IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un grand pari pour éliminer le besoin de mots de passe dans le monde,
La FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Le , par Bruno
52 commentaires

246PARTAGES

6  0 
Après dix ans de travail sur la question d’élimination des mots de passe dans le monde, l'Alliance FIDO, une association industrielle qui travaille spécifiquement sur l'authentification sécurisée, pense avoir enfin identifié la pièce manquante du puzzle. Jeudi, l'organisation a publié un livre blanc qui expose la vision de la FIDO pour résoudre les problèmes d'utilisabilité qui ont entravé les fonctions sans mot de passe et, apparemment, les ont empêchées d'être largement adoptées.

Les membres de la FIDO tels qu'Intel et Qualcomm, de développeurs de plateformes de premier plan tels qu'Amazon et Meta, d'institutions financières telles qu'American Express et Bank of America, ainsi que des développeurs des principaux systèmes d'exploitation Google, Microsoft et Apple ont collaboré à la rédaction de ce livre blanc. Le document est conceptuel et non technique, mais après des années d'investissement pour intégrer les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS et d'autres systèmes, tout repose désormais sur le succès de cette nouvelle étape.

La figure ci-dessous résume l'idée d'identifiants FIDO multi-appareils (avec des clés liées à l'appareil) et la manière dont ils diffèrent des identifiants FIDO traditionnels.


« La clé du succès pour la FIDO est d'être facilement disponible, nous devons être aussi omniprésents que les mots de passe », explique Andrew Shikiar, directeur exécutif de l'Alliance FIDO. « Les mots de passe font partie de l'ADN du Web lui-même, et nous essayons de les supplanter. Ne pas utiliser de mot de passe devrait être plus facile que d'utiliser un mot de passe. »

Dans la pratique, cependant, même les systèmes sans mot de passe les plus transparents ne sont pas tout à fait au point. Une partie du défi réside simplement dans l'énorme inertie que les mots de passe ont accumulée. Les mots de passe sont difficiles à utiliser et à gérer, ce qui incite les gens à prendre des raccourcis, comme les réutiliser sur plusieurs comptes, et crée des problèmes de sécurité à chaque fois. Il s'est avéré difficile d'informer les consommateurs sur les alternatives sans mot de passe et de les mettre à l'aise avec ce changement.

Mais au-delà de la simple acclimatation, la FIDO cherche à comprendre ce qui rend les systèmes sans mot de passe difficiles à gérer. Le groupe a conclu que tout se résume à la procédure de changement ou d'ajout de dispositifs. Si la procédure de configuration d'un nouveau téléphone, par exemple, est trop compliquée et qu'il n'y a pas de moyen simple de se connecter à toutes vos applications et à tous vos comptes - ou si vous devez revenir aux mots de passe pour rétablir votre propriété sur ces comptes - la plupart des utilisateurs concluront que c'est trop compliqué de changer le statu quo.

La norme FIDO sans mot de passe s'appuie déjà sur les scanners biométriques d'un appareil (ou un code PIN principal que l’utilisateur sélectionne) pour s’authentifier sans qu'aucune de ses données ne transite par Internet vers un serveur Web pour validation. Le concept principal qui, selon la FIDO, résoudra finalement le problème des nouveaux appareils est la mise en œuvre par les systèmes d'exploitation d'un gestionnaire de « certificats FIDO », qui est quelque peu similaire à un gestionnaire de mots de passe intégré. Au lieu de stocker littéralement les mots de passe, ce mécanisme stockera des clés cryptographiques qui peuvent être synchronisées entre les appareils et sont protégées par le verrouillage biométrique ou par code d'accès de l’appareil.

