histats

L’augmentation de la prise en charge de FIDO2 suggère un avenir sans mot de passe bientôt

L’augmentation de la prise en charge de FIDO2 suggère un avenir sans mot de passe bientôt

Tout le monde déteste les mots de passe. Ils étaient utiles lorsqu’il y avait moins de sites Web, mais maintenant que notre empreinte numérique a considérablement augmenté – la personne moyenne gère jusqu’à 100 mots de passe en ligne – les mots de passe sont désormais plus un risque qu’une solution, écrit Reza Zaheri, directeur de la sécurité de l’information, Métrique quantique.

Pour résoudre les problèmes liés aux mots de passe, nous devons les dépasser complètement. Les roues sont en fait en mouvement depuis plus d’une décennie, avec de nouvelles solutions qui arrivent sérieusement sur le marché. Mais ce n’est que ces derniers mois que le soutien conjoint de géants de la technologie tels que Google, Apple et Microsoft a atteint un point de basculement, ouvrant la voie à un avenir sans mots de passe.

Le problème du mot de passe

Une étude de Google a montré que 52 % des personnes réutilisent le même mot de passe pour plusieurs comptes et qu’ils sont souvent faciles à mémoriser, ce qui augmente le risque que des pirates les devinent. Des solutions telles que l’authentification unique et les gestionnaires de mots de passe sont disponibles, mais elles sont sous-utilisées par beaucoup, que ce soit en raison de la confiance, de l’accessibilité ou du manque de connaissances.

La plupart des violations impliquent également un mot de passe ou des informations d’identification volés, malgré cela, les mots de passe est encore populaire. Ils sont familiers, ils sont faciles à mettre en place et peuvent être utilisés sur toutes les plateformes. Les personnes non averties en matière de technologie les comprennent, et si un mot de passe est volé, un nouveau peut être facilement créé.

Il y a eu récemment une évolution vers un avenir sans mot de passe avec l’authentification multifacteur (MFA) – utilisant des données biométriques telles qu’un scan du visage ou une empreinte digitale, une clé de sécurité ou un message texte avec un code. Malgré une sécurité accrue (Microsoft affirme que MFA peut bloquer plus de 99,9 % des attaques par compromission de compte), de nombreuses personnes ne savent pas comment l’utiliser ou ne souhaitent pas utiliser la technologie. Et pour ceux qui utilisent MFA, l’expérience n’est pas nécessairement transparente – elle implique souvent les étapes supplémentaires consistant à brancher une clé de sécurité ou à copier/coller un code de message texte. Ainsi, les gens reviennent à des mots de passe simples – et souvent faibles.

See also  APIs in vehicle software that are vulnerable to attack

Un avenir sans mots de passe ? La voie à suivre

FIDO2 et un avenir sans mot de passe
Quantum Metrics RSSI Reza Zaheri.

La solution semble résider dans un partenariat entre l’Alliance FIDO (Fast IDentity Online) et le World Wide Web Consortium (W3C).

Ensemble, ils ont développé FIDO2, une norme d’authentification mondiale ouverte conçue pour éliminer complètement l’utilisation de mots de passe, en utilisant l’authentification Web (WebAuthn) et le protocole Client-to-Authenticator (CTAP) comme composants principaux.

En mai 2022, Apple, Google et Microsoft ont annoncé des engagements révolutionnaires pour prendre en charge la norme FIDO2 pour la connexion sans mot de passe. Et cette année, tous les principaux navigateurs, plates-formes et systèmes d’exploitation – Apple, Windows, Android. iOS, macOS, Chrome, Firefox, Safari, Edge – prendront en charge FIDO2.

Comment fonctionne FIDO2 ?

Supposons que vous souhaitiez vous connecter à un site Web ou à une application proposant l’authentification FIDO2. Au lieu d’utiliser un mot de passe, votre smartphone agira comme votre authentificateur d’identité, en stockant une clé d’accès créée à l’aide d’un cryptage à clé publique/privée de qualité militaire.

Pour chaque site Web ou application, une paire de mots de passe unique est générée. Stockée dans une enclave d’appareil sécurisée et synchronisée avec le cloud, la clé privée ne quitte jamais l’appareil local et ne peut pas être volée. Pendant ce temps, la clé publique est envoyée au service Web et liée au compte de l’utilisateur. Pour vous connecter, vous recevrez un message du site Web ou de l’application pour déverrouiller votre téléphone via la biométrie ou un mot de passe. Ce faisant, votre téléphone signera un défi spécifique avec votre clé privée, vous authentifiant ainsi que votre appareil auprès du service.

Et si vous perdez votre téléphone ? Vos clés d’accès sont toujours sauvegardées en toute sécurité dans le cloud et doivent être synchronisées avec tous les nouveaux appareils que vous possédez.

FIDO2 : les avantages

Utilisant un cryptage à clé publique robuste, FIDO2 est non sécurisé et résistant au phishing. Le processus de clé de passe est crypté de bout en bout, de sorte que les pirates ne peuvent pas les intercepter. Parce que la clé privée ne quittera jamais l’appareil associé, un pirate ne peut jamais se faire passer pour vous.

