Avec le Passkey, Apple enterre déjà le mot de passe

En mai dernier, Futura expliquait que Microsoft, Google et Apple s’étaient accordés pour mettre fin au mot de passe et le remplacer par une solution universelle, comme un PIN, ou des capteurs biométriques présents sur les appareils (empreinte digitale, reconnaissance faciale…). Apple va être le premier à dégainer en intégrant cette capacité avec le déploiement d’iOS 16 aujourd’hui, puis d’ici un mois avec macOS Ventura. Chez Apple, le procédé qui sera implanté s’appelle Passkey. Ce nouveau sésame pourra vous connecter facilement aux applications, aux services Web et même créer de nouveaux comptes, sans avoir à générer de mot de passe complexe et le mémoriser. Autrement dit, c’est le début de la fin des mots de passe et, finalement, peut être aussi celle des indispensables gestionnaires de mots de passes.

Le fameux sésame est remplacé par une paire de clés de chiffrement uniques qui seront synchronisées sur le trousseau d’iCloud. Si vous possédez déjà un compte avec des identifiants pour un service ou une application, il faudra d’abord vous connecter avec ces identifiants. Ce n’est qu’à partir de ce moment que vous pourrez utiliser le Passkey pour le remplacer. En revanche, si vous créez un nouveau compte d’utilisateur, vous pourrez générer directement ce Passkey.

La biométrie en renfort

Plus d’histoire de mot de passe ridiculement simples tel le fameux 12345678 donc, mais le principe restera le même. Le Passkey repose sur le protocole FIDO qui a été mis au point par l’alliance issue de l’accord entre les géants de la tech, et notamment Apple, Microsoft et Google. Il ne sera donc pas propre à la marque à la pomme et fonctionnera d’ailleurs pour les autres services, comme Meta, ou Amazon, par exemple. En attendant que Futura puisse tester iOS 16 et cette fonction précise, les démonstrations d’Apple montrent qu’un message s’affiche et demande si l’on souhaite enregistrer un mot de passe. À partir de ce moment, l’appareil vous invite à utiliser Face ID, Touch ID ou une autre méthode d’authentification pour générer le Passkey.

Apple, Google et Microsoft accélèrent l’enterrement des mots de passe

D’ici un an, ce sera le début de la fin pour les fameux sésames difficiles à retenir quand ils sont complexes et si faciles à pirater lorsque l’on peut les mémoriser. Les trois géants de l’informatique se sont entendus pour intégrer la norme d’identification sans mot de passe Fido2.

Article de Sylvain Biget, publié le  08/05/2022, modifié le 01/08/2022

Selon un rapport du spécialiste de la cybersécurité Verizon, dans 80 % des cas, le piratage d’un compte provient d’un mot de passe faible et facile à trouver. Il y a bien les gestionnaires de mots de passe qui permettent de renforcer la sécurité en mémorisant des mots de passe complexes, mais impossibles à retenir. Mais, bientôt, on pourra s’en remettre au fruit d’une alliance assez inattendue entre Apple, Google et Microsoft pour renforcer la sécurité.

Les trois géants de la high-tech ont uni leurs forces pour intégrer ensemble une identification sécurisée et sans mot de passe que ce soit sur les mobiles, les ordinateurs ou via les navigateurs. Ils vont faire en sorte que leurs produits prennent en charge la norme de connexion sans mot de passe de la Fido Alliance (Fast IDentity Online) et du World Wide Web Consortium. Empreinte digitale, scan du visage, ou code PIN seront les nouveaux sésames universels pour déverrouiller votre appareil et retrouver vos données.

Une alliance de circonstance pour renforcer la sécurité

Le système sera d’autant plus pratique, que si vous changez de smartphone, par exemple, vous n’aurez pas besoin de vous connecter la première fois en utilisant votre mot de passe et identifiant. Cela fait déjà un moment que les trois sociétés ont intégré les composants pour prendre en charge la norme Fido2 mais, pour le moment, il reste toujours obligatoire de se connecter aux comptes au moins une fois en saisissant des identifiants.

