Les mots de passe montrent de nombreux problèmes en matière de sécurité informatique. “Les mots de passe sont une cible de choix pour les attaques. Pourtant, il constitue la couche de sécurité la plus importante dans notre vie numérique“, expliquait Vasu Jakkal, Corporate Vice President for Security, Compliance and Identity au sein de Microsoft, lors d’un entretien accordé à L’Usine Digitale. En effet, une technique d’attaque qualifiée, dite par “force brute”, consiste à essayer toutes les combinaisons possibles de caractères jusqu’à trouver le bon mot de passe.
Supprimer les mots de passe
Pour Google, Microsoft et Apple, la solution n’est pas de rétablir les mots de passe ou de les changer plus régulièrement mais de les supprimer complètement et de les remplacer par de nouvelles technologies plus robustes. A l’occasion de la journée mondiale du mot de passe le 5 mai, les trois entreprises ont annoncé qu’elles s’engageaient à “étendre la prise en charge de la norme FIDO“.
Fondée par l’Alliance industrielle “Fast IDentity Online”, il s’agit d’une gamme complète de technologies d’authentification – telles que la biométrie (empreintes digitales, iris, reconnaissance faciale et vocale) – ainsi que des solutions de communications existantes pour réduire la dépendance aux mots de passe. Les normes d’authentification FIDO sont basées sur la cryptographie à clé publique et sont conçues pour fournir une expérience de connexion sûre et facile.
Deux technologies sont aujourd’hui certifiées par l’alliance. Le Client-to-Authenticator Protocol (CTAP) permet aux utilisateurs de se connecter sans mot de passe en utilisant une clé de sécurité ou leur téléphone portable pour communiquer les informations d’authentification via USB, Bluetooth ou NFC (Near Field Communication) à l ‘appareil d’une personne. De son côté, le WebAuthn permet aux services en ligne d’utiliser l’authentification FIDO via une API web standard (interface de programmation d’application), qui peut être intégrée aux navigateurs et permet aux appareils de communiquer.
Les technologies FIDO pour tous
En pratique, les partenaires annoncent deux nouvelles fonctionnalités qui seront mises en œuvre au cours de l’année à venir. Les utilisateurs pourraient être authentifiés via FIDO sur tous leurs appareils à partir du moment où ils seront connectés à leur compte, en procédant à l’authentification sur un seul des appareils. Ils pourraient également utiliser par exemple leur téléphone pour s’authentifier sur leur ordinateur, ce que soit le système d’exploitation ou le navigateur.
Notons que ces trois entreprises ont subi depuis longtemps pour supprimer les mots de passe. C’est ainsi que depuis septembre 2021, Microsoft permet aux utilisateurs de s’appuyer sur une identification biométrique, une clé de sécurité ou un code de vérification par SMS pour accéder à l’ensemble de leurs comptes.
