IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple, Google et Microsoft ont annoncé leur intention de supprimer les mots de passe et simplifier les connexions,
Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Le , par Stéphane le calme
42 commentaires

102PARTAGES

8  1 
À l'occasion de la Journée mondiale du mot de passe qui s'est mardi 5 mai, les grandes enseignes technologiques Google, Apple et Microsoft ont annoncé vouloir bientôt supprimer les mots de passe. Pour les utilisateurs, la connexion devrait être simplifiée sur tous les appareils, sites web et applications, indique Google dans un communiqué.

C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce du 5 mai étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :
  • Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
  • Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
  • En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.


Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

Suite à cette annonce, les experts ont estimé que les changements devraient aider à vaincre de nombreux types d'attaques de phishing et à alléger le fardeau global des mots de passe pour les internautes, mais avertissent qu'un véritable avenir sans mot de passe peut encore prendre des années pour la plupart des sites Web.

Sampath Srinivas, directeur de l'authentification de sécurité chez Google et président de l'Alliance FIDO, a déclaré que dans le cadre du nouveau système, votre téléphone stockera un identifiant FIDO appelé passkey qui est utilisé pour déverrouiller votre compte en ligne.

« Le mot de passe rend la connexion beaucoup plus sécurisée, car il est basé sur la cryptographie à clé publique et n'est affiché sur votre compte en ligne que lorsque vous déverrouillez votre téléphone », a écrit Srinivas. « Pour vous connecter à un site Web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n'aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur ».

Comme l'alliance FIDO le rappelle, Apple, Google et Microsoft prennent déjà en charge ces normes sans mot de passe (par exemple, "Se connecter avec Google", mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalité sans mot de passe. Dans le cadre de ce nouveau système, les utilisateurs pourront accéder automatiquement à leur mot de passe sur plusieurs de leurs appareils - sans avoir à réinscrire chaque compte - et utiliser leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité.

Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a estimé que cette annonce est « de loin l'effort le plus prometteur pour résoudre le défi de l'authentification » : « La partie la plus importante de cette norme est qu'elle n'obligera pas les utilisateurs à acheter un nouvel appareil, mais à la place, ils pourront utiliser des appareils qu'ils possèdent déjà et qu'ils savent utiliser comme authentificateurs », s'est réjouit Ullrich.

Steve Bellovin, professeur d'informatique à l'Université de Columbia et l'un des premiers chercheurs et pionniers d'Internet, pense que cette initiative de suppression des mots de passe est une « énorme avancée » dans l'authentification, mais a déclaré qu'il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.

Bellovin et d'autres disent qu'un scénario potentiellement délicat dans ce nouveau schéma d'authentification sans mot de passe est ce qui se passe lorsque quelqu'un perd son appareil mobile ou que son téléphone tombe en panne et qu'il ne peut pas se souvenir de son mot de passe iCloud.

« Je m'inquiète pour les personnes qui n'ont pas les moyens d'acheter un appareil supplémentaire ou qui ne peuvent pas facilement remplacer un appareil cassé ou volé », a déclaré Bellovin. « Je m'inquiète de la récupération de mot de passe oublié pour les comptes cloud ».

Google indique que même si vous perdez votre téléphone, « vos clés d'accès seront synchronisées en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s'est arrêté ».

Apple et Microsoft ont également des solutions de sauvegarde dans le cloud dont les clients utilisant ces plateformes pourraient se servir pour récupérer à partir d'un appareil mobile perdu. Mais Bellovin a déclaré que beaucoup dépendait de la sécurité de l'administration de ces systèmes cloud : « Est-il facile d'ajouter la clé publique d'un autre appareil à un compte, sans autorisation ? » s'est demandé Bellovin. « Je pense que leurs protocoles rendent cela impossible, mais d'autres ne sont pas d'accord ».

Nicholas Weaver, maître de conférences au département d'informatique de l'Université de Californie à Berkeley, a déclaré que les sites Web devaient encore disposer d'un mécanisme de récupération pour le scénario « vous avez perdu votre téléphone et votre mot de passe », qu'il a décrit comme « un problème vraiment difficile à résoudre en toute sécurité et déjà l'une des plus grandes faiblesses de notre système actuel ». « Si vous oubliez le mot de passe et que vous perdez votre téléphone et que vous pouvez le récupérer, c'est une situation qui est une cible énorme pour les attaquants », a déclaré Weaver. « Si vous oubliez le mot de passe et que vous perdez votre téléphone et que vous NE POUVEZ PAS, eh bien, vous avez maintenant perdu votre jeton d'autorisation utilisé pour vous connecter. Il faudra que ce soit ce dernier. Apple a l'infrastructure en place pour le prendre en charge (iCloud keychain), mais il n'est pas clair si Google le fait ».

Même ainsi, a-t-il déclaré, l'approche globale de FIDO a été un excellent outil pour améliorer à la fois la sécurité et la convivialité.

« C'est un très, très grand pas en avant, et je suis ravi de voir cela », a déclaré Weaver. « Tirer parti de l'authentification forte du propriétaire du téléphone (si vous avez un mot de passe décent) est plutôt agréable. Et au moins pour l'iPhone, vous pouvez rendre cela robuste même pour les compromissions de téléphone, car c'est l'enclave sécurisée qui gérerait cela et l'enclave sécurisée ne fait pas confiance au système d'exploitation hôte ».

Les grandes enseignes de la technologie ont déclaré que les nouvelles fonctionnalités sans mot de passe seront activées sur les plateformes Apple, Google et Microsoft « au cours de l'année à venir ». Mais les experts ont déclaré qu'il faudra probablement encore plusieurs années aux sites Web avec de petits trafics pour adopter la technologie et abandonner complètement les mots de passe.

Des recherches récentes montrent que beaucoup trop de personnes réutilisent ou recyclent encore les mots de passe (modifiant légèrement le même mot de passe), ce qui présente un risque de prise de contrôle de compte lorsque ces informations d'identification sont finalement exposées lors d'une violation de données. Un rapport publié en mars par la société de cybersécurité SpyCloud a révélé que 64 % des utilisateurs réutilisaient les mots de passe pour plusieurs comptes et que 70 % des informations d'identification compromises lors de violations précédentes étaient toujours utilisées.

Sources : FIDO Alliance, Google

Et vous ?

Avez-vous déjà utilisé votre téléphone comme outil d'authentification ? Sur quel(s) site(s), application(s) ou appareil(s) ?
Que pensez-vous de cette façon de se connecter ?
Que pensez-vous de l'initiative de l'Alliance FIDO ?

Voir aussi

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET
Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform
Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS
CrowdSec dévoile "The Majority Report", son premier rapport sur l'état des lieux de la menace cyber, basé sur les données de la communauté d'utilisateurs de CrowdSec

Une erreur dans cette actualité ? Signalez-nous-la !

42 commentaires
Commenter Signaler un problème
23JFK
Avatar de 23JFK
Membre expert https://www.developpez.com
Le 09/05/2022 à 17:16
C'est donner beaucoup trop de pouvoir à une poignée d'acteurs économiques déjà bien envahissants et une solution pas assez nationale. D'autant plus qu'avec ce système et la coopération obligatoire des sociétés américaines avec les agences gouvernementales, ça va devenir open-bar pour des dérives d'hyper-surveillance/espionnage.
4  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 26/10/2022 à 15:58
Citation Envoyé par Sandra Coret Voir le message

Une fois que les clients existants se connectent à PayPal avec un navigateur sur le web de bureau ou mobile en utilisant leurs informations d'identification PayPal existantes, telles qu'un nom d'utilisateur et un mot de passe, ils auront la possibilité de "Créer un passkey."
Les clients seront alors invités à s'authentifier avec Apple Face ID ou Touch ID. Ensuite, la clé de passe sera automatiquement créée, et la prochaine fois que les clients PayPal se connecteront, ils n'auront plus besoin d'utiliser ou de gérer un mot de passe.
Chouette. Maintenant, un enfant autorisé sur le téléphone de papa ou de maman pourra faire des achats sans connaître le mot de passe du compte Paypal des parents...

