IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon
Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Le , par Stéphane le calme
42 commentaires

0PARTAGES

8  0 
Apple a présenté ses passkeys à l'édition 2022 de la WWDC, une nouvelle norme de connexion biométrique qui pourrait enfin mettre un terme aux mots de passe pour de bon. Comme Apple l'explique : « les passkeys utilisent les informations d'identification de la clé publique iCloud Keychain, éliminant ainsi le besoin de mots de passe. Au lieu de cela, ils s'appuient sur une identification biométrique telle que Touch ID et Face ID dans iOS, ou sur une confirmation spécifique dans macOS pour générer et authentifier des comptes. En tant qu'authentificateur, votre appareil Apple génère une paire de clés publique-privée unique pour chaque compte qu'il crée sur un service. L'authentificateur conserve la clé privée et partage sa clé publique avec le serveur, appelé partie utilisatrice ».

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet.

De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues. Dans le cadre de l'édition 2020 de la journée du mot de passe,

Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.


Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.

Aussi, depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une autre alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

« Nous sommes censés créer des mots de passe complexes et uniques, les mémoriser et les modifier fréquemment, mais personne n'aime faire cela non plus. Dans un récent sondage sur Twitter de Microsoft, une personne sur cinq a déclaré qu'elle préférait accidentellement "répondre à tous" – ce qui peut être monumentalement embarrassant – plutôt que de réinitialiser un mot de passe(...).

« À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalité sera déployée dans les semaines à venir.

« Passez à une authentification sans mot de passe en quelques clics rapides ».

L'alternative d'Apple

Les passkeys sont basées sur l'API d'authentification Web (WebAuthn), une norme qui utilise la cryptographie à clé publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockées sur l'appareil plutôt que sur un serveur Web. Le remplacement du mot de passe numérique utilise Touch ID ou Face ID pour la vérification biométrique, ce qui signifie qu'au lieu d'avoir à saisir une longue chaîne de caractères, une application ou un site Web auquel vous vous connectez enverra une demande d'authentification à votre téléphone.

Au cours de sa démonstration WWDC de la technologie sans mot de passe, Apple a montré comment les clés d'accès sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un cryptage de bout en bout. Les utilisateurs pourront également se connecter à des sites Web et à des applications sur des appareils non Apple à l'aide d'un iPhone ou d'un iPad pour scanner un code QR et Touch ID ou Face ID pour s'authentifier.

« Parce qu'il suffit d'un simple clic pour se connecter, c'est à la fois plus facile, plus rapide et plus sécurisé que presque toutes les formes d'authentification courantes aujourd'hui », a déclaré Garrett Davidson, ingénieur Apple de l'équipe Authentication Experience,

Apple n'est pas seul dans ses efforts pour tuer le mot de passe. Le mois dernier, Google et Microsoft se sont associés à Apple pour étendre la prise en charge des connexions sans mot de passe sur les mobiles, les ordinateurs de bureau et les navigateurs. Ce nouvel engagement collectif a été salué par Jen Easterly, directrice de la U.S. Cybersecurity and Infrastructure Security Agency (CISA), qui à l'époque l'a qualifié de « type de pensée avant-gardiste qui, en fin de compte, assurera la sécurité des Américains en ligne ».

C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce du 5 mai étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :
  • Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
  • Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
  • En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.

Source : Apple

Et vous ?

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des passkeys d'Apple ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?

Une erreur dans cette actualité ? Signalez-nous-la !

42 commentaires
Commenter Signaler un problème
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 26/10/2022 à 15:58
Citation Envoyé par Sandra Coret Voir le message

Une fois que les clients existants se connectent à PayPal avec un navigateur sur le web de bureau ou mobile en utilisant leurs informations d'identification PayPal existantes, telles qu'un nom d'utilisateur et un mot de passe, ils auront la possibilité de "Créer un passkey."
Les clients seront alors invités à s'authentifier avec Apple Face ID ou Touch ID. Ensuite, la clé de passe sera automatiquement créée, et la prochaine fois que les clients PayPal se connecteront, ils n'auront plus besoin d'utiliser ou de gérer un mot de passe.
Chouette. Maintenant, un enfant autorisé sur le téléphone de papa ou de maman pourra faire des achats sans connaître le mot de passe du compte Paypal des parents...

Pour sécuriser une authentification, on peut rajouter un second facteur d'authentification, pas en retirer un... Une raison de plus de ne plus utiliser Paypal à la maison.
4  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/10/2023 à 20:32
Citation Envoyé par JPLAROCHE Voir le message
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.
C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.
4  0 
Avatar de
https://www.developpez.com
Le 13/06/2022 à 11:33
Bonjour,

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Qu'on nage dans une situation utopique .

Comment fera t on dans les cas suivants :

Accéder à une machine quand il n'y a pas de réseau télécom ? Si on doit avoir un accès web pour ouvrir son PC ou smartphone ... et qu'il n'y a pas de réseau on ne peut donc pas utiliser son matériel ?
On se coupe un doigt .
On se blesse au visage .
Le / la conjoint(e) décède .

Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ?
Non

Dans quelle mesure ?
Il est impossible d'être à 100% dépendants de solutions passant par internet. Idem , on ne peut pas créer un système d'accès ou la perte d'un moyen d'accès condamne l'accès définitivement ...

