Suppression des mots de passe : au revoir la charge mentale et bonjour la sécurité promettent Apple, Google et Microsoft

Le mardi 5 mai 2022 est un jour à marquer d'une pierre blanche: pour rendre le Web plus sûr et plus facile à utiliser, Apple, Google et Microsoft ont annoncé leur intention d'étendre aux particuliers la prise en charge d'une norme de connexion sans mot de passe. En clair, il s'agit de simplifier la vie de milliards d'internautes (5,3 milliards) et de sécuriser leurs usages des innombrables plateformes en ligne, devenues incontournables avec la dématérialisation des services. En effet, les internautes utilisent trop souvent des mots de passe très faciles à deviner voire toujours le même pour se simplifier la vie... mais aussi celle de tous les aigrefins.
Jérôme Cristiani

6 mn

(Crédits : Reuters)

Pendant des années, le fléau des internautes, c'était les spams, des tsunamis de spams qui convergeaient de toutes parts pour se déverser en wagons entiers dans nos boîtes mails. Mais alors que celui-ci est en très bonne voie de disparaître, un autre fléau prenait le relai : celui des mots de passe, dont le nombre ne cesse d'augmenter avec la dématérialisation galopante de nos sociétés. Ces mots de passe qu'on nous demande à chaque pas sur Internet, qu'il s'agisse de se connecter ici à ses services de base en ligne (Sécu, banque, assurance, télécoms, médecin, transports, voyages...), là à ses réseaux sociaux, voire à ses différents comptes de mails, à ses applis en ligne pour le bureau comme pour les loisirs... ils pullulent et chacun de se faire sa petite solution de secours (système mnémotechnique du type AujourdhuiA-N@ntes-ilfaitB3au! et/ou liste papier ou numérique) pour ne pas en oublier un seul, à défaut de se retrouver le bec dans l'eau.

Et c'est justement ce qu'a pointé hier Grahame Williams, directeur de la gestion des identités et des accès chez Thales, lors de la Journée mondiale du mot de passe, lorsqu'il a déclaré que les mots de passe "devenaient de plus en plus dangereux" parce qu'ils étaient "facilement piratés":

« Des recherches récentes montrent que nombre de PDG utilisent encore "12356" comme mot de passe. »

En effet, l'autre gros problème, c'est celui de la sécurité, le danger de se faire pirater son compte - voire tous ses comptes - et de ne plus pouvoir accéder à ses données, ou alors contre rançon. Quand ce n'est pas carrément l'usurpation d'identité qui guette... Bref, une forte charge mentale quotidienne à gérer, et une injonction de sécurité qui dépasse l'entendement humain. Car, littéralement débordés dans leurs capacités cognitives, les internautes utilisent alors des mots de passe trop faciles à deviner, voire toujours le même pour se simplifier la vie... mais aussi celle des escrocs de tout poil en embuscade.

Selon une ancienne étude (2016) de Skyhigh Networks analysant 11 millions de mots de passe mis en vente sur le Darknet, 10,3% des internautes utilisent l'un des 20 mots de passe les plus populaires d'internet. Ce qui revient à dire qu'en moins de 20 essais, n'importe qui pourrait pirater près d'un compte sur dix.

Alliance de choc pour alléger et sécuriser l'usage d'Internet

Mais, bonne nouvelle a priori, les géants de l'Internet Google, Apple et Microsoft ont profité de la Journée mondiale du mot de passe, jeudi 5 mai, pour annoncer qu'ils s'alliaient afin d'en finir avec ce calvaire. Le communiqué publié depuis Mountain View, le fief de Google, annonce que les trois géants vont s'allier pour construire un système permettant de s'authentifier sans avoir à mémoriser des séries de signes cabalistiques.

La nouvelle fonctionnalité permettra aux sites web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

"Avec la nouvelle fonctionnalité, les consommateurs pourront s'authentifier sur les sites internet et les applications mobiles facilement, sans mot de passe et en sécurité, quel que soit l'appareil ou le système d'exploitation", a résumé l'association FIDO Alliance (Fast Identity Online Alliance) dans un communiqué.

FIDO, c'est la cheville ouvrière de cette révolution technologique, une alliance d'industriels travaillant à améliorer, faciliter et sécuriser l'authentification numérique. FIDO a été lancée officiellement en février 2013 mais elle a été fondée un an avant, en 2012, par l'alliance d'acteurs majeurs comme PayPal, Validity Sensors (ces deux-là étant le noyau originel créé en 2009 autour des problématiques de cryptographie à clé publique), Lenovo, Nok Nok Labs, Infineon et Agnitio. C'est en 2012 qu'ont débuté les travaux sur un protocole d'authentification sans mot de passe.

