Tout propriétaire de compte Microsoft peut désormais supprimer complètement son mot de passe

Pour disposer d'une meilleure alternative de sécurité selon Microsoft

Microsoft rapproche Windows 10 d'un avenir sans mots de passe,
avec le déploiement de la certification FIDO2 de Windows Hello dans la prochaine mise à jour de Windows 10

Microsoft a très discrètement confirmé faire un pas de plus vers la mort des mots de passe Windows 10 cette semaine. Yogesh Mehta, responsable du groupe Crypto, Identity & Authentication de Microsoft, a annoncé : « Avec la certification FIDO2 de Windows Hello, Microsoft rapproche les 800 millions d'utilisateurs de Windows 10 d'un monde sans mots de passe ».

Dans l’industrie de la sécurité, nombreux sont les acteurs qui estiment que les mots de passe ont atteint leur « date d’expiration ». Par cela, il faut comprendre qu’ils pensent que le concept de mot de passe en tant que méthode d’authentification sécurisée est désormais obsolète. C’est pour cela par exemple que vous avez un acteur comme Google qui recommande l’authentification multifacteur ou, plus récemment encore, l’utilisation d’une clé physique de sécurité.

Et Mehta de déclarer :

« Personne n'aime les mots de passe (en dehors des hackers). Les gens n'aiment pas les mots de passe, car nous devons nous en souvenir. Par conséquent, nous créons souvent des mots de passe faciles à deviner, ce qui en fait la première cible des pirates informatiques tentant d’accéder à votre ordinateur ou à votre réseau au travail.

« Depuis 2015, Microsoft crée un chemin vers un monde sécurisé et sans mot de passe avec Windows Hello, permettant aux utilisateurs de Windows 10 de se connecter partout sur leurs appareils à l'aide de la biométrie ou d'un code PIN et de laisser le monde des mots de passe. Poursuivant sur cette lancée, Microsoft a annoncé en novembre 2018 la possibilité d'utiliser Windows Hello ou une clé de sécurité FIDO2 pour se connecter en toute sécurité à votre compte Microsoft sur le Web, sans mot de passe! ».

Mehta a confirmé qu'avec la publication de la prochaine mise à jour de mai de Windows 10, Windows Hello devient un authentificateur entièrement certifié FIDO2. Pour mémoire, l'Alliance FIDO (qui signifie Fast Identity Online) est un organisme du secteur ayant pour mission de résoudre le problème des mots de passe en utilisant des normes ouvertes pour piloter des technologies capables de les remplacer en toute sécurité. FIDO2 est un ensemble de telles normes qui permettent des connexions sécurisées par une sécurité cryptographique renforcée. La certification en question s’applique à l’utilisation de Windows Hello pour les utilisateurs Windows 10.

« Aujourd'hui, l'alliance FIDO a annoncé que, avec la prochaine version de Windows 10, version 1903, Windows Hello est un authentificateur certifié FIDO2. FIDO2 permet aux développeurs d'exploiter des protocoles et des périphériques standard pour fournir aux utilisateurs une authentification facile aux services en ligne, dans les environnements de bureau et mobiles. Microsoft est un membre important de l'Alliance FIDO et collabore étroitement avec les membres de l'alliance pour permettre la connexion sans mot de passe pour les sites Web prenant en charge l'authentification FIDO2. Ensemble, ces normes permettent aux utilisateurs de se connecter plus facilement et en toute sécurité aux services en ligne à l'aide de clés de sécurité conformes à FIDO2 et de Windows Hello ».


Selon lui, « Chaque mois, plus de 800 millions de personnes utilisent un compte Microsoft pour accéder à la messagerie électronique, jouer à un jeu ou accéder à des fichiers dans le cloud. C’est pourquoi, outre la certification FIDO2, Windows 10, version 1903, permettra aux utilisateurs de la dernière version de Mozilla Firefox de se connecter à leur compte Microsoft ou à d’autres sites Web prenant en charge FIDO. Les navigateurs à base de chrome, y compris Microsoft Edge sur Chromium, prendront bientôt en charge la même fonctionnalité ».

