IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft ne souhaite pas permettre aux utilisateurs de se soustraire de son effort d'adoption de Passkey
L'entreprise vise une migration de tous vers la nouvelle méthode d'authentification sans mots de passe

Le , par Patrick Ruiz
49 commentaires

22PARTAGES

6  0 
Microsoft ne souhaite pas permettre aux utilisateurs de se soustraire de son effort d’adoption de Passkey
L’entreprise vise une migration de tous vers la nouvelle méthode d'authentification sans mots de passe

Microsoft envisage de faire passer tout le monde aux Passkeys. Dans un nouveau billet intitulé "Convaincre un milliard d'utilisateurs d'aimer les Passkeys", l'entreprise partage son expérience et les résultats de tests A/B approfondis sur l'intégration de la technologie des Passkeys dans ses principaux services grand public tels que Xbox, MS 365 et Copilot. Le tableau suggère un retour sur les avantages et les inconvénients de ladite approche ainsi qu’un essai comparatif avec la méthode d’authentification par mots de passe.



Les Passkeys : De quoi est-il question ? Quels sont les avantages et les inconvénients ? Quid du comparatif avec la méthode d’authentification par mots de passe ?

Les Passkeys (littéralement « clés de sécurité ») sont une forme d'authentification des utilisateurs qui existe sous diverses formes depuis plus d'une décennie. Elles prennent généralement la forme de données biométriques stockées localement sur l'appareil de l'utilisateur et sont considérées comme l'une des méthodes d'authentification les plus résistantes aux menaces. De nombreuses entreprises de cybersécurité et experts en authentification considèrent également ces clés de sécurité comme une alternative viable aux noms d'utilisateur et aux mots de passe.

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, cette méthode est confrontée à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont elle peut faire l'objet.

De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.

Dans le cadre de l'édition 2020 de la journée du mot de passe, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes. Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.



La mise à contribution des Passkeys comme alternative aux mots de passe soulève néanmoins un jeu de questions qui soulignent de potentiels inconvénients de l’approche :

  • Quels sont les risques potentiels liés à l’utilisation des passkeys ? Par exemple, que se passe-t-il si l’appareil de l’utilisateur est perdu, volé ou endommagé ? Que se passe-t-il si la reconnaissance faciale ou l’empreinte digitale ne fonctionne pas correctement ou est compromise ?
  • Quels sont les défis liés à l’adoption des passkeys, notamment pour les applications héritées qui ne fonctionnent qu’avec des mots de passe ?
  • Quelles sont les alternatives aux passkeys proposées par d’autres acteurs du marché de la cybersécurité et comment peuvent-elles être interconnectées ? En clair, est-ce qu'une alternative aux passkeys me permettra par exemple de m'authentifier sur mon compte Google ou dois-je nécessairement passer par la solution de Google ?



Microsoft annonce une augmentation de 987 % de l’utilisation des Passkeys sur ses services

Microsoft révèle que sa dernière expérience d'ouverture de session a entraîné une baisse de 10 % de l'utilisation des mots de passe et une augmentation de 987 % de l'utilisation des passkeys. L'entreprise prévoit que, compte tenu de la nouvelle expérience d'ouverture de session, "des centaines de millions de nouveaux utilisateurs créeront et utiliseront des passkeys au cours des prochains mois". C’est de l’ordre du plausible lorsqu’on prend en compte que l’adoption des authentifications par Passkeys a connu une augmentation de 400 % en 2024.

Les perspectives d'un avenir sans mot de passe remontent à une décennie plus loin, en 2004, lorsque Bill Gates, cofondateur de Microsoft, a prédit la mort du mot de passe lors de la conférence RSA Security. À l'époque, il s'agissait d'un vœu pieux - les problèmes liés aux mots de passe entraînaient des failles de sécurité, comme c'est encore le cas aujourd'hui -, mais il semble aujourd'hui que cette éventualité soit envisageable.

La Fast Identity Online Alliance (FIDO) poursuit le même objectif depuis 2013. Avec la publication de la norme d'authentification WebAuthn et le développement du projet FIDO2, les géants de la technologie Apple, Google et Microsoft ont obtenu un moyen commun de mettre en œuvre les Passkeys. Le train est en marche.

Source : Microsoft

Et vous ?

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?

