Biometrie-online.net | Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Voix - Réseau veineux - Signature dynamique - Frappe au clavier ...
Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Détails

Google, Apple et Microsoft proposent d'en finir avec les mots de passe d’ici douze mois

Les smartphones conserveront ces identifiants codés, baptisés « passkey » qu’il s’agisse d’une empreinte digitale ou d’un code de plusieurs chiffres.

Une empreinte digitale, par exemple, pourrait servir de clé d'accès pour s'identifier. (Illustration) AFP/Gleen CHAPMAN.Une empreinte digitale, par exemple, pourrait servir de clé d'accès pour s'identifier. (Illustration) AFP/Gleen CHAPMAN.

Selon un rapport du spécialiste de la cybersécurité Verizon, dans 80 % des cas, le piratage d'un compte provient d'un mot de passe faible et facile à trouver. Il y a bien les gestionnaires de mots de passe qui permettent de renforcer la sécurité en mémorisant des mots de passe complexes, mais impossibles à retenir.

C’était ce jeudi la journée internationale du mot passe (#WorldPasswordDay), vous l’ignoriez sans doute. Mais ce 5 mai, Google, Apple et Microsoft ont annoncé la fin d’un calvaire. D’ici un an, un système commun devrait permettre de s’authentifier sans avoir à mémoriser des séries de signes cabalistiques pour accéder à ses courriels, comptes bancaires ou ouvrir des appli. Depuis 2012 des acteurs du secteur planchent sur le sujet.

Les trois géants de la high-tech ont uni leurs forces pour intégrer ensemble une identification sécurisée et sans mot de passe que ce soit sur les mobiles, les ordinateurs ou via les navigateurs. Ils vont faire en sorte que leurs produits prennent en charge la norme de connexion sans mot de passe de la Fido Alliance (Fast IDentity Online) et du World Wide Web Consortium. Empreinte digitale, scan du visage, ou code PIN seront les nouveaux sésames universels pour déverrouiller votre appareil et retrouver vos données.

« Avec la nouvelle fonctionnalité, les consommateurs pourront s’authentifier sur les sites internet et les applications mobiles facilement, sans mot de passe et en sécurité, quel que soit l’appareil ou le système d’exploitation », a résumé l’association FIDO Alliance (Fast Identity Online Alliance) dans un communiqué.

L’objectif, explique Google, est que les utilisateurs puissent se connecter à un service en ligne simplement en débloquant leur smartphone (via leur méthode habituelle : empreinte digitale, reconnaissance faciale, code de plusieurs chiffres...) Concrètement, un site web pourra demander à l’internaute s’il veut « s’authentifier avec ses identifiants FIDO ».

Ce message apparaîtra simultanément sur son téléphone, où l’utilisateur aura juste besoin d’accepter, en déverrouillant son écran, pour être connecté au site. Les smartphones conserveront ces identifiants codés, baptisés « passkey » (clef d’accès).

Les mots de passe engendrent piratages et vols d’identité

Les trois géants des technologies se sont engagés à mettre en place ce nouveau système dans les douze mois, sur Android et iOS (les systèmes d’exploitation mobiles de Google et Apple), sur Chrome, Edge et Safari (les navigateurs de Google, Microsoft et Apple) et sur Windows et macOS (les systèmes d’exploitation de Microsoft et Apple pour les ordinateurs).

« L’authentification avec des mots de passe uniquement est l’un des problèmes de sécurité les plus importants sur le web », note Apple dans son communiqué. Incapables de gérer autant de mots de passe différents, les individus réutilisent souvent le même, ce qui facilite les piratages de comptes, fuites de données et vols d’identité.

« La nouvelle approche protégera du hameçonnage et la connexion à un service sera radicalement plus sûre que les mots de passe et d’autres technologies comme les codes uniques envoyés par SMS », ajoute le fabricant de l’iPhone. Du côté de la Pomme, le plus probable serait une intégration dans iOS 16 et macOS 13, selon MacGeneration.

Alex Simons, vice-président de Microsoft, a évoqué dans le communiqué de FIDO Alliance une « transition complète vers un monde sans mot de passe » où « les consommateurs prendraient l’habitude de s’en passer au quotidien ».