Avec le nouveau système et son identifiant unique activé par la biométrie, par exemple, il sera désormais très difficile pour les pirates de s’emparer du compte d’un utilisateur. Selon le trio, la mise en œuvre de cette norme sans mot de passe sera appliquée d’ici un an et fonctionnera de façon indifférente sur macOS et son navigateur Safari, Androïd avec Chrome ou Windows et Edge.

Dépassés, les mots de passe vont disparaître

Derrière le nom WebAuthn, se cache un nouveau standard qui propose d’abandonner les mots de passe au profit de la biométrie ou de clés USB sécurisées.

Article de Fabrice Auclert, publié le  06/03/2019

Le W3C (Word Wide Web Consortium), l’organisme principal qui gère les standards du web, et l’Alliance Fido (Fast IDentity Online), une association d’entreprises qui vise à sécuriser le web, viennent d’annoncer l’adoption de la spécification Web Authentification, aussi connue sous le nom WebAuthn, qui permettra de s’affranchir des mots de passe sur les sites web.

Ces deux organismes se sont associés pour résoudre un problème de sécurité majeur : les mots de passe. Les internautes utilisent de nombreux comptes pour accéder aux différents sites web, chacun ayant son propre mot de passe. Devant la difficulté de créer autant de mots de passe différents et à les retenir, il arrive souvent qu’ils laissent ceux par défaut ou qu’ils optent pour des mots de passe faciles à retenir, comme « 1234 », ou bien encore, qu’ils utilisent le même partout. Ils sont alors vulnérables à des attaques simples, ou peuvent être récupérés en infectant l’ordinateur de la victime. Si la personne a utilisé les mêmes codes pour plusieurs comptes, ils peuvent être tous compromis.

Une adoption anticipée

Il existe quelques solutions pour renforcer la sécurité, comme les gestionnaires de mots de passe ou l’authentification multifacteurs avec, par exemple un code de confirmation par SMS, mais cela ne suffit pas à long terme. Le nouveau protocole Fido2 apporte une sécurité renforcée, tout en simplifiant l’utilisation grâce à l’élimination des mots de passe. Concrètement, il est composé de deux éléments. Tout d’abord, une authentification, grâce à un système biométrique (comme un lecteur d’empreintes ou une caméra), mais également un appareil mobile ou une clé USB de sécurité Fido. Le second élément est l’API WebAuthn qui permet, notamment, aux navigateurs et sites web d’échanger de manière sécurisée afin de s’identifier.

Les navigateurs principaux avaient déjà anticipé l’adoption du WebAuthn. Mozilla a intégré l’API dans la version 60 de son navigateur Firefox, sorti en mai 2018. Google emboîtait le pas à peine quelques jours plus tard avec la version 67 de Chrome, puis Microsoft a suivi avec son navigateur Edge, et Apple avec Safari. Ce nouveau standard est pris en charge sur Windows 10 et Android.

Un système plus pratique et une sécurité renforcée

La standardisation du WebAuthn, qui met donc le système Fido2 à disposition de tous les sites web, apporte plusieurs avantages. Les identifiants sont uniques pour chaque site web, et aucune information secrète n’est échangée. Il n’envoie ni mot de passe ni données biométriques. Il n’est, par conséquent, pas possible de les obtenir par hameçonnage, et même dans l’éventualité qu’un compte soit compromis, cela ne donnerait aucun accès aux autres comptes de la victime.

De plus, l’inscription crée un identifiant unique au site web. Cela améliore le respect de la vie privée, puisqu’il est alors impossible de suivre un utilisateur d’un site à l’autre. Enfin, le processus est très simple à mettre en œuvre et rapide à utiliser. Les sites doivent faire appel à l’API WebAuthn qui est donc standardisé. Les utilisateurs n’ont pas à saisir leur identifiant et mot de passe, il leur suffit d’activer leur système d’identification, comme poser leur doigt sur le lecteur d’empreintes.