Bientôt la fin des mots de passe ? Google, Apple et Microsoft veulent y parvenir avec l’alliance FIDO

La démultiplication des mots de passe en ligne demeure frustrante pour beaucoup. Elles sont également sources d’importantes failles lorsqu’ils sont mal choisis. Les plus grands acteurs du web en ont conscience et veulent y remédier en développant une norme d’authentification universelle et transparente.

|Écrit de Louis Viratelle
Remerciements à Mathis pour sa contribution. 
Publié le 7 septembre 2022. 

|Écrit de Louis Viratelle. 
Remerciements à Mathis pour sa contribution. 
Publié le 7 septembre 2022. 

En 2022, les deux mots de passe les plus utilisés par les français demeurent « 12345 » et « azerty ». Ironie du sort, ce sont des fuites de mots de passe récupérées depuis des bases de données piratées qui permettent d’établir ce constat. La situation traduit certes le travail de sensibilisation qu’il reste à effectuer auprès du grand public pour l’éclairer sur l’importance de la robustesse des mots de passe. Mais c’est aussi la preuve la plus forte que choisir un mot de passe lorsqu’on crée un énième compte pour un énième site sur lequel on ne se connectera peut-être qu’une seule fois est un moment embêtant pour tous.

On préfère alors bâcler son choix au plus vite pour s’en débarrasser, même si c’est lui qui protégera des informations très privées.

Les gestionnaires de mots de passe ont largement contribué à accroitre la sécurité en ligne, en générant et mémorisant nos mots de passe à notre place. Mais la situation est imparfaite, tout comme les contraintes de chiffres, de majuscules ou encore de taille des mots de passe.

Les services de gestion de mot de passe les plus populaires nécessitent très rapidement de souscrire à un abonnement. Or beaucoup – à commencer par moi – n’envisagent pas de mettre la main à la poche juste pour ses mots de passe.

Les solutions moins connues, « open source » et entièrement gratuites tel que Bitwarden, restent quant à elles trop souvent inconnues. Elles souffrent sûrement de leurs interfaces moins accueillantes (un choix honnête si le travail de développement privilégie avant tout la sécurité) et d’un manque de ressources financières pour se faire autant connaitre que certains VPN… malgré leur contribution à la sécurité en ligne bien plus palpable…

Google, Apple, Microsoft, Samsung, Firefox ou encore Opera sont également des acteurs forts qui apportent leurs solutions. Mais là aussi, elles sont loin d’être assez universelles. À partir du moment où vous utilisez différents navigateurs internet, ou que vous n’êtes pas entièrement dans l’écosystème Google, Apple ou Samsung ou encore si vous devez vous connecter sur l’ordinateur d’un ami ou d’un collègue, les ennuis ressurgissent et demeurent. Vous êtes alors de nouveau contraints d’ouvrir votre gestionnaire et de recopier manuellement l’horrible mot de passe généré automatiquement.


Les clés de passe sont la promesse d’un standard universel multiplateforme, assurant un plus haut niveau de sécurité et une authentification naturelle

L’alliance FIDO a pour ambition de faire basculer le monde de l’authentification des mots de passe vers les clés de passe. Cette alliance réunit aujourd’hui les trois plus grands acteurs du numérique : Google, Apple et Microsoft. D’autres très grands noms de la tech ont rejoint l’alliance tel que les spécialistes de l’authentification LastPass, 1password, Dashlane mais aussi Amazon, Meta, ARM, PayPal, Samsung, Thales, Sony, Twitter, Huawei pour ne citer qu’eux.

L’alliance ne date en fait pas d’hier. Ces groupes veulent depuis des années authentifier les utilisateurs via la biométrie. Pour autant l’ambition d’époque a semblé insuffisante pour faire émerger un standard universel. L’immense majorité des sites utilisent aujourd’hui des comptes protégés par mot de passe. Idem pour la majorité des applications.

Mais l’intégration d’Apple à l’alliance, le rafraichissement des objectifs de FIDO, la nécessité croissante (et trop souvent désagréable) de se créer de nouveaux comptes pour chaque usage en ligne, ainsi que le besoin de sécurité toujours accru pourrait changer la donne.

L’alliance vise aujourd’hui notamment à universaliser le standard sur les sites web et applications. Elle compte notamment sur le fait que les plus grands systèmes d’exploitation et principaux outils numériques devraient être compatibles dès cette année (iOS 16, Android 13, MacOS Ventura, Windows en font partie). Cette compatibilité universelle y compris chez Apple (qui « markette » ce standard sous la technologie « Passkeys ») devrait dynamiser profondément la solution et son déploiement.