See also  Reddit s'associe à FTX pour activer les frais de gaz ETH pour les points communautaires

En plus de cela, il est interopérable. Même si vous vous connectez avec un iPhone, un ordinateur portable Windows et un navigateur Chrome, FIDO2 utilisera Bluetooth pour communiquer de manière transparente entre différents appareils, réduisant ainsi les frictions dans le processus d’authentification.

En éliminant entièrement les mots de passe, il n’est pas nécessaire de réinitialiser ou de mémoriser les mots de passe, et rien à voler. De plus, un mot de passe n’est envoyé que si le site Web ou l’application est “authentique”, ce qui signifie que les fraudeurs ne peuvent pas créer de faux sites Web et utiliser l’ingénierie sociale pour voler des informations d’identification. Par conséquent, le blocage des informations d’identification, la devinette de mot de passe et le phishing appartiennent également au passé.

De plus, FIDO2 est à la fois indépendant du système d’exploitation et de la plate-forme, il n’est donc pas nécessaire d’installer des applications supplémentaires, ce qui facilite l’adoption massive. Étant donné que les trois plus grands géants de la technologie sont derrière la norme, il y a de fortes chances qu’elle soit omniprésente dans un proche avenir.

FIDO2 : les inconvénients

Les avantages sont clairs, mais FIDO2 soulève également des questions importantes, telles que “à qui appartiennent les mots de passe ?”

À titre d’exemple : si vous êtes un utilisateur Apple et que vos mots de passe sont sauvegardés sur iCloud, que se passe-t-il si Apple désactive l’accès à votre compte ? Cela vous empêchera-t-il de vous connecter à certains sites Web et applications ? Cela laisse une énorme quantité de pouvoir entre les mains de ces géants de la technologie. Rappelez-vous : celui qui contrôle vos mots de passe contrôle essentiellement votre identité.

Dans l’état actuel des choses, les mots de passe vous lieront encore plus à Google, Microsoft et Apple que vous ne l’êtes déjà, vous demandant : leur faites-vous suffisamment confiance en matière de confidentialité et de sécurité ? Pour que FIDO2 soit une norme vraiment ouverte, chaque entreprise technologique doit être à bord, pas seulement les trois.

D’autres questions restent également sans réponse. Par exemple, dans quelle mesure sera-t-il facile de changer les mots de passe d’un système d’exploitation ou d’une plate-forme à l’autre ? Et si vous dormez et que quelqu’un utilise votre appareil pour scanner votre visage ; cela leur donne-t-il accès à vos mots de passe, et donc à tous les autres aspects de votre vie ? Et que se passe-t-il si un pirate informatique vole votre téléphone ? En tant que tels, la sécurité et l’accès au téléphone deviendront encore plus cruciaux – la nature des codes PIN deviendra probablement plus longue et la biométrie deviendra également encore plus sensible et exigeante.

See also  Apple met à jour les politiques de l'App Store pour interdire aux applications d'utiliser les NFT pour déverrouiller le contenu protégé par des jetons

Déploiement de FIDO2

Bien qu’un avenir sans mot de passe soit en route, il faudra du temps pour intégrer la technologie FIDO2. Pour faciliter cela, il doit être prêt à l’emploi et être fluide, intuitif et transparent.

À cette fin, les développeurs ne devraient pas avoir besoin de réécrire complètement leurs applications et sites Web pour les rendre conformes à FIDO2, en intégrant à la place un module/plugin frontal fourni par des fournisseurs d’identité tels que Google et Microsoft. Cependant, les systèmes hérités peuvent avoir des difficultés à intégrer FIDO2. Par conséquent, une approche hybride est très probable, où les anciens mots de passe existent toujours pour ces systèmes, et les mots de passe sont lentement introduits dans les nouveaux systèmes.

Parce que FIDO2 est un changement de paradigme culturel autant qu’un changement technologique, l’éducation des utilisateurs est essentielle. Plus de quarante ans de mots de passe est un énorme héritage à surmonter. Les entreprises doivent consacrer du temps et de l’argent à la sensibilisation, afin que le public puisse faire confiance à la nouvelle technologie, toutes les craintes concernant les connexions sans mot de passe peuvent être apaisées – le tout en termes simples.

Le futur est FIDO2

Suite à l’annonce conjointe des trois géants de la technologie de prendre en charge FIDO2 sans mot de passe, Apple a déjà déclaré qu’ils le mettront à la disposition du grand public en septembre, lors de la sortie de leur nouveau système d’exploitation ; Google et Microsoft devraient également suivre d’ici la fin de l’année.

Nous sommes sur la bonne voie vers une connexion sécurisée et facile avec mot de passe sur tous les appareils et plates-formes. Mais une réalité sans mot de passe n’arrivera pas du jour au lendemain – il faudra un certain temps pour que tout le monde soit à bord.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *