Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?

La FIDO Alliance tente de rendre les mots de passe obsolètes

La protection par mot de passe a été l'aspect fondamental de la cybersécurité en ligne pendant des décennies, mais l'évolution rapide des techniques de piratage et des logiciels malveillants a nécessité l'arrivée d'une nouvelle façon de faire : l'authentification à plusieurs facteurs. De nombreuses entreprises sont passées à ce mode d'authentification en raison du fait que c'est le genre de chose qui pourrait potentiellement finir par créer une couche de défense supplémentaire, et le résultat final naturel de cette progression semble être un monde entièrement dépourvu de mots de passe.

La FIDO (pour Fast IDentity Online), une alliance de plusieurs entreprises (parmi lesquelles de Google, Apple, Meta et Microsoft) qui existe depuis 2013 tente d'accélérer l'obsolescence des mots de passe. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce de la FIDO étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :

• Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les...