IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple, Google et Microsoft ont annoncé leur intention de supprimer les mots de passe et simplifier les connexions,
Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Le , par Stéphane le calme

33PARTAGES

8  1 
À l'occasion de la Journée mondiale du mot de passe qui s'est mardi 5 mai, les grandes enseignes technologiques Google, Apple et Microsoft ont annoncé vouloir bientôt supprimer les mots de passe. Pour les utilisateurs, la connexion devrait être simplifiée sur tous les appareils, sites web et applications, indique Google dans un communiqué.

C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce du 5 mai étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :
  • Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
  • Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
  • En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.


Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Suite à cette annonce, les experts ont estimé que les changements devraient aider à vaincre de nombreux types d'attaques de phishing et à alléger le fardeau global des mots de passe pour les internautes, mais avertissent qu'un véritable avenir sans mot de passe peut encore prendre des années pour la plupart des sites Web.

Sampath Srinivas, directeur de l'authentification de sécurité chez Google et président de l'Alliance FIDO, a déclaré que dans le cadre du nouveau système, votre téléphone stockera un identifiant FIDO appelé passkey qui est utilisé pour déverrouiller votre compte en ligne.

« Le mot de passe rend la connexion beaucoup plus sécurisée, car il est basé sur la cryptographie à clé publique et n'est affiché sur votre compte en ligne que lorsque vous déverrouillez votre téléphone », a écrit Srinivas. « Pour vous connecter à un site Web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n'aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur ».

Comme l'alliance FIDO le rappelle, Apple, Google et Microsoft prennent déjà en charge ces normes sans mot de passe (par exemple, "Se connecter avec Google"), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalité sans mot de passe. Dans le cadre de ce nouveau système, les utilisateurs pourront accéder automatiquement à leur mot de passe sur plusieurs de leurs appareils - sans avoir à réinscrire chaque compte - et utiliser leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité.

Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a estimé que cette annonce est « de loin l'effort le plus prometteur pour résoudre le défi de l'authentification » : « La partie la plus importante de cette norme est qu'elle n'obligera pas les utilisateurs à acheter un nouvel appareil, mais à la place, ils pourront utiliser des appareils qu'ils possèdent déjà et qu'ils savent utiliser comme authentificateurs », s'est réjouit Ullrich.

Steve Bellovin, professeur d'informatique à l'Université de Columbia et l'un des premiers chercheurs et pionniers d'Internet, pense que cette initiative de suppression des mots de passe est une « énorme avancée » dans l'authentification, mais a déclaré qu'il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.

Bellovin et d'autres disent qu'un scénario potentiellement délicat dans ce nouveau schéma d'authentification sans mot de passe est ce qui se passe lorsque quelqu'un perd son appareil mobile ou que son téléphone tombe en panne et qu'il ne peut pas se souvenir de son mot de passe iCloud.

« Je m'inquiète pour les personnes qui n'ont pas les moyens d'acheter un appareil supplémentaire ou qui ne peuvent pas facilement remplacer un appareil cassé ou volé », a déclaré Bellovin. « Je m'inquiète de la récupération de mot de passe oublié pour les comptes cloud ».

Google indique que même si vous perdez votre téléphone, « vos clés d'accès seront synchronisées en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s'est arrêté ».

Apple et Microsoft ont également des solutions de sauvegarde dans le cloud dont les clients utilisant ces plateformes pourraient se servir pour récupérer à partir d'un appareil mobile perdu. Mais Bellovin a déclaré que beaucoup dépendait de la sécurité de l'administration de ces systèmes cloud : « Est-il facile d'ajouter la clé publique d'un autre appareil à un compte, sans autorisation ? » s'est demandé Bellovin. « Je pense que leurs protocoles rendent cela impossible, mais d'autres ne sont pas d'accord ».

Nicholas Weaver, maître de conférences au département d'informatique de l'Université de Californie à Berkeley, a déclaré que les sites Web devaient encore disposer d'un mécanisme de récupération pour le scénario « vous avez perdu votre téléphone et votre mot de passe », qu'il a décrit comme « un problème vraiment difficile à résoudre en toute sécurité et déjà l'une des plus grandes faiblesses de notre système actuel ». « Si vous oubliez le mot de passe et que vous perdez votre téléphone et que vous pouvez le récupérer, c'est une situation qui est une cible énorme pour les attaquants », a déclaré Weaver. « Si vous oubliez le mot de passe et que vous perdez votre téléphone et que vous NE POUVEZ PAS, eh bien, vous avez maintenant perdu votre jeton d'autorisation utilisé pour vous connecter. Il faudra que ce soit ce dernier. Apple a l'infrastructure en place pour le prendre en charge (iCloud keychain), mais il n'est pas clair si Google le fait ».