Voir aussi :

Google déploie Passkey, une nouvelle option d'authentification marquant un pas vers un avenir sans mot de passe. Mais l'entreprise se garde bien d'en préciser les limites

PayPal lance les Passkeys, conçus pour remplacer les mots de passe permettant une connexion facile et sécurisée pour les consommateurs

Il est désormais possible de se passer des mots de passe dans Chrome avec passkeys, ils sont désormais disponibles dans Chrome Stable M108

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC
Vous avez lu gratuitement 9 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

49 commentaires
Commenter Signaler un problème
DespairPaprika
Avatar de DespairPaprika
Membre à l'essai https://www.developpez.com
Le 22/12/2024 à 12:54
Je suis étonnée de la brièveté avec laquelle les gestionnaires de mots de passe sont mentionnés. En effet, ils résolvent le problème de rétention, permettant un mot de passe fort et unique par site/service, et ils sont résistants à la perte d'un appareil à condition d'avoir mis en place la synchronisation. Plusieurs d'entre eux sont indépendants des géants du web, open-source et audités (notamment KeePass et Bitwarden). Ajoutez à ça la praticité de l'autocomplétion (au cas où elle ne fonctionne pas, ne générez quand même pas des mdp interminables)

En pratique, j'ajoute à ça l'authentification à deux facteurs TOTP, pour une authentification forte. Certains internautes n'ont pas confiance en Microsoft et Google, alors des indépendants existent (Aegis...). Là aussi il faut faire des sauvegardes, je déconseille de synchroniser sur un serveur car ça annulerait l'intérêt de cette méthode - requérir une de vos possessions pour vous authentifier.

Voilà, comme ça on a une authentification forte, sans passer par les GAFAM, et sans utiliser de biométrie 👍
2  1 
Gluups
Avatar de Gluups
Membre expert https://www.developpez.com
Le 01/01/2025 à 6:12
J'ai eu une machine avec lecteur d'empreinte digitale.

Ça a fonctionné six mois, le temps de montrer à tout le monde que ça marche.

Ensuite, le constructeur et l'éditeur du système d'exploitation se sont renvoyé la balle au sujet d'une incompatibilité. Impossible d'utiliser le lecteur d'empreinte digitale au-delà de cette mise à jour.

Si ça avait été en panne tout de suite, j'aurais pu étudier d'autres propositions, mais au bout de six mois de mises à jour, j'estime que ça ferme la porte à d'autres versions, dont on ne peut jamais exclure qu'une mise à jour les mette hors service une fois que la presse aura le dos tourné.

Donc, j'en reste aux mots de passe.

Le code numérique, assurément c'est pratique à la maison.
Mais je me suis demandé il y a quelques semaines comment Microsoft allait s'y prendre pour nous prouver qu'un mot de passe de quatre caractères parmi dix c'est plus sécurisé que huit caractères parmi cinquante deux, et je n'ai pas connaissance d'avoir reçu une réponse depuis.

***
J'ai dit cinquante deux parce que je ne suis pas très réveillé, mais ça c'est juste les lettres. Si on ajoute dix chiffres et dix signes de ponctuation on en est à soixante-douze.
1  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 23/12/2024 à 22:50
Citation Envoyé par DespairPaprika Voir le message
[...]les gestionnaires de mots de passe sont mentionnés.[...]
Voilà, comme ça on a une authentification forte, sans passer par les GAFAM, et sans utiliser de biométrie 👍
Les mots de passe sont sensibles à l'hameçonnage entre autres.
ex :
1 achat sur un site web référencé dans google.
2 création de compte, ouverture au paiement de la fenêtre de votre banque ou de paypal
3 vous validez tout
4 découverte que le site est tenu par des brouteurs qui ont fait un site parfait en pompant des sites légitimes (j'en vois de temps en temps correctement référencés avec l'adresse et le siret), qu'ils ont copié parfaitement le site de la banque, et qu'ils ont l'argent et tous les identifiants.

Que pensez-vous de la clé de sécurité ?
Que pensez-vous des Passkeys ?
D'après ce que j'ai compris, les passkeys standards sont basés sur des clés privées liées au site, donc pas d'hameçonnage, donc bien, mais que tout est synchronisé sur les cloud de MS/google/apple qui donc obtiennent tous les accès pour la plus grande joie des américains.
De plus, que se passe-t-il si on perd son appareil ? c'est simple, on retélécharge ses clés sur un nouvel appareil en passant par son compte google ou microsoft... auquel donc on accède par un bête mot de passe !!!
Donc, si on se fait voler son compte google ou MS mal sécurisé par un bête mot de passe, on donne tous les accès sécurisés au voleur !! mais c'est génial

La clé de sécurité avec FIDO c'est pareil, mais on garde ses clés (et donc on a intérêt à garder une clé en double dans une endroit sécurisé qui ne va pas cramer en même temps en cas de sinistre).
On peut aussi sécuriser son compte google etc avec FIDO, et on a un peu envie pour peu qu'il s'agisse du compte développeur.
1  1 
Gluups
Avatar de Gluups
Membre expert https://www.developpez.com
Le 01/01/2025 à 11:49
Avec le code PIN numérique, je suis loin du compte.

En allant voir sur passkeys.com j'ai vu un peu plus de quoi il retourne.

