2. Technos & Medias

Suppression des mots de passe : au revoir la charge mentale et bonjour la sécurité promettent Apple, Google et Microsoft

Par Jérôme Cristiani  |   |  1170  mots
(Crédits : Reuters)
Le mardi 5 mai 2022 est un jour à marquer d'une pierre blanche: pour rendre le Web plus sûr et plus facile à utiliser, Apple, Google et Microsoft ont annoncé leur intention d'étendre aux particuliers la prise en charge d'une norme de connexion sans mot de passe. En clair, il s'agit de simplifier la vie de milliards d'internautes (5,3 milliards) et de sécuriser leurs usages des innombrables plateformes en ligne, devenues incontournables avec la dématérialisation des services. En effet, les internautes utilisent trop souvent des mots de passe très faciles à deviner voire toujours le même pour se simplifier la vie... mais aussi celle de tous les aigrefins.

Pendant des années, le fléau des internautes, c'était les spams, des tsunamis de spams qui convergeaient de toutes parts pour se déverser en wagons entiers dans nos boîtes mails. Mais alors que celui-ci est en très bonne voie de disparaître, un autre fléau prenait le relai : celui des mots de passe, dont le nombre ne cesse d'augmenter avec la dématérialisation galopante de nos sociétés. Ces mots de passe qu'on nous demande à chaque pas sur Internet, qu'il s'agisse de se connecter ici à ses services de base en ligne (Sécu, banque, assurance, télécoms, médecin, transports, voyages...), là à ses réseaux sociaux, voire à ses différents comptes de mails, à ses applis en ligne pour le bureau comme pour les loisirs... ils pullulent et chacun de se faire sa petite solution de secours (système mnémotechnique du type AujourdhuiA-N@ntes-ilfaitB3au! et/ou liste papier ou numérique) pour ne pas en oublier un seul, à défaut de se retrouver le bec dans l'eau.

Et c'est justement ce qu'a pointé hier Grahame Williams, directeur de la gestion des identités et des accès chez Thales, lors de la Journée mondiale du mot de passe, lorsqu'il a déclaré que les mots de passe "devenaient de plus en plus dangereux" parce qu'ils étaient "facilement piratés":

« Des recherches récentes montrent que nombre de PDG utilisent encore "12356" comme mot de passe. »

En effet, l'autre gros problème, c'est celui de la sécurité, le danger de se faire pirater son compte - voire tous ses comptes - et de ne plus pouvoir accéder à ses données, ou alors contre rançon. Quand ce n'est pas carrément l'usurpation d'identité qui guette... Bref, une forte charge mentale quotidienne à gérer, et une injonction de sécurité qui dépasse l'entendement humain. Car, littéralement débordés dans leurs capacités cognitives, les internautes utilisent alors des mots de passe trop faciles à deviner, voire toujours le même pour se simplifier la vie... mais aussi celle des escrocs de tout poil en embuscade.

Selon une ancienne étude (2016) de Skyhigh Networks analysant 11 millions de mots de passe mis en vente sur le Darknet, 10,3% des internautes utilisent l'un des 20 mots de passe les plus populaires d'internet. Ce qui revient à dire qu'en moins de 20 essais, n'importe qui pourrait pirater près d'un compte sur dix.

Alliance de choc pour alléger et sécuriser l'usage d'Internet

Mais, bonne nouvelle a priori, les géants de l'Internet Google, Apple et Microsoft ont profité de la Journée mondiale du mot de passe, jeudi 5 mai, pour annoncer qu'ils s'alliaient afin d'en finir avec ce calvaire. Le communiqué publié depuis Mountain View, le fief de Google, annonce que les trois géants vont s'allier pour construire un système permettant de s'authentifier sans avoir à mémoriser des séries de signes cabalistiques.