L'Alliance FIDO et le groupe de travail WebAuthn du W3C proposent de combler ces lacunes dans une nouvelle version ("Niveau 3") de la spécification WebAuthn. Deux avancées proposées en particulier méritent d'être mentionnées :

[LIST][*]Utiliser son téléphone comme authentificateur d'itinérance : les utilisateurs finaux disposent généralement déjà d'un smartphone ;
La quasi-totalité des mécanismes d'authentification à deux facteurs de l'espace grand public actuels utilisent déjà le smartphone de l'utilisateur. Le problème est qu'ils le font d'une manière qui peut être piratée : Il est possible de saisir par inadvertance un OTP sur le site d'un cybercriminel, ou il est possible d’approuver une demande de connexion sur son smartphone sans se rendre compte que le navigateur est en train d'utiliser un OTP.

Les ajouts proposés aux spécifications de la FIDO/WebAuthn définissent un protocole qui utilise le Bluetooth pour communiquer entre le téléphone de l'utilisateur (qui devient l'authentificateur FIDO) et le dispositif à partir duquel l'utilisateur tente de s'authentifier. Le Bluetooth nécessite une proximité physique, ce...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

52 commentaires
Commenter Signaler un problème
alexvb6
Avatar de alexvb6
Membre régulier https://www.developpez.com
Le 26/03/2022 à 6:53
C'est clair qu'on va tous s'empresser de sauter sur le truc : imaginez un monde où s'em**rde à avoir sur soi un dispositif, qui ne marchera QUE quand y'a du réseau, ou de la batterie, ou du Bluetooth, et QUE avec des appareils/logiciels conçus pour gérer cette norme, qui sera évolutive pendant 15 ans et mal implémentée car faut baisser les coûts des IOT, au même titre que le WIFI (je me souviens du WIFI 802.11 B de 2004... c'était une galère sans nom pour rejoindre un réseau, même à 10cm du routeur).

Au final, le code informatique en AVAL des validations de hashs/clefs et autres secrets reste le même : un test qui renvoie une valeur booléenne.
Du coup, un peu de craquage dans un éditeur HEXA permettra TOUJOURS de faire foirer "le beau système".

On retrouve ainsi la force des booléens :

Code : Sélectionner tout 
1
2
3
4
5
6
if (superLibrairieFIDO.fonctionAuthentification4096BitsQuantiquesDeMesCouilles = True) {
    userLogged = true;
}else if (JeSaisFaireDeLhexaEtDuCoupMemeSiCestFalseBenCaMarcheAussi = True) {
    userLogged = true;
}
Merci les gars, mais on se passera de votre machin.
On est pas des chiens, on préfère manger autre chose que du FIDO.
6  0 
23JFK
Avatar de 23JFK
Inactif https://www.developpez.com
Le 06/05/2022 à 14:04
... ou comment remplacer des mots-de-passe fixes par des mots-de-passe tournants tout en obtenant l'identité civile de l'utilisateur via son numéro de téléphone et donc une valorisation de sa base de donnée utilisateur à dessein de profilage.

Cette pseudo avancée cache des problèmes bien plus lourds et difficiles à régler pour les personnes lambda que la simple réinitialisation d'un mot-de-passe en cas de panne, ou de vol, ou de perte, ou de changement d'appareil et/ou de numéro de téléphone ; sans compter les anciens numéros réaffectés qui enverront des demandes d'authentifications à la mauvaise personne...

Conclusion: Le mot-de-passe est un horizon indépassable en matière de sécurité et de relatif anonymat, il n'appartient qu'aux utilisateurs de ne pas choisir des mdp ridiculement faciles à cracker.
7  1 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 22/03/2022 à 15:07
Bonjour,

Donc tant que je suis dans un écosystème donné (Google, Apple, Meta, Amazon, Microsoft), je peux faire une confiance aveugle à cette entreprise, et les mécanismes de changement de hardware et/ou de changement seront simples. Mais ces personnes ne pensent pas à uniformiser leur solution ??? Sérieusement ??? Et ils espèrent que cette solution sera adoptée ?

