus difficiles à monter.

Vasu Jakkal, vice-président de Microsoft pour la sécurité, la conformité, l’identité et la confidentialité, a souligné le degré de compatibilité entre les plates-formes. “Avec des clés d’accès sur votre appareil mobile, vous pouvez vous connecter à une application ou à un service sur presque n’importe quel appareil, quelle que soit la plate-forme ou le navigateur utilisé par l’appareil”, a déclaré Jakkal dans un communiqué envoyé par e-mail. “Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome qui s’exécute sur Microsoft Windows – en utilisant un mot de passe sur un appareil Apple.”

La fonctionnalité multiplateforme est rendue possible par une norme appelée FIDO, qui utilise les principes de la cryptographie à clé publique pour permettre l’authentification sans mot de passe et l’authentification multifacteur dans une gamme de contextes. Le téléphone d’un utilisateur peut stocker une clé unique conforme à la norme FIDO et la partager avec un site Web pour authentification uniquement lorsque le téléphone est déverrouillé. Selon le message de Google, les clés d’accès peuvent également être facilement synchronisées avec un nouvel appareil à partir d’une sauvegarde dans le cloud en cas de perte d’un téléphone.

Bien que de nombreuses applications populaires incluent déjà la prise en charge de l’authentification FIDO, la connexion initiale a nécessité l’utilisation d’un mot de passe avant que FIDO puisse être configuré – ce qui signifie que les utilisateurs étaient toujours vulnérables aux attaques de phishing qui voient les mots de passe interceptés ou volés en cours de route.

Mais les nouvelles procédures supprimeront l’exigence initiale d’un mot de passe, comme l’a déclaré Sampath Srinivas, directeur de la gestion des produits pour l’authentification sécurisée chez Google et président de l’Alliance FIDO, dans un communiqué envoyé à Le bord.

“Cette prise en charge étendue de FIDO annoncée aujourd’hui permettra aux sites Web de mettre en œuvre, pour la première fois, une expérience sans mot de passe de bout en bout avec une sécurité résistante au phishing”, a déclaré Srinivas. “Cela inclut à la fois la première connexion à un site Web et les connexions répétées. Lorsque la prise en charge des clés de passe sera disponible dans l’ensemble de l’industrie en 2022 et 2023, nous aurons enfin la plate-forme Internet pour un avenir véritablement sans mot de passe. »

Jusqu’à présent, Apple, Google et Microsoft ont tous déclaré qu’ils s’attendaient à ce que les nouvelles capacités de connexion soient disponibles sur toutes les plates-formes au cours de l’année prochaine, bien qu’aucune feuille de route plus spécifique n’ait été annoncée. Bien que le complot visant à tuer le mot de passe soit en cours depuis des années, certains signes indiquent que, cette fois, il a peut-être finalement réussi.

Leave a Comment