Google, Microsoft et Apple veulent mettre fin aux mots de passe. Aujourd’hui, ces entreprises annoncent, en collaboration avec l’Alliance Fido, une nouvelle étape importante dans cette direction.

A l’occasion de la journée mondiale du mot de passe, les entreprises annoncent vouloir abandonner la procédure classique d’authentification par mot de passe et nom d’utilisateur. Apple, Google et Microsoft envisagent pour cela d’utiliser le support sans mot de passe de la norme Sign-in-Standards de la Fido-Alliance.

Fido-Sign-in : se connecter sans mot de passe devient la norme

Comme l’explique Google dans son annonce, le groupe va implémenter la technologie Fido dans Chrome, ChromeOS et Android. Apple et Microsoft veulent également préparer leurs plates-formes à cet effet. Google et Microsoft sont depuis longtemps membres de Fido Alliance et utilisent déjà partiellement sa technologie d’authentification dans leurs produits.

Le monde sans mots de passe devrait devenir une réalité d’ici fin 2023. FIDO Credit: Google

Ainsi, Fido 2 était déjà utilisé dans Windows Hello, dans Windows 10 et dans les versions 7 et suivantes d’Android depuis 2019. Apple n’a rejoint la Fido Alliance qu’en 2020 et a intégré Fido 2 dans Face- et Touch-ID avec iOS 14 et iPadOS 14.

Avec l’aide de Fido, « la connexion sera simplifiée sur tous les appareils, sites web et applications » – aucun mot de passe unique ne sera nécessaire. Les fonctions devraient être mises à disposition dans le courant de l’année prochaine.

Fido : comment se connecter sans mot de passe ?

Selon la Fido Alliance, la norme de connexion est déjà prise en charge par « des milliards d’appareils et tous les navigateurs web modernes ». La mise en œuvre actuelle exige toutefois que les utilisateurs s’enregistrent une fois sur chaque site web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. Deux nouvelles fonctions ont été ajoutées à la norme :

1. Les utilisateurs peuvent accéder automatiquement aux codes d’accès Fido sur plusieurs appareils, y compris les nouveaux, sans avoir à se reconnecter pour chaque compte.

2. Les utilisateurs peuvent utiliser l’authentification Fido sur leur appareil mobile pour se connecter à une application ou un site web sur l’un de leurs appareils à proximité, indépendamment du système d’exploitation ou du navigateur utilisé.

Multi-device vs. single-device credentials. Fido Alliance

La connexion à un site web ou à une application sur votre smartphone se fera à l’avenir simplement en déverrouillant le smartphone. Au lieu du mot de passe, une preuve d’autorisation Fido – appelée passkey – sera déposée sur votre smartphone.

Celle-ci sert ensuite à débloquer vos comptes en ligne. La clé d’accès est censée renforcer la sécurité de vos comptes, car elle repose sur un mécanisme de Challenge Response sécurisée par cryptographie entre l’authentificateur et le service. Celle-ci ne serait pas vulnérable au phishing. C’est pourquoi Fido 2 est considéré comme encore plus sûr que d’autres méthodes d’authentification à deux facteurs comme les SMS ou les solutions basées sur des applications.

Si vous souhaitez vous connecter à un site web sur votre ordinateur, votre smartphone est également nécessaire. Sur le smartphone, vous recevez une invitation à le déverrouiller pour vous connecter. Ensuite, il n’est plus nécessaire de confirmer à nouveau avec le smartphone. Si vous perdez votre smartphone, les codes d’accès resteront en sécurité, selon le communiqué. Ils seront en effet synchronisés sur un nouvel appareil via une sauvegarde dans le Cloud.

Première étape : pas de synchronisation automatique des Passkey entre les plateformes

Comme Andreas Proschofsky de DerStandard a pu l’apprendre d’Andreas Türk, chef de produit Google dans le domaine de l’identité, de la confidentialité et de la sécurité au centre d’ingénierie de sécurité de Google (GSEC) à Munich, les trois fournisseurs de plateformes prévoient de promouvoir la norme commune et de l’intégrer rapidement dans leurs logiciels. Dans un premier temps, l’échange des clés d’accès ne se fera automatiquement qu’au sein des écosystèmes respectifs. Cela signifie que les clés d’accès créées sous iOS seront également utilisables de manière transparente sur Mac, mais pas sous Android, Windows ou Chrome.

Selon Türk, des discussions sont en cours pour lever ces restrictions et permettre une synchronisation entre les différentes plateformes. Pour la transition, l’échange de passkey d’une plateforme à l’autre sera possible manuellement via Bluetooth.