Microsoft encourage les entreprises et les développeurs de logiciels à adopter une stratégie visant à créer un avenir sans mot de passe et à le commencer immédiatement par la prise en charge de solutions de remplacement du mot de passe, telles que Windows Hello, pour leurs utilisateurs.

« Pour prendre en charge l'authentification sécurisée sur les PC Windows 10 partagés, tels que ceux utilisés par Firstline Workers, les clés de sécurité compatibles Microsoft compatibles FIDO2 constituent une solution portable permettant aux utilisateurs de se connecter à Windows 10 sans mot de passe. Pour en savoir plus sur ce scénario, lisez les clés de sécurité Windows Hello et FIDO2 qui permettent une authentification simple et sécurisée des périphériques partagés ».

Enfin, il a expliqué que Microsoft Authenticator peut permettre aux utilisateurs d'authentifier leurs comptes Microsoft à l'aide de leurs téléphones mobiles. Construit sur une technologie sécurisée similaire à Windows Hello, Microsoft Authenticator regroupe l'authentification dans une application simple sur votre appareil mobile.

Andrew Shikiar, le directeur du marketing de l'Alliance FIDO, a déclaré que « Microsoft a été l'un des principaux défenseurs de la mission de l'Alliance FIDO qui consiste à faire évoluer le monde au-delà des mots de passe ». En effet, Microsoft a commencé à déployer des efforts pour supprimer progressivement les mots de passe depuis l’introduction en 2015 de Windows Hello, qui permet aux utilisateurs de Windows 10 de se connecter à des appareils utilisant la reconnaissance faciale. L’arrivée de la certification FIDO2 pour Windows 10 signifie-t-elle que les mots de passe sont maintenant morts ? Pas vraiment. La mort du mot de passe de Windows 10 pourrait encore être reportée à très longtemps. C’est d’ailleurs ce que reconnaît Mehta lorsqu’il déclare « Nous encourageons les entreprises et les développeurs de logiciels à adopter une stratégie visant à créer un avenir sans mot de passe et à commencer dès aujourd'hui en prenant en charge des mots de passe alternatifs tels que Windows Hello ». D’ailleurs, pour arriver dans cet avenir, Mehta indique qu’il faut « des solutions interopérables fonctionnant sur toutes les plateformes du secteur et les navigateurs ».

Jake Moore, spécialiste de la sécurité chez ESET, se réjouit de cette nouvelle. « Compte tenu du nombre de violations de données dont nous avons été témoins au cours des derniers mois, il est bon de voir les entreprises prendre les mesures nécessaires pour protéger leurs utilisateurs ». Cependant, il prévient que les mots de passe « resteront une caractéristique à l'arrière-plan » et que les utilisateurs doivent « adopter une meilleure gestion des mots de passe et une authentification multifactorielle pour protéger leurs données au cas où leurs informations se retrouveraient entre de mauvaises mains ».

Mehta conclu en disant que Windows Hello, les clés de sécurité FIDO2 et l’application mobile Microsoft Authenticator sont d’excellentes alternatives aux mots de passe. « Nous continuerons d’investir dans cet espace et avons hâte de partager les futures mises à jour ». En attendant, si vous êtes développeur, vous pouvez aider en prenant en charge l’authentification FIDO2 dans vos services Web et applications actuels.

Source : Microsoft

Et vous ?

Que pensez-vous de l'approche passwordless ?
En tant que développeur, allez-vous songer à prendre en charge l'authentification FIDO2 dans vos services Web et applications actuelles ?
Selon vous, Cette approche a-t-elle des chances de convaincre un public qui est déjà habitué aux mots de passe ?
Si oui, pourquoi ? Si non, quelles pourraient en être les causes ?