Depuis, des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils fonctionnant sous tous les systèmes d'exploitation et navigateurs Web modernes (iOS, macOS, Safari, Chrome, Android, Edge, Windows, etc.), dixit le communiqué du FIDO.

Des milliards d'appareils... pour des milliards d'utilisateurs: d'après le site Internet Live Stats, les internautes sont aujourd'hui 5,3 milliards dans le monde. Le nombre d'utilisateurs d'Internet a été multiplié par 10 entre 1999 et 2013, en accélération constante (1 milliard d'internautes en 2005, 2 milliards en 2010, 3 milliards en 2014).

Des "identifiants Fido" pour s'authentifier sur toutes les plateformes

Dans le communiqué d'hier, Google explique que l'objectif est que les utilisateurs puissent se connecter à un service en ligne simplement en débloquant leur smartphone (via leur méthode habituelle : empreinte digitale, reconnaissance faciale, code de plusieurs chiffres...).

Concrètement, un site web pourra demander à l'internaute s'il veut "s'authentifier avec ses identifiants FIDO". Ce message apparaîtra simultanément sur son téléphone, où l'utilisateur aura juste besoin d'accepter, en déverrouillant son écran, pour être connecté au site. Les smartphones conserveront ces identifiants codés, baptisés "passkey" (clef d'accès). Une fois enregistré sur Fido, il ne sera ensuite plus nécessaire, à aucun moment de créer ou d'entrer un mot de passe.

La promesse est que l'authentification Fido sera accessible quel que soit le système d'exploitation ou le navigateur, et quel que soit l'appareil, puisqu'il sera possible de convertir un nouvel appareil via Bluetooth à l'aide d'un premier appareil ayant déjà les informations d'identification. Il ne sera pas non plus nécessaire de recourir à la double authentification par SMS, désignée comme obsolète depuis... 2016.

Une solution à pas de géants, d'ici à douze mois

Les trois géants des technologies se sont engagés à mettre en place ce nouveau système dans les douze mois, sur Android et iOS (les systèmes d'exploitation mobiles de Google et Apple), sur Chrome, Edge et Safari (les navigateurs de Google, Microsoft et Apple) et sur Windows et macOS (les systèmes d'exploitation de Microsoft et Apple pour les ordinateurs).

"L'authentification avec des mots de passe uniquement est l'un des problèmes de sécurité les plus importants sur le web", note Apple dans son communiqué, qui ajoute:

« La nouvelle approche protégera du hameçonnage et la connexion à un service sera radicalement plus sûre que les mots de passe et d'autres technologies comme les codes uniques envoyés par SMS. »

Pour Andrew Shikiar, directeur exécutif et CMO de l'Alliance FIDO, "cette nouvelle capacité devrait inaugurer une nouvelle vague d'implémentations FIDO à faible friction parallèlement à l'utilisation continue et croissante des clés de sécurité, offrant aux fournisseurs de services une gamme complète d'options pour déployer une authentification moderne et résistante au phishing."

(avec AFP et Reuters)

Jérôme Cristiani

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 21
à écrit le 11/05/2022 à 14:33
Signaler
Ne faudrait il pas surtout "éduquer" les internautes à utiliser un gestionnaire de mots de passe? Un mot de passe est unique et est fait pour sécuriser l'accès à un service, il ne doit être connu que par l'utilisateur concerné. Passer par des service...

à écrit le 11/05/2022 à 2:42
Signaler
quand j'ai senti que mon mari me trompait, j'ai envoyé un message à vladimirhacks sur instagram qui m'a aidé à vérifier le téléphone de mon mari et j'ai réussi à voir la vérité, sans vladimir, j'aurais été joué pendant des années, tout cela grâce à l...

à écrit le 09/05/2022 à 19:55
Signaler
Une grosse erreur venant de la part de grosse entreprise comme Microsoft / Apple / Google. Aucun système et inviolable c'est la base de l'informatique ! Et vous voulez que 1 seule clé donne l'accès a tout nos comptes ? Il y a t'ils vraiment eu des...

à écrit le 08/05/2022 à 19:44
Signaler
Un lecteur d'empreinte digitale, en USB(-C) ça ne suffirait pas ? Pose ton doigt pour ouvrir le site, dira l'ordinateur. :-) Je dois en avoir 100, tous différents mais certains n'ont servi qu'un ou deux fois, il faut souvent créer un compte à chaque...

