Bientôt la fin des tracas des mots de passe ? Les géants des nouvelles technologies veulent en finir avec cette forme d’authentification qui est restée jusqu’à présent la plus courante sur Internet malgré ses faiblesses en termes de sécurité et la difficulté des internautes à maintenir à jour et différents les mots de passe complexes afin de ne pas être exposé à des fuites de données ou à un piratage.
Apple, Google et Microsoft entendent les remplacer par des “Password Keys”, un mode de connexion en ligne censé résoudre les problèmes de mot de passe. Les trois sociétés ont annoncé au printemps dernier qu’elles supporteraient progressivement cette norme commune au sein de leurs systèmes d’exploitation et navigateurs, pour permettre aux internautes de se connecter à leurs services en ligne préférés sans avoir à définir, mémoriser et gérer leur flotte habituelle de mots de passe.
Les trois géants s’appuient sur les travaux de l’alliance Fido (Fast IDentity Online ou Fast Online Identity), une association industrielle qui coordonne depuis 2012 le développement de nouvelles normes de connexion pour pallier la dépendance excessive à Internet. Respecter les mots de passe en préférant à la place. Formes locales d’authentification telles que l’authentification biométrique ou le dessin d’un schéma.
Comment fonctionnent les “clés”
Les “clés” correspondent en quelque sorte à des clés d’accès. Ils sont nécessairement liés à l’appareil principal de l’utilisateur. Lors de l’inscription à un service, site marchand ou application, ce dernier devra obligatoirement utiliser l’appareil lui appartenant car le processus d’authentification consiste à enregistrer localement une clé privée.
Concrètement, l’utilisateur devra commencer par définir sur son smartphone comment il souhaite s’identifier avec son “mot de passe”. ou à travers NIP à plusieurs chiffres ou motif à dessinerou par la biométrie, Empreinte digitale ou reconnaissance faciale. Ce processus sera ensuite utilisé pour se connecter aux services en ligne sans avoir à saisir de mot de passe. Les sites demanderont simplement aux utilisateurs s’ils souhaitent s’authentifier avec leur identifiant FIDO.
Lors de l’inscription à un service en ligne, Le smartphone crée deux clés cryptées uniques, spécifiques au service en question. La clé privée reste stockée sur l’appareil de l’utilisateur et la clé publique est partagée avec l’administrateur du service. A chaque connexion, le service vérifiera que les deux clés correspondent. mais La clé privée de l’utilisateur ne peut être utilisée que s’il l’a ouverte sur son appareil selon son code secret ou son empreinte biométrique. Ainsi, même en cas de fuite de données du côté de l’éditeur de l’application, les cybercriminels ne pourront pas profiter des clés publiques volées.
Un système similaire est déjà proposé par Apple avec son outil de reconnaissance faciale Face ID qui permet aux utilisateurs d’iPhone d’activer la numérisation faciale pour accéder à certains services et comptes en ligne. Le support du dispositif FIDO par les trois géants américains de la technologie devrait permettre de généraliser cette pratique à plus grande échelle pour faciliter les utilisateurs et renforcer la sécurité informatique.
Une fois qu’une “clé” a été définie, La clé privée comprend un trousseau qui stocke toutes les clés privées générées pour les différents services utilisés sur l’appareil de l’utilisateur. Ces clés peuvent également être stockées dans un espace de stockage en ligne sécurisé, iCloud d’Apple, OneDrive de Microsoft ou Google Drive, afin de les identifier sur les différents appareils utilisant le même compte ou de les retrouver en cas de perte de la clé. ‘appareil. Apple, Google et Microsoft insistent pour que les clés privées soient stockées dans un espace crypté qui ne peut être ouvert que par l’utilisateur.
Les “clés” sont encore loin d’être inclusives
S’ils portent des promesses, même les “clés” ont des limites. Ils ne sont pas encore compatibles d’un écosystème à l’autre et les utilisateurs peuvent avoir des difficultés à les renouveler s’ils changent leur appareil principal pour une marque concurrente.
La disposition des “touches” sera progressive. Apple a ouvert ses iPhones et ordinateurs à ce nouveau standard après son keynote de septembre. Google autorise les développeurs Android à utiliser des fonctionnalités de “mot de passe” depuis début décembre. Et Microsoft a récemment annoncé que son service Azure prendra bientôt en charge les connexions sans mot de passe. Les messages devraient se multiplier dans les prochaines semaines.
