Pomme, Google et Microsoft ont annoncé cette semaine qu’ils prendront bientôt en charge une approche d’authentification qui évite complètement les mots de passe et oblige à la place les utilisateurs à simplement déverrouiller leurs smartphones pour se connecter à des sites Web ou à des services en ligne. Les experts disent que les changements devraient aider à vaincre de nombreux types d’attaques de phishing et à alléger le fardeau global des mots de passe pour les internautes, mais avertissent qu’un véritable avenir sans mot de passe peut encore prendre des années pour la plupart des sites Web.
Image : Blog.google
Les géants de la technologie font partie d’un effort mené par l’industrie pour remplacer les mots de passe, qui sont facilement oubliés, fréquemment volés par des programmes malveillants et de phishing, ou divulgués et vendus en ligne à la suite de violations de données d’entreprise.
Apple, Google et Microsoft sont parmi les contributeurs les plus actifs à une norme de connexion sans mot de passe élaborée par l’Alliance FIDO (“Fast Identity Online”) et le World Wide Web Consortium (W3C), des groupes qui ont travaillé avec des centaines de technologies. entreprises au cours de la dernière décennie pour développer une nouvelle norme de connexion qui fonctionne de la même manière sur plusieurs navigateurs et systèmes d’exploitation.
Selon l’Alliance FIDO, les utilisateurs pourront se connecter aux sites Web par la même action qu’ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils – y compris un code PIN d’appareil ou une biométrie telle qu’une empreinte digitale ou un scan du visage.
“Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d’accès à usage unique envoyés par SMS”, a écrit l’alliance le 5 mai.
Sampath Srinivasdirecteur de l’authentification de sécurité chez Google et président de l’Alliance FIDO, a déclaré que dans le cadre du nouveau système, votre téléphone stockera un identifiant FIDO appelé “passkey” qui est utilisé pour déverrouiller votre compte en ligne.
“Le mot de passe rend la connexion beaucoup plus sécurisée, car il est basé sur la cryptographie à clé publique et n’est affiché sur votre compte en ligne que lorsque vous déverrouillez votre téléphone”, a écrit Srinivas. Pour vous connecter à un site Web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n’aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur. ”
Comme ZDNet notes, Apple, Google et Microsoft prennent déjà en charge ces normes sans mot de passe (par exemple, “Se connecter avec Google”), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalité sans mot de passe. Dans le cadre de ce nouveau système, les utilisateurs pourront accéder automatiquement à leur mot de passe sur plusieurs de leurs appareils – sans avoir à réinscrire chaque compte – et utiliser leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité.
Johannes Ullrichdoyen de la recherche du SANS Technology Institute, a qualifié cette annonce de “de loin l’effort le plus prometteur pour résoudre le défi de l’authentification”.
“La partie la plus importante de cette norme est qu’elle n’obligera pas les utilisateurs à acheter un nouvel appareil, mais à la place, ils pourront utiliser des appareils qu’ils possèdent déjà et qu’ils savent utiliser comme authentificateurs”, a déclaré Ullrich.
Steve Belovinprofesseur d’informatique à l’Université de Columbia et l’un des premiers chercheurs et pionniers d’Internet, a qualifié l’effort sans mot de passe d ‘”énorme avancée” dans l’authentification, mais a déclaré qu’il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.
Bellovin et d’autres disent qu’un scénario potentiellement délicat dans ce nouveau schéma d’authentification sans mot de passe est ce qui se passe lorsque quelqu’un perd son appareil mobile ou que son téléphone tombe en panne et qu’il ne peut pas se souvenir de son mot de passe iCloud.
“Je m’inquiète pour les personnes qui n’ont pas les moyens d’acheter un appareil supplémentaire ou qui ne peuvent pas facilement remplacer un appareil cassé ou volé”, a déclaré Bellovin. “Je m’inquiète de la récupération du mot de passe oublié pour les comptes cloud.”
Google indique que même si vous perdez votre téléphone, “vos clés d’accès seront synchronisées en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s’est arrêté”.
Apple et Microsoft ont également des solutions de sauvegarde dans le cloud que les clients utilisant ces plates-formes pourraient utiliser pour récupérer à partir d’un appareil mobile perdu. Mais Bellovin a déclaré que beaucoup dépendait de la sécurité de l’administration de ces systèmes cloud.
“Est-il facile d’ajouter la clé publique d’un autre appareil à un compte, sans autorisation ?” se demandait Bellovin. “Je pense que leurs protocoles rendent cela impossible, mais d’autres ne sont pas d’accord.”
Nicolas Tisserandchargé de cours au département d’informatique de Université de Californie, Berkeleya déclaré que les sites Web doivent encore disposer d’un mécanisme de récupération pour le scénario “vous avez perdu votre téléphone et votre mot de passe”, qu’il a décrit comme “un problème vraiment difficile à résoudre en toute sécurité et déjà l’une des plus grandes faiblesses de notre système actuel”.
“Si vous oubliez le mot de passe et que vous perdez votre téléphone et que vous pouvez le récupérer, c’est maintenant une cible énorme pour les attaquants”, a déclaré Weaver dans un e-mail. “Si vous oubliez le mot de passe et perdez votre téléphone et que vous NE POUVEZ PAS, eh bien, vous avez maintenant perdu votre jeton d’autorisation utilisé pour vous connecter. Il va falloir que ce soit ce dernier. Apple a l’infrastructure en place pour le prendre en charge (porte-clés iCloud), mais on ne sait pas si Google le fait. »
Même ainsi, a-t-il déclaré, l’approche globale de FIDO a été un excellent outil pour améliorer à la fois la sécurité et la convivialité.
“C’est un très, très bon pas en avant, et je suis ravi de voir cela”, a déclaré Weaver. « Profiter de l’authentification forte du propriétaire du téléphone (si vous avez un mot de passe décent) est plutôt agréable. Et au moins pour l’iPhone, vous pouvez rendre cela robuste même pour compromettre le téléphone, car c’est l’enclave sécurisée qui gérerait cela et l’enclave sécurisée ne fait pas confiance au système d’exploitation hôte. »
Les géants de la technologie ont déclaré que les nouvelles fonctionnalités sans mot de passe seront activées sur les plates-formes Apple, Google et Microsoft “au cours de l’année à venir”. Mais les experts ont déclaré qu’il faudra probablement encore plusieurs années aux petites destinations Web pour adopter la technologie et abandonner complètement les mots de passe.
Des recherches récentes montrent que beaucoup trop de personnes réutilisent ou recyclent encore les mots de passe (modifiant légèrement le même mot de passe), ce qui présente un risque de prise de contrôle de compte lorsque ces informations d’identification sont finalement exposées lors d’une violation de données. Un rapport en mars d’une entreprise de cybersécurité SpyCloud a constaté que 64 % des utilisateurs réutilisent les mots de passe de plusieurs comptes et que 70 % des informations d’identification compromises lors de violations précédentes sont toujours utilisées.
Un livre blanc de mars 2022 sur l’approche FIDO est disponible ici (PDF). Une FAQ à ce sujet est ici.