à écrit le 08/05/2022 à 2:57
Signaler
Un grand problème !!! Tu perds ton téléphone, tu perds toute ta vie !!! Le voleur accédera a tous !!! Ce du n'importe quoi !

à écrit le 07/05/2022 à 17:58
Signaler
Ras le bol de ces usines à gaz bien trop complexes, et à sécurité proche de zéro pour l'utilisateur lambda

à écrit le 07/05/2022 à 17:06
Signaler
Google, Apple et Microsoft, qui veulent que nous nous débarrassions des mots de passe, sont certainement très gentils et cela part sûrement d’un bon sentiment mais nous ont-ils demandé notre avis ?

à écrit le 07/05/2022 à 14:21
Signaler
La CNIL va-t-elle se pencher sur ce nouveau mode sans mot de passe pour en mesurer les éventuels aspects intrusifs et rendre compte aux citoyens français de la préservation de leurs données mais encore de leur vie privée. De préférence avant le délai...

à écrit le 07/05/2022 à 13:00
Signaler
Personne n'est obligé d'utiliser Google, Facebook, Twitter et autres. Ceux qui râlent en permanence ne semblent pas s'en rendre compte. Ils peuvent choisir de ne pas se servir des outils que proposent ces "affreuses" sociétés américaines qu'ils criti...

à écrit le 07/05/2022 à 10:52
Signaler
se retirer de tout les réseaux nauséabonds sociaux serait déjà une belle action ! Quel gain de temps ds la vie , limitation des piratages de comptes, non divulgation de la vie privée, ne plus se faire incendier publiquement par les malfaisants, réouv...

à écrit le 07/05/2022 à 9:21
Signaler
Bref une meilleure interaction avec nos téléphones portables et donc encore plus de pillages de nos données. On se demande comment des gens arrivent encore à y croire à leurs intentions louables. Par ailleurs nous n'y pouvons rien si des gens aux gro...

à écrit le 06/05/2022 à 23:39
Signaler
Quel gain de sécurité !?! Comme ça tout nos comptes seront protégés et accessible que par une seul clé unique. En cas de piratage, absolument tous ( comptes bancaires, dossiers médicaux, réseaux sociaux ) seront accessible. Et pour rappel, aucun syst...

à écrit le 06/05/2022 à 23:38
Signaler
Quel gain de sécurité !?! Comme ça tout nos comptes seront protégés et accessible que par une seul clé unique. En cas de piratage, absolument tous ( comptes bancaires, dossiers médicaux, réseaux sociaux ) seront accessible. Et pour rappel, aucun syst...

à écrit le 06/05/2022 à 19:40
Signaler
"sur Chrome, Edge et Safari (les navigateurs de Google, Microsoft et Apple) et sur Windows et macOS (les systèmes d'exploitation de Microsoft et Apple pour les ordinateurs)" Quid des autres systèmes (Linux, BSD, ...) et des autres navigateurs (Fir...

le 09/05/2022 à 16:12
Signaler
Ces sont des logiciels open sources... donc oui... Mais remarque se sont tous des systèmes qui ont pour but la libertée avant la sécuritée et qui recoltent le minimum de données personnelles.

à écrit le 06/05/2022 à 18:50
Signaler
Pas trop compris non plus. Aura-t-on le même FIDO pour Facebook, la banque, les impôts et YouP**n ? côté vie privé, il n'y en aura plus. Il existera un serveur centralisant les identifiants FIDO. Quid d'un piratage ou d'une panne ? Aura-t-on encore...

le 06/05/2022 à 21:21
Signaler
Voilà mes interrogations bien résumées. Merci

à écrit le 06/05/2022 à 18:23
Signaler
Ne sont-ils pas en train de créer un gros monstre aspirateur de données personnelles ?? (vraie identité - coordonnées bancaires - habitudes d'achats - navigation internet - impots - consultations médicales - situation fiscale - etc etc )

à écrit le 06/05/2022 à 18:22
Signaler
vite je suis d'accord je me suis faîtes piratée 3 fois et la banque n'a pas voulu me rembourser 2000 euros alors allez y !!!!merci d'avance

à écrit le 06/05/2022 à 18:18
Signaler
sécurisé via carte fido ? vue le covid et pénurie de puce ... et si ta fido est hs ,ya un moyen de recuperé l'enssemble ? encore un truc a acheté quoi ....

à écrit le 06/05/2022 à 14:27
Signaler
pas tres bien compris. en gros on va demander a l utilisateur de confirmer sur son smart phone quand il se connecte. si c est ca, ca pose des problemes (quid si pas de smartphone ou celui ci perdu ou en panne). comment s autentifier si vous etes deja...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.