Même ainsi, a-t-il déclaré, l'approche globale de FIDO a été un excellent outil pour améliorer à la fois la sécurité et la convivialité.

« C'est un très, très grand pas en avant, et je suis ravi de voir cela », a déclaré Weaver. « Tirer parti de l'authentification forte du propriétaire du téléphone (si vous avez un mot de passe décent) est plutôt agréable. Et au moins pour l'iPhone, vous pouvez rendre cela robuste même pour les compromissions de téléphone, car c'est l'enclave sécurisée qui gérerait cela et l'enclave sécurisée ne fait pas confiance au système d'exploitation hôte ».

Les grandes enseignes de la technologie ont déclaré que les nouvelles fonctionnalités sans mot de passe seront activées sur les plateformes Apple, Google et Microsoft « au cours de l'année à venir ». Mais les experts ont déclaré qu'il faudra probablement encore plusieurs années aux sites Web avec de petits trafics pour adopter la technologie et abandonner complètement les mots de passe.

Des recherches récentes montrent que beaucoup trop de personnes réutilisent ou recyclent encore les mots de passe (modifiant légèrement le même mot de passe), ce qui présente un risque de prise de contrôle de compte lorsque ces informations d'identification sont finalement exposées lors d'une violation de données. Un rapport publié en mars par la société de cybersécurité SpyCloud a révélé que 64 % des utilisateurs réutilisaient les mots de passe pour plusieurs comptes et que 70 % des informations d'identification compromises lors de violations précédentes étaient toujours utilisées.

Sources : FIDO Alliance, Google

Et vous ?

Avez-vous déjà utilisé votre téléphone comme outil d'authentification ? Sur quel(s) site(s), application(s) ou appareil(s) ?
Que pensez-vous de cette façon de se connecter ?
Que pensez-vous de l'initiative de l'Alliance FIDO ?

Voir aussi

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET
Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform
Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS
CrowdSec dévoile "The Majority Report", son premier rapport sur l'état des lieux de la menace cyber, basé sur les données de la communauté d'utilisateurs de CrowdSec

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de 23JFK
Membre expert https://www.developpez.com
Le 09/05/2022 à 17:16
C'est donner beaucoup trop de pouvoir à une poignée d'acteurs économiques déjà bien envahissants et une solution pas assez nationale. D'autant plus qu'avec ce système et la coopération obligatoire des sociétés américaines avec les agences gouvernementales, ça va devenir open-bar pour des dérives d'hyper-surveillance/espionnage.
4  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 26/10/2022 à 15:58
Citation Envoyé par Sandra Coret Voir le message
Une fois que les clients existants se connectent à PayPal avec un navigateur sur le web de bureau ou mobile en utilisant leurs informations d'identification PayPal existantes, telles qu'un nom d'utilisateur et un mot de passe, ils auront la possibilité de "Créer un passkey."
Les clients seront alors invités à s'authentifier avec Apple Face ID ou Touch ID. Ensuite, la clé de passe sera automatiquement créée, et la prochaine fois que les clients PayPal se connecteront, ils n'auront plus besoin d'utiliser ou de gérer un mot de passe.
Chouette. Maintenant, un enfant autorisé sur le téléphone de papa ou de maman pourra faire des achats sans connaître le mot de passe du compte Paypal des parents...

Pour sécuriser une authentification, on peut rajouter un second facteur d'authentification, pas en retirer un... Une raison de plus de ne plus utiliser Paypal à la maison.
4  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 09/05/2022 à 15:04
OK, donc si je résume, mon téléphone remplace mon mot de passe, et j'ai un mot de passe de secours pour mon compte cloud -- au cas où.

Donc si je retourne le truc, en tant qu'attaquant, il y a toujours le mot de passe cloud qui est vulnérable.

Et en plus, à part Apple qui a un truc, les autres ne savent pas comment faire pour le cas où un utilisateur perdrait son téléphone et son mot de passe de compte cloud qu'il n'utilise jamais.

