Chrome 67 veut en finir avec les mots de passe

Mickaël Bazoge |

Chrome 67 est une mise à jour essentielle non seulement pour les émojis bien sûr, mais aussi pour l'avenir de WebAuthn : cette version du navigateur de Google prend en charge cette nouvelle API qui permet de s'identifier sur un site web via une authentification biométrique à réaliser avec son smartphone.

Lorsque l'internaute veut, depuis Chrome, s'identifier dans un service en ligne compatible, il reçoit une demande d'authentification à réaliser sur son smartphone : cela peut être de saisir le code de déverrouillage de l'appareil, vérifier l'empreinte digitale ou identifier le visage. L'opération terminée, le site web s'ouvre sans plus de cérémonie.

Chrome n'est pas le seul navigateur à intégrer cette nouveauté. C'est aussi le cas de Firefox 60. Outre Google et Mozilla, Microsoft s'est également engagé à supporter WebAuthn qui devrait donc apparaitre à un moment ou à un autre dans Edge. Et Safari ? Il y a des chances pour que l'API soit prise en charge dans le navigateur d'Apple : plusieurs employés du constructeur font en effet partie du groupe de travail du W3C sur le sujet.


avatar vlsf1 | 

Mouais. Changer d’appareil n’est-il pas plus contraignant qu’une application de gestion de mots de passe ?

avatar Sgt. Pepper | 

Les hackers vont adorer : non content de pouvoir accéder au mobile Android ,

ils vont maintenant avoir aussi accès aux sites web ?

https://twitter.com/rikvduijn/status/1001472715566538752?s=21

avatar Ali Ibn Bachir Le Gros | 

J'ai un Oneplus 6, j'ai essayé de le tromper avec des photos papier de moi (pas aussi grandes que ce que le gars à fait) et des images sur l'écran de l'iMac. Pour l'instant j'ai pas réussi à le déverrouiller. Mais il faudrait que j'essaye comme il a fait, pour voir si c'est un fake ou pas.

avatar C1rc3@0rc | 

@Ali Ibn Bachir Le Gros

L'identification faciale n'est pas et ne sera certainement jamais un systeme de securité. Il est impossible de garantir l'identité du visage ni son unicité, donc par principe ce n'est pas un systeme de securité, a ce niveau le debat est clos depuis longtemps.

Lorsque l'identification faciale est utilisée dans une procedure de securité un peu serieuse c'est en complément d'autres techniques.
Du coté Android, le système dont on parle date depuis des années et n'est pas presenté comme un élément de sécurité. A ce niveau on a une communication tres claire chez Xiaomi.
Il est inutile de developper des systeme plus complexes qu'une simple camera, le probleme reste le meme par nature. Toutes autres considerations c'est juste du marketing de novatisme...

Plus generalement l'authentification biometrique reposant sur un seul element n'est pas un systeme de securité! Une marque qui affirme de contraire ne fait que tromper et mettre en danger les utilisateurs de ses produits.

Maintenant pour revenir a WebAuthn, c'est un systeme d'authentification a cle publique reposant sur une validation sur un terminal different... donc on a un principe qui se rapproche de l'authentification en 2 facteurs.
En principe ça pourrait être une évolution dans le bon sens... sauf que c'est une fausse bonne idée.

En fait la responsabilité d'authentification est déportée un éléments tiers, ce qui complique juste la procédure, mais n'en change pas la fiabilité. Ici le maillon faible c'est donc la méthode d'authentification et l'appareil.
Certes, il y a un avantage dans le fait qu'il n'y a pas d'interface a développer dans le site Web pour gérer l'authentification et donc il y a moins de risques de bug dans une partie qui est très souvent mal gérer et mal programmée. Accessoirement ça va aussi permettre aux sites Web de se dégager de la responsabilité du piratage.

Dans tous les cas le seul moyen actuel de reellement securiser une authentification c'est de mettre en place un systeme a double facteurs, idealement mais pas necessairement realisé a l'aide de 2 terminaux distincts, et donc reposant sur deux identifiant et 2 mots de passe... Et eviter absolument d'utiliser le SMS pour cela.

Donc d'une part on en a pas fini avec les mots de passe, bien au contraire, mais en plus la responsabilité de la fiabilité du mot de passe doit être contrôlée par le site lors de sa définition (donc ne pas accepter les "creations" du style 1234)...

avatar MacGyver | 

tu te rends compte que tu fais des commentaires plus longs que les articles en question?

tu devrais ecrire des articles pour macg si t'as rien a faire

avatar Ali Ibn Bachir Le Gros | 

Ah p.tain pas de bol, C*.* arrive, il aurait pu s'épancher sur n'importe quelle autre réaction, mais non, ça tombe sur ma gueule ?.

avatar gela | 

@Ali Ibn Bachir Le Gros

Ha ha. ???. Très drôle.

avatar Yves SG | 

@Sgt. Pepper

C’est sur que d’utiliser cette fonction avec un tel sous andoid c’est suicidaire !

avatar switch | 