Une alliance de circonstance pour renforcer la sécurité

Le système sera d'autant plus pratique, que si vous changez de smartphone, par exemple, vous n'aurez pas besoin de vous connecter la première fois en utilisant votre mot de passe et identifiant. Cela fait déjà un moment que les trois sociétés ont intégré les composants pour prendre en charge la norme Fido2 mais, pour le moment, il reste toujours obligatoire de se connecter aux comptes au moins une fois en saisissant des identifiants.

Avec le nouveau système et son identifiant unique activé par la biométrie, par exemple, il sera désormais très difficile pour les pirates de s'accaparer un compte d'utilisateur. Selon le trio, la mise en œuvre de cette norme sans mot de passe sera appliquée d'ici un an et fonctionnera de façon indifférente sur macOS et son navigateur Safari, Androïd avec Chrome ou Windows et Edge.

Dépassés, les mots de passe vont disparaître

Derrière le nom WebAuthn, se cache un nouveau standard qui propose d'abandonner les mots de passe au profit de la biométrie ou de clés USB sécurisées.

Article de Fabrice Auclert, publié le 

Le W3C (Word Wide Web Consortium), l'organisme principal qui gère les standards du web, et l'Alliance Fido (Fast IDentity Online), une association d'entreprises qui vise à sécuriser le web, viennent d'annoncer l’adoption de la spécification Web Authentification, aussi connue sous le nom WebAuthn, qui permettra de s'affranchir des mots de passe sur les sites web.

Ces deux organismes se sont associés pour résoudre un problème de sécurité majeur : les mots de passe. Les internautes utilisent de nombreux comptes pour accéder aux différents sites web, chacun ayant son propre mot de passe. Devant la difficulté de créer autant de mots de passe différents et à les retenir, il arrive souvent qu'ils laissent ceux par défaut ou qu'ils optent pour des mots de passe faciles à retenir, comme « 1234 », ou bien encore, qu'ils utilisent le même partout. Ils sont alors vulnérables à des attaques simples, ou peuvent être récupérés en infectant l'ordinateur de la victime. Si la personne a utilisé les mêmes codes pour plusieurs comptes, ils peuvent être tous compromis.

Une adoption anticipée

Il existe quelques solutions pour renforcer la sécurité, comme les gestionnaires de mots de passe ou l'authentification multifacteurs avec, par exemple un code de confirmation par SMS, mais cela ne suffit pas à long terme. Le nouveau protocole Fido2 apporte une sécurité renforcée, tout en simplifiant l'utilisation grâce à l'élimination des mots de passe. Concrètement, il est composé de deux éléments. Tout d'abord, une authentification, grâce à un système biométrique (comme un lecteur d'empreintes ou une caméra), mais également un appareil mobile ou une clé USB de sécurité Fido. Le second élément est l'API WebAuthn qui permet, notamment, aux navigateurs et sites web d'échanger de manière sécurisée afin de s'identifier.

Les navigateurs principaux avaient déjà anticipé l'adoption du WebAuthn. Mozilla a intégré l'API dans la version 60 de son navigateur Firefox, sorti en mai 2018. Google emboîtait le pas à peine quelques jours plus tard avec la version 67 de Chrome, puis Microsoft a suivi avec son navigateur Edge, et Apple avec Safari. Ce nouveau standard est pris en charge sur Windows 10 et Android.

Un système plus pratique et une sécurité renforcée

La standardisation du WebAuthn, qui met donc le système Fido2 à disposition de tous les sites web, apporte plusieurs avantages. Les identifiants sont uniques pour chaque site web, et aucune information secrète n'est échangée. Il n'envoie ni mot de passe ni données biométriques. Il n'est, par conséquent, pas possible de les obtenir par hameçonnage, et même dans l'éventualité qu'un compte soit compromis, cela ne donnerait aucun accès aux autres comptes de la victime.

De plus, l'inscription crée un identifiant unique au site web. Cela améliore le respect de la vie privée, puisqu'il est alors impossible de suivre un utilisateur d'un site à l'autre. Enfin, le processus est très simple à mettre en œuvre et rapide à utiliser. Les sites doivent faire appel à l'API WebAuthn qui est donc standardisé. Les utilisateurs n'ont pas à saisir leur identifiant et mot de passe, il leur suffit d'activer leur système d'identification, comme poser leur doigt sur le lecteur d’empreintes.

Source : https://www.leparisien.fr - https://www.futura-sciences.com