Mais c'est une avancée majeure ?

Et tout ceci ne prend pas en compte qu'une bonne partie des gens ne vérouillent pas du tout leur téléphone avec un code.
3  0 
Avatar de sanderbe
Membre éclairé https://www.developpez.com
Le 13/06/2022 à 11:33
Bonjour,

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Qu'on nage dans une situation utopique .

Comment fera t on dans les cas suivants :

Accéder à une machine quand il n'y a pas de réseau télécom ? Si on doit avoir un accès web pour ouvrir son PC ou smartphone ... et qu'il n'y a pas de réseau on ne peut donc pas utiliser son matériel ?
On se coupe un doigt .
On se blesse au visage .
Le / la conjoint(e) décède .

Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ?
Non

Dans quelle mesure ?
Il est impossible d'être à 100% dépendants de solutions passant par internet. Idem , on ne peut pas créer un système d'accès ou la perte d'un moyen d'accès condamne l'accès définitivement ...

La perte d'un bras ou d'une main et on ne peut plus donner son emprunte digitale ... Par exemple.

Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Les cas d'usages sont de mon point de vu en réalité bien limité (finance, banque , transaction financière, validation d'un achat ... )

Pour ouvrir outlook ou thunderbird en local sur ma machine ( a domicile ou en vacances par exemple) . S'il n'y a pas d'accès internet, ou de réseau je n'ai pas forcement l'envie d'attendre plusieurs un sms ou qu'une appli fonctionne.

Que pensez-vous des passkeys d'Apple ?
système trop risqué comme expliqué plus haut.

Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
Aucune, on crée encore un Nième besoin au lieu de passer par l'éducation. C'est de vendre une solution ou l'utilisateur devient totalement dépendant (au risque de le mettre dans situations totalement ubuesque comme exposé plus haut).

" Le réseau GSM et la fibre sont en panne ! Revenez demain pour utiliser et vous connecter à Excel ! "

Je caricature, c'est pour montrer l'absurdité de la chose en cas d'indispo du réseau télécom ...

Quelle alternative pour continuer de travailler en local ?
3  0 
Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 26/10/2022 à 18:33
Je refuse de dépendre d'un gadget ou d'une application pour être autorisé à accéder à mes comptes.

Vive les mots de passe !
3  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 26/10/2022 à 19:17
mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...
3  0 
Avatar de TotoParis
Membre éprouvé https://www.developpez.com
Le 07/06/2022 à 23:42
Mais n'est-ce pas un peu illusoire si on relit ceci : https://www.developpez.com/actu/3334...n-des-enfants/
2  0 
Avatar de smarties
Membre émérite https://www.developpez.com
Le 03/06/2022 à 16:35
Pour l'identification SSH, j'utilise la connexion via les clés depuis quelques temps.

Personnellement, je compte garder quand même une majorité de mots de passe et je les enregistre pour les sites peu sensibles (forum Développez par exemple)

J'ai de la double identification pour les plus sensibles
1  0 
Avatar de Hariom
Membre du Club https://www.developpez.com
Le 03/06/2022 à 16:45
Quand je vois qu'il est possible de prendre le contrôle et de récupérer l'ensemble des données juste avec un numéro de téléphone (remember Pegasus) je vois pas en quoi le soucis sera réglé
1  0 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 26/10/2022 à 21:16
Citation Envoyé par Aiekick Voir le message
mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...
Je vais lancer un prudent "ça dépend".
1) si on utilise un token sécurisé qui contient les mots de passe, ça peut être à la fois simple et sécurisé. c'est ce qu'ils semblent faire par voie logicielle. J'imagine d'après l'article qu'ils chiffrent les mots de passe avec des données biométriques, c'est mieux que laisser les gens utiliser des mots de passe bidons.
2) en théorie on n'a pas besoin de mots de passe longs, quelques caractères seulement suffiraient. Par ex, juste avec 6 caractères alphanumériques sans majuscules, on a une chance sur 2.10^9 de deviner un mot de passe tiré au hasard. Il suffirait "juste" que les essais soient limités, et que côté serveur les hashs soient stockés sur un périphérique "inviolable" qui répond vrai ou faux et compte les essais. C'est le principe du PIN des cartes à puces, personne ne s'offusque d'avoir 4 chiffres comme pass et c'est relativement inviolable.
1  0