La perte d'un bras ou d'une main et on ne peut plus donner son emprunte digitale ... Par exemple.

Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Les cas d'usages sont de mon point de vu en réalité bien limité (finance, banque , transaction financière, validation d'un achat ... )

Pour ouvrir outlook ou thunderbird en local sur ma machine ( a domicile ou en vacances par exemple) . S'il n'y a pas d'accès internet, ou de réseau je n'ai pas forcement l'envie d'attendre plusieurs un sms ou qu'une appli fonctionne.

Que pensez-vous des passkeys d'Apple ?
système trop risqué comme expliqué plus haut.

Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
Aucune, on crée encore un Nième besoin au lieu de passer par l'éducation. C'est de vendre une solution ou l'utilisateur devient totalement dépendant (au risque de le mettre dans situations totalement ubuesque comme exposé plus haut).

" Le réseau GSM et la fibre sont en panne ! Revenez demain pour utiliser et vous connecter à Excel ! "

Je caricature, c'est pour montrer l'absurdité de la chose en cas d'indispo du réseau télécom ...

Quelle alternative pour continuer de travailler en local ?
3  0 
Kulvar
Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 26/10/2022 à 18:33
Je refuse de dépendre d'un gadget ou d'une application pour être autorisé à accéder à mes comptes.

Vive les mots de passe !
3  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 26/10/2022 à 19:17
mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...
3  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 11/10/2023 à 22:55
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
3  0 
TotoParis
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 07/06/2022 à 23:42
Mais n'est-ce pas un peu illusoire si on relit ceci : https://www.developpez.com/actu/3334...n-des-enfants/
2  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 26/10/2022 à 21:16
Citation Envoyé par Aiekick Voir le message
mefiance. comme d'habitude, plus c'est simple pour l'utilisateur, plus c'est simple pour le pirate.

je pense qu'on ne fera jamais mieux que le mot de passe, si tant est qu'on ne se limite a 8 characteres...
Je vais lancer un prudent "ça dépend".
1) si on utilise un token sécurisé qui contient les mots de passe, ça peut être à la fois simple et sécurisé. c'est ce qu'ils semblent faire par voie logicielle. J'imagine d'après l'article qu'ils chiffrent les mots de passe avec des données biométriques, c'est mieux que laisser les gens utiliser des mots de passe bidons.
2) en théorie on n'a pas besoin de mots de passe longs, quelques caractères seulement suffiraient. Par ex, juste avec 6 caractères alphanumériques sans majuscules, on a une chance sur 2.10^9 de deviner un mot de passe tiré au hasard. Il suffirait "juste" que les essais soient limités, et que côté serveur les hashs soient stockés sur un périphérique "inviolable" qui répond vrai ou faux et compte les essais. C'est le principe du PIN des cartes à puces, personne ne s'offusque d'avoir 4 chiffres comme pass et c'est relativement inviolable.
1  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 29/10/2022 à 14:53
Citation Envoyé par HaryRoseAndMac Voir le message
Ca existe encore paypal ???

Avec le nombre de casserole qu'ils ont au cul, il faut croire que les gens n'apprennent pas.
C'est normal que ça existe encore. Selon le point de vue marchant c'est un coût et une exposition à leurs pratiques douteuses. Pour le client, c'est gratuit, largement plus sécurisé que de filer son n° de CB à n'importe qui, et en plus il y a une assurance incluse assez bonne.

Qu'est ce que le client a comme alternative ?
- Paylib le paypal français, sans assurance, accepté presque nulle part, et j'ai un taux d'échec aléatoire injustifié de transaction très élevé. Une commerçante m'a confirmé le problème d'échecs des transaction au point qu'elle n'en veut plus.
- Les diverses banques en ligne ou sa propre banque, pour avoir la sécurité, mais sans assurance et payant.

Si les commerçants ne répercutent pas sur le client leurs frais paypal (certains le font), paypal a de l'avenir. Et encore, je préfère payer 1€ ma rare transaction avec un marchant étranger à la sécurité douteuse et avoir le remboursement si le colis est perdu...
1  0 
deathman8683
Avatar de deathman8683
Membre averti https://www.developpez.com
Le 16/11/2022 à 20:18
Citation Envoyé par Fagus Voir le message
Je vais lancer un prudent "ça dépend".
1) si on utilise un token sécurisé qui contient les mots de passe, ça peut être à la fois simple et sécurisé. c'est ce qu'ils semblent faire par voie logicielle. J'imagine d'après l'article qu'ils chiffrent les mots de passe avec des données biométriques, c'est mieux que laisser les gens utiliser des mots de passe bidons.
2) en théorie on n'a pas besoin de mots de passe longs, quelques caractères seulement suffiraient. Par ex, juste avec 6 caractères alphanumériques sans majuscules, on a une chance sur 2.10^9 de deviner un mot de passe tiré au hasard. Il suffirait "juste" que les essais soient limités, et que côté serveur les hashs soient stockés sur un périphérique "inviolable" qui répond vrai ou faux et compte les essais. C'est le principe du PIN des cartes à puces, personne ne s'offusque d'avoir 4 chiffres comme pass et c'est relativement inviolable.
La carte fait aussi partie du système, c'est à dire sa puce, qui contient une clé cryptographique.
1  0 
Commenter Signaler un problème