Apple, Google et Microsoft ont annoncé leur intention de supprimer les mots de passe et simplifier les connexions,

Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

À l'occasion de la Journée mondiale du mot de passe qui s'est mardi 5 mai, les grandes enseignes technologiques Google, Apple et Microsoft ont annoncé vouloir bientôt supprimer les mots de passe. Pour les utilisateurs, la connexion devrait être simplifiée sur tous les appareils, sites web et applications, indique Google dans un communiqué.

C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce du 5 mai étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :

• Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
• Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
• En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.


Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Suite à cette annonce, les experts ont estimé que les changements devraient aider à vaincre de nombreux types d'attaques de phishing et à alléger le fardeau global des mots de passe pour les internautes, mais avertissent qu'un véritable avenir sans mot de passe peut encore prendre des années pour la plupart des sites Web.

Sampath Srinivas, directeur de...