Le principe est que la chaîne de caractères qu'on envoie en ligne pour s'authentifier n'est valable que quelques secondes.

Donc, le pirate crée un site web pour vous inviter à vous authentifier donc fournir votre mot de passe, seulement pas de bol pour lui, quand il va vouloir s'en servir, ce mot de passe ne sera plus valable.

Jusque là, la protection contre le phishing consistait à ignorer ce qui était un peu trop absurde pour être honnête. Mais de la même façon que dans une salle de bain on ne doit pas pouvoir toucher un appareil électrique depuis la baignoire même si on le veut, de même pour s'authentifier c'est quand même mieux qu'on ne puisse pas envoyer son mot de passe à un pirate même si on le veut.

Pour mettre ça en œuvre, bien entendu, l'initiative revient aux serveurs.

D'un autre côté, l'utilisateur doit s'authentifier sur sa machine pour ouvrir une session, et c'est après ça que les logiciels se débrouillent entre eux pour réaliser l'authentification sans même que l'utilisateur ait à avoir conscience qu'il est en train de se passer quelque chose. Enfin si j'ai bien compris.

Et là encore si j'ai bien compris, je suppose que le navigateur web doit implémenter la technologie.

Nous avons donc deux sujets :
  • l'authentification sur la machine de l'utilisateur
  • et l'authentification sur un serveur


Il m'apparaît que ce que j'ai dit précédemment reste valable pour l'authentification sur la machine de l'utilisateur.

Pour un serveur, les administrateurs ont effectivement à disposition les moyens d'une authentification d'un nouveau genre, où les mails du genre "vous avez un nouvel identifiant" ne seront plus gênants que par le bruit qu'ils représentent, et plus par ce que Madame Michu pourrait en faire.
0  0 
weed
Avatar de weed
Membre chevronné https://www.developpez.com
Le 02/01/2025 à 13:23
Je viens de tomber sur une discussion intéressant sur Reddit à peu près similaire
Le travail m'oblige à installer Microsoft Authenticator sur mon téléphone.
https://www.reddit.com/r/privacy/com...crosoft/?tl=fr

avec les messages suivants :

MS a la possibilité de désactiver le compte MS si l'application MS Authenticator ne lui envoie pas de flux de données de coordonnées GPS. Vous ne pouvez pas désactiver l'application et si vous essayez d'exécuter une application de géoconfidentialité sur votre téléphone, elle aura également la possibilité de désactiver votre compte.
Encore une fois, ce n’est pas vrai. De nombreuses petites et moyennes entreprises utilisent les services cloud Microsoft. Que vous y accédiez sur place, à votre domicile ou en déplacement, tout cela est « inconnu » pour Microsoft jusqu'à ce qu'il confirme votre identité. Je me bats tous les jours... avec notre support informatique et leur support MS. Ce qu'il faut retenir, c'est que c'est la méthode MS, alors gérez-le.

Une partie du problème réside dans le fait que de nombreux informaticiens ne comprennent pas vraiment la technologie de sécurité moderne. MS Authenticator utilise plusieurs vecteurs, notamment les coordonnées GPS, WiFi/BT SSID/MAC, pour vous suivre. S'il s'agit d'un simple TOTP, le service informatique peut délivrer un jeton à l'utilisateur... ce serait beaucoup moins cher que d'émettre un téléphone avec des frais mensuels. Ils ne le peuvent pas parce que MS souhaite suivre et collecter les données des utilisateurs.
Pas seulement TOTP... MS Authenticator collecte les coordonnées GPS à tout moment et les utilise comme vecteur géographique et crée une carte d'informations sur tous les endroits où vous vous rendez. J’aimerais que les gens prêtent vraiment attention à ces choses plutôt que de simplement supposer que tout peut être accepté.
Bref si il y avait un standard, pourquoi pas. Mais j'ai l'impression qu'il n'y a pas de standard et que l'on soit obliger d'utiliser des logiciels proprio.
0  0 
weed
Avatar de weed
Membre chevronné https://www.developpez.com
Le 20/12/2024 à 9:46
Citation Envoyé par Patrick Ruiz Voir le message
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Ce serait une mauvaise idée de passer par Microsoft Authenticator. Mieux vaut ne pas mettre tous ses oeufs dans le même panier. Je viens de voir par exemple que le gestionnaire de mot de passe libre supporte les passkey kepassxc :
https://goodtech.info/keepassxc-nouveautes/

Citation Envoyé par Patrick Ruiz Voir le message
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Pas top en effet. On donne sufisamment d'info à Google, ce n'est en effet pas une bonne idée. On ne sait pas ce qu'il peut se passe.

Citation Envoyé par Patrick Ruiz Voir le message
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?
Pourquoi pas. Après il reste toujours les certificats client SSL
0  1 
Commenter Signaler un problème