Google a déjà publié des articles du genre "nous avons trouvés comment se passer du mot de passe", mais jusqu'ici il n'en est rien. Je ne vois pas cette organisation être plus avancée.
5  0 
Arya Nawel
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 06/05/2022 à 10:36
Et ca se passe comment si tas pas de telephone?
6  1 
megs
Avatar de megs
Membre régulier https://www.developpez.com
Le 28/03/2022 à 8:56
De bien grands mots pour dire qu'ils proposent de vendre des clés et certificats aux utilisateurs et aux entreprises afin de remplacer les mots de passe. bonne nouvelle pour les pirates. y a plus qu'a investir leurs systèmes chopper les certificats racines en attendant qu'ils prennent le pouvoir sur l'authentification. On nous prends vraiment pour des cons... Un moyen de plus pour un tiers d'investir vos affaires personnelles sans votre avis. imaginez que du jour au lendemain vos clés ne soient plus accessible ou bloqués par le prestataire par ce que vous n'avez plus assez d'argent pour payer le service, bha vous perdez l'acces a toute votre vie ... faites travailler vos neurones...
4  0 
23JFK
Avatar de 23JFK
Inactif https://www.developpez.com
Le 09/05/2022 à 17:16
C'est donner beaucoup trop de pouvoir à une poignée d'acteurs économiques déjà bien envahissants et une solution pas assez nationale. D'autant plus qu'avec ce système et la coopération obligatoire des sociétés américaines avec les agences gouvernementales, ça va devenir open-bar pour des dérives d'hyper-surveillance/espionnage.
4  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 26/10/2022 à 15:58
Citation Envoyé par Sandra Coret Voir le message

Une fois que les clients existants se connectent à PayPal avec un navigateur sur le web de bureau ou mobile en utilisant leurs informations d'identification PayPal existantes, telles qu'un nom d'utilisateur et un mot de passe, ils auront la possibilité de "Créer un passkey."
Les clients seront alors invités à s'authentifier avec Apple Face ID ou Touch ID. Ensuite, la clé de passe sera automatiquement créée, et la prochaine fois que les clients PayPal se connecteront, ils n'auront plus besoin d'utiliser ou de gérer un mot de passe.
Chouette. Maintenant, un enfant autorisé sur le téléphone de papa ou de maman pourra faire des achats sans connaître le mot de passe du compte Paypal des parents...

Pour sécuriser une authentification, on peut rajouter un second facteur d'authentification, pas en retirer un... Une raison de plus de ne plus utiliser Paypal à la maison.
4  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/10/2023 à 20:32
Citation Envoyé par JPLAROCHE Voir le message
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.
C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.
4  0 
Avatar de
https://www.developpez.com
Le 21/03/2022 à 23:11
Bonsoir,

Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Que pensez-vous de cette initiative ?
On "pense toujours" avoir trouvé la solution ... Même un code temporaire reste un mot de passe d'une façon ou d'une autre. On se heurte aussi à une autre réalité . Pour se connecter à certains service l'usager n'a pas spécialement envie d'avoir une artillerie de bidule sur lui ... Ou n'est pas en capacité de les avoirs.

Qui voudrait par exemple tout le temps saisir un code d'un téléphone ou d'un token pour utiliser le client logiciel Outlook ou Thunderbird ?

Peut-on parler de révolution pour la sécurité sur le web ?
Non car le risque de faille existera toujours .
3  0 
Avatar de
https://www.developpez.com
Le 07/05/2022 à 22:30
Bonsoir

Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la tech veulent déployer la norme "passkey"de FIDO dans l'année à venir

Que pensez-vous de cette initiative ?
Que le mot de passe classique a encore un bel avenir devant lui . Comme cité par mes voisins du dessus. Il y a de nombreux cas ou le fido pose problème ... Un peu comme demander une adresse mail à un vieux de 80 balais qui ouvre un compte en banque. ^^

Peut-on parler de révolution pour la sécurité sur le web ?
Non pas du tout.
3  0 
Commenter Signaler un problème