Apple, Google et Microsoft veulent un monde sans mot de passe

À l’occasion de la journée internationale du mot passe, le 5 mai, les trois géants s’engagent à étendre leur soutien à la norme FIDO. Le but ? Accélérer la disponibilité des ouvertures de session sans mot de passe.

Pour Apple, Google et Microsoft, l’authentification par mot de passe semble être l’un des plus gros problèmes de sécurité sur le Web. Ces petites séries de points noirs ponctuent régulièrement notre navigation Internet pour la rendre plus sûre. Mais, plus le nombre de mots de passe à générer est élevé, plus l’utilisateur est amené à réutiliser les mêmes mots de passe d’un service à l’autre. Une erreur qui peut coûter cher en matière de violations de données et même des vols d’identité.

Si les gestionnaires de mots de passe et les anciennes formes d’authentification à deux facteurs offrent des améliorations progressives, l’industrie du Web a annoncé avoir entamé une collaboration. L’objectif ? Créer une technologie de connexion plus pratique et plus sûre. Et ce, grâce à la norme “Passkey”. Il s’agit d’une norme d’authentification officiellement appelée “certificats d’authentification FIDO compatibles avec plusieurs appareils” (multi-device FIDO credentials). Passkey se réfère au type de système d’authentification introduit dans ce qu’on appelle l’authentification multifactorielle. La Passkey utilise le Bluetooth pour permettre à l’appareil demandant l’ouverture de session et à l’appareil s’authentifiant d’être physiquement proches l’un de l’autre, explique FIDO.

Une authentification plus sûre
Apple, Google et Microsoft ont annoncé leur intention d’étendre la prise en charge d’une norme commune de connexion sans mot de passe. Elle est le fruit de l’Alliance FIDO et le World Wide Web Consortium. Concrètement, des centaines d’entreprises technologiques et de fournisseurs de services ont travaillé au sein de l’Alliance FIDO et du W3C. Et ils ont réussi à créer les normes de connexion sans mot de passe. D’ailleurs, elle est déjà prise en charge par des milliards d’appareils et tous les navigateurs Web modernes.

Apple, Google et Microsoft ont dirigé le développement de cet ensemble élargi de fonctionnalités. Ils en intègrent désormais le support dans leurs plateformes respectives. “Cette nouvelle fonctionnalité permettra aux sites Web et aux applications d’offrir aux consommateurs des ouvertures de session sans mot de passe cohérentes, sûres et simples sur tous les appareils et toutes les plateformes” assure le communiqué.

Une option de bout-en-bout sans mot de passe
Le principe est relativement simple. Premièrement, le site web pourra demander à l’internaute s’il veut “s’authentifier avec ses identifiants FIDO”. S’ils acceptent, les utilisateurs pourront se connecter à un service en ligne simplement en débloquant leur smartphone. Et ce, via leur méthode habituelle, donc empreinte digitale, reconnaissance faciale, ou encore code de plusieurs chiffres. En clair, les capacités de cette nouvelle norme permettent aux sites web et aux applications d’offrir une option de bout en bout sans mot de passe. Les utilisateurs se connecteront par la même action que celle qu’ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, “comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN de l’appareil”, explique le communiqué.

D’après les trois géants, cette nouvelle norme permettrait de renforcer la protection des utilisateurs contre l’hameçonnage. De plus, elle permettrait de proposer une connexion plus sûre que celle protégée par les mots de passe et les technologies multifactorielles existantes. Étant donné que la communication elle-même est cryptée par le système de cryptage à clé publique, la sécurité sera plus forte que celle de la méthode conventionnelle. Cette dernière présente des problèmes tels que la facilité de vol par des fraudes telles que la réutilisation du mot de passe et le phishing. À savoir que le mode de vérification multifactoriel exige des utilisateurs qu’ils prouvent leur identité à l’aide d’au moins deux facteurs de vérification différents avant d’accéder à un site web, une application mobile ou une autre ressource en ligne. Par exemple, il peut s’agir de codes d’accès à usage unique envoyés par SMS.

Ainsi, certaines plateformes de ces entreprises prennent déjà en charge les normes de l’Alliance FIDO. Et donc, permettre la connexion sans mot de passe sur des milliards d’appareils. Mais les implémentations précédentes obligeaient les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe.

Les nouveautés mult-appareils
L’annonce d’aujourd’hui étend les implémentations de ces plateformes afin de donner aux utilisateurs deux nouvelles capacités pour des ouvertures de session sans mot de passe “plus transparentes et plus sûres”, indique le communiqué. Par exemple, les utilisateurs devraient pouvoir accéder automatiquement à leurs informations d’identification FIDO sur plusieurs de leurs appareils, même les nouveaux. Et ce, sans avoir à réenregistrer chaque compte. De même, les nouvelles fonctionnalités devraient permettre aux utilisateurs d’utiliser l’authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site web sur un appareil voisin. Et ce, quelle que soit la plateforme OS ou le navigateur qu’ils utilisent.

Ces nouvelles capacités devraient être disponibles sur les plateformes d’Apple, de Google et de Microsoft au cours de l’année prochaine.