La nouvelle fonctionnalité permettra aux sites web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

"Avec la nouvelle fonctionnalité, les consommateurs pourront s'authentifier sur les sites internet et les applications mobiles facilement, sans mot de passe et en sécurité, quel que soit l'appareil ou le système d'exploitation", a résumé l'association FIDO Alliance (Fast Identity Online Alliance) dans un communiqué.

FIDO, c'est la cheville ouvrière de cette révolution technologique, une alliance d'industriels travaillant à améliorer, faciliter et sécuriser l'authentification numérique. FIDO a été lancée officiellement en février 2013 mais elle a été fondée un an avant, en 2012, par l'alliance d'acteurs majeurs comme PayPal, Validity Sensors (ces deux-là étant le noyau originel créé en 2009 autour des problématiques de cryptographie à clé publique), Lenovo, Nok Nok Labs, Infineon et Agnitio. C'est en 2012 qu'ont débuté les travaux sur un protocole d'authentification sans mot de passe.

Depuis, des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils fonctionnant sous tous les systèmes d'exploitation et navigateurs Web modernes (iOS, macOS, Safari, Chrome, Android, Edge, Windows, etc.), dixit le communiqué du FIDO.

Des milliards d'appareils... pour des milliards d'utilisateurs: d'après le site Internet Live Stats, les internautes sont aujourd'hui 5,3 milliards dans le monde. Le nombre d'utilisateurs d'Internet a été multiplié par 10 entre 1999 et 2013, en accélération constante (1 milliard d'internautes en 2005, 2 milliards en 2010, 3 milliards en 2014).

Des "identifiants Fido" pour s'authentifier sur toutes les plateformes

Dans le communiqué d'hier, Google explique que l'objectif est que les utilisateurs puissent se connecter à un service en ligne simplement en débloquant leur smartphone (via leur méthode habituelle : empreinte digitale, reconnaissance faciale, code de plusieurs chiffres...).

Concrètement, un site web pourra demander à l'internaute s'il veut "s'authentifier avec ses identifiants FIDO". Ce message apparaîtra simultanément sur son téléphone, où l'utilisateur aura juste besoin d'accepter, en déverrouillant son écran, pour être connecté au site. Les smartphones conserveront ces identifiants codés, baptisés "passkey" (clef d'accès). Une fois enregistré sur Fido, il ne sera ensuite plus nécessaire, à aucun moment de créer ou d'entrer un mot de passe.

La promesse est que l'authentification Fido sera accessible quel que soit le système d'exploitation ou le navigateur, et quel que soit l'appareil, puisqu'il sera possible de convertir un nouvel appareil via Bluetooth à l'aide d'un premier appareil ayant déjà les informations d'identification. Il ne sera pas non plus nécessaire de recourir à la double authentification par SMS, désignée comme obsolète depuis... 2016.

Une solution à pas de géants, d'ici à douze mois

Les trois géants des technologies se sont engagés à mettre en place ce nouveau système dans les douze mois, sur Android et iOS (les systèmes d'exploitation mobiles de Google et Apple), sur Chrome, Edge et Safari (les navigateurs de Google, Microsoft et Apple) et sur Windows et macOS (les systèmes d'exploitation de Microsoft et Apple pour les ordinateurs).

"L'authentification avec des mots de passe uniquement est l'un des problèmes de sécurité les plus importants sur le web", note Apple dans son communiqué, qui ajoute:

« La nouvelle approche protégera du hameçonnage et la connexion à un service sera radicalement plus sûre que les mots de passe et d'autres technologies comme les codes uniques envoyés par SMS. »

Pour Andrew Shikiar, directeur exécutif et CMO de l'Alliance FIDO, "cette nouvelle capacité devrait inaugurer une nouvelle vague d'implémentations FIDO à faible friction parallèlement à l'utilisation continue et croissante des clés de sécurité, offrant aux fournisseurs de services une gamme complète d'options pour déployer une authentification moderne et résistante au phishing."

(avec AFP et Reuters)