Pour autant ce sont bien les sites, les applications et donc les développeurs et entreprises qui les gèrent, qui ont la clé du succès de l’alliance. Ils devront en effet rendre compatible leurs produits numériques avec ce système d’authentification, tout comme ils l’ont plus ou moins fait pour les étiquettes « se connecter avec Google / Apple / [etc…] ». Ce n’est sûrement pas insurmontable mais la dynamique de leur contribution définira le succès à court terme de la FIDO.

FaceID d’Apple est aujourd’hui l’une des technologies de reconnaissance biométrique grand public les plus complexes et fiables.


Une technologie basée sur l'universalité multiplateforme et pensée pour allier sécurité avec simplicité

Techniquement, les identifiants et mots de passe pour s’authentifier sont remplacés avec FIDO par une seule clé générée automatiquement, et que l’utilisateur ne pourra jamais accéder en claire. Seule la biométrie propre à la personne qui s’authentifie est capable de « débloquer » (ou plutôt déchiffrer) cette clé pour prouver l’authentification aux sites et applications. Les capteurs biométriques (FaceID, ainsi que les reconnaissances biométriques et faciales) aujourd’hui intégrés à la grande majorité des ordinateurs et smartphones jouent donc un rôle central dans ce standard.

À terme l’idée serait par exemple de pouvoir créer un compte sur un site en ligne avec une clé de passe validée depuis l’empreinte digitale de son smartphone Samsung, basculer sur un appareil Windows, accéder au même site et prouver son authenticité avec Windows Hello puis être toujours authentifiable au compte en ligne grâce au FaceID de son iPad.

Pour répondre à l’ensemble des cas d’usage, FIDO pense aussi à la situation où vous devriez vous authentifier sur un service numérique depuis un appareil qui n’est pas le vôtre (et donc qui n’a pas votre visage ou empreinte digitale d’enregistré). Il suffirait alors d’envoyer une demande d’authentification ou de scanner un QR code sur l’un de vos appareils sur lequel sont enregistrées vos informations biométriques, tout en initiant une connexion Bluetooth (qu’on ose espérer totalement automatisée) entre les deux appareils pour prouver leur proximité, votre identité et l’authentification sur le service.

En définitif avec cette solution vous ne garderez qu’un seul mot de passe maitre. C’est le mot de passe « porte d’entrée » qui vous permettrait d’accéder à l’ensemble de vos clés de passe. Ce mot de passe maitre serait lié à une entreprise plus qu’une autre (un compte Google, iCloud, Microsoft ou encore Dashlane). C’est lui qui serait votre dernier recours si jamais vous n’aviez plus du tout accès à aucun de vos appareils contenant vos informations biométriques pour vous authentifier à vos services.


Une solution contre les mots de passe faibles, réutilisées plusieurs fois et contre les attaques par hameçonnage (phishing)

Au-delà de la praticité de la solution qui devrait tous nous soulager de ce réflexe de connexion, FIDO devrait annuler le problème des mots de passe faibles et réutilisés. Chaque clé de passe sera totalement unique et dédiée au service sur lequel on veut s’authentifier. La clé sera autrement plus complexe qu’avec les mots de passe, rendant la possibilité de succès d’une attaque par force brute très faible.

Les attaques par hameçonnage deviendront également impossibles. L’utilisateur ne s’authentifiant plus manuellement avec son mot de passe, il ne devrait plus pouvoir contribuer involontairement à ces attaques.
Pour rappel, une attaque par hameçonnage consiste la majorité du temps à vous envoyer un mail ou un sms avec un lien qui vous invite à vous connecter à votre banque ou à un site internet sur lequel vous auriez un compte. C’est en réalité une fausse interface ressemblante à celle que vous connaissez qui va récupérer votre identifiant et mot de passe. Les hackeurs profiteront de ces données précieuses pour la plupart du temps récupérer de l’argent voir d’autres informations sur vous pour initier d’autres attaques.

Pour autant toute la sécurité reposera donc sur l’alliance FIDO. C’est elle qui devrait garantir à terme l’accès à des comptes très sensibles. Une quelconque faille de sécurité (ou même liée à cette collaboration qui imbrique de nombreuses entreprises) pourrait alors être fatale. Mais l’implication des plus grands acteurs du web reste rassurante quant au niveau se sécurité de la solution envisagée.

Enfin, si les mots de passe disparaissaient, ils seraient surtout remplacés par votre visage et votre empreinte digitale. Ce sont là des informations uniques, au plus proche de vous pour vous reconnaitre et par conséquence très, très, difficile à usurper. Mais si des failles techniques permettaient d’avoir accès à une modélisation 3D de votre visage ultra précise telle que celle générée par FaceID ou encore à votre empreinte, les conséquences pourraient être critiques. Contrairement à un mot de passe, votre visage et empreinte digitale ne se changent pas, et c’est toute votre identité numérique et physique qui en subirait les conséquences irréversibles.

Partager l'ArTech

Partager l'ArTech

Partager l'ArTech

Partager l'ArTech