Apple, Microsoft et Google ont annoncé récemment leur intention de mettre en place un système d’authentification simplifié sur Internet, n’utilisant plus aucun mot de passe.
C’est un casse-tête récurrent à la création d’un nouveau compte sur un site web : le choix du mot de passe. Contre les piratages en tout genre, celui-ci ne doit être ni trop court ni trop commun (oubliez les “123456” ou “azerty”), ni même associé à votre identité. Les recommandations, à l’image de celles de la CNIL, portent aujourd’hui sur la présence d’au moins 12 caractères mélangeant des chiffres, des lettres minuscules et majuscules, ainsi que des caractères spéciaux (%, $, +…). Reste, enfin, à ne pas l’oublier : un gestionnaire de mots de passe est donc fortement conseillé.
Bonne nouvelle : Apple, Google et Microsoft promettent de mettre fin à ce problème. Les trois géants, dominants sur le marché des systèmes d’exploitation et des navigateurs web ont annoncé, jeudi, à l’occasion de la journée mondiale du mot de passe, leur intention d’étendre la prise en charge d’une norme commune de connexion sans mot de passe, créée par la Fido Alliance et le World Wide Web Consortium. Comment vont-ils procéder ? Explications.
Comment fonctionne ce nouveau système d’authentification sans mot de passe ?
Lorsqu’un site web demandera à un internaute de “s’authentifier avec Fido”, un message apparaîtra sur le téléphone de ce dernier. Le déverrouillage de l’appareil – à l’aide d’un traditionnel code pin, ou plus vraisemblablement aujourd’hui de son doigt (empreinte digitale) ou de son visage (reconnaissance faciale) – suffira alors afin d’accéder au site en question.
Techniquement, tout repose sur la synchronisation d’une paire de clés chiffrées, générée lors de la première connexion sur un site web. L’utilisateur conserve celle dite privée, stockée directement sur son téléphone, aussi appelée “passkey”. Le site garde quant à lui une clé dite publique. La synchronisation de ces deux clés constitue une méthode d’authentification unique.
Cette authentification “Fido” constitue un nouveau “standard”, comme le sont par exemple le WiFi ou le Bluetooth, présent sur tous nos ordinateurs ainsi que nos téléphones. L’objectif de Fido est de le démocratiser sur tous les appareils et toutes les plateformes. Meta, Amazon ou encore Samsung font aussi partie du conseil d’administration de l’alliance.
Est-il suffisamment sécurisé ?
“Incapables de gérer autant de mots de passe différents, les individus réutilisent souvent le même, ce qui facilite les piratages de comptes, fuites de données et vols d’identité”, critiquent les acteurs de l’alliance dans un communiqué co-écrit avec Apple, Google et Microsoft. “La connexion sera considérablement plus sûre par rapport aux mots de passe et aux anciennes méthodes multifactorielles, tels que les codes d’accès à usage unique envoyés par SMS”, veulent-ils croire.
Sur le principe, tout porte à croire que ce sera le cas. Seul un vol de matériel, physique, pourrait permettre d’accéder à votre clé privée. Et encore faudrait-il, par la suite, afin de s’authentifier sur les sites web souhaités, pouvoir déverrouiller le téléphone. Concernant le piratage d’une clé publique, par exemple, celle-ci n’a aucune valeur sans la clé privée, et ne peut à elle seule ouvrir l’accès au site.
“Il incombe à la plate-forme du système d’exploitation de s’assurer que les informations d’authentification sont disponibles là où l’utilisateur en a besoin”, précise l’alliance Fido sur son site. Ce qui devrait permettre de récupérer facilement ses accès en cas de changement ou de vol de matériel.
Quand ce système sera-t-il disponible ?
Les trois géants des technologies se sont engagés à mettre en place ce nouveau système dans l’année, sur Android et iOS (les systèmes d’exploitation mobiles de Google et Apple), sur Chrome, Edge et Safari (les navigateurs de Google, Microsoft et Apple) et sur Windows et macOS (les systèmes d’exploitation de Microsoft et Apple pour les ordinateurs).
Le système ne remplacera pas encore les mots de passe, qui pourront toujours être utilisés par ceux qui le souhaitent. Alex Simons, vice-président de Microsoft, a évoqué dans le communiqué de l’alliance Fido une “transition complète vers un monde sans mot de passe” où “les consommateurs prendraient l’habitude de s’en passer au quotidien”.