Pour sécuriser une authentification, on peut rajouter un second facteur d'authentification, pas en retirer un... Une raison de plus de ne plus utiliser Paypal à la maison.
4  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/10/2023 à 20:32
Citation Envoyé par JPLAROCHE Voir le message
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.
C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.
4  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 09/05/2022 à 15:04
OK, donc si je résume, mon téléphone remplace mon mot de passe, et j'ai un mot de passe de secours pour mon compte cloud -- au cas où.

Donc si je retourne le truc, en tant qu'attaquant, il y a toujours le mot de passe cloud qui est vulnérable.

Et en plus, à part Apple qui a un truc, les autres ne savent pas comment faire pour le cas où un utilisateur perdrait son téléphone et son mot de passe de compte cloud qu'il n'utilise jamais.

Mais c'est une avancée majeure ?

Et tout ceci ne prend pas en compte qu'une bonne partie des gens ne vérouillent pas du tout leur téléphone avec un code.
3  0 
Avatar de
https://www.developpez.com
Le 13/06/2022 à 11:33
Bonjour,

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Qu'on nage dans une situation utopique .

Comment fera t on dans les cas suivants :

Accéder à une machine quand il n'y a pas de réseau télécom ? Si on doit avoir un accès web pour ouvrir son PC ou smartphone ... et qu'il n'y a pas de réseau on ne peut donc pas utiliser son matériel ?
On se coupe un doigt .
On se blesse au visage .
Le / la conjoint(e) décède .

Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ?
Non

Dans quelle mesure ?
Il est impossible d'être à 100% dépendants de solutions passant par internet. Idem , on ne peut pas créer un système d'accès ou la perte d'un moyen d'accès condamne l'accès définitivement ...

La perte d'un bras ou d'une main et on ne peut plus donner son emprunte digitale ... Par exemple.

Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Les cas d'usages sont de mon point de vu en réalité bien limité (finance, banque , transaction financière, validation d'un achat ... )

Pour ouvrir outlook ou thunderbird en local sur ma machine ( a domicile ou en vacances par exemple) . S'il n'y a pas d'accès internet, ou de réseau je n'ai pas forcement l'envie d'attendre plusieurs un sms ou qu'une appli fonctionne.

Que pensez-vous des passkeys d'Apple ?
système trop risqué comme expliqué plus haut.

Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
Aucune, on crée encore un Nième besoin au lieu de passer par l'éducation. C'est de vendre une solution ou l'utilisateur devient totalement dépendant (au risque de le mettre dans situations totalement ubuesque comme exposé plus haut).

" Le réseau GSM et la fibre sont en panne ! Revenez demain pour utiliser et vous connecter à Excel ! "

Je caricature, c'est pour montrer l'absurdité de la chose en cas d'indispo du réseau télécom ...

Quelle alternative pour continuer de travailler en local ?
3  0 
Kulvar
Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 26/10/2022 à 18:33
Je refuse de dépendre d'un gadget ou d'une application pour être autorisé à accéder à mes comptes.

Vive les mots de passe !
3  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 26/10/2022 à 19:17
mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...
3  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 11/10/2023 à 22:55
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
3  0 
TotoParis
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 07/06/2022 à 23:42
Mais n'est-ce pas un peu illusoire si on relit ceci : https://www.developpez.com/actu/3334...n-des-enfants/
2  0 
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 03/06/2022 à 16:35
Pour l'identification SSH, j'utilise la connexion via les clés depuis quelques temps.

Personnellement, je compte garder quand même une majorité de mots de passe et je les enregistre pour les sites peu sensibles (forum Développez par exemple)

J'ai de la double identification pour les plus sensibles
1  0 
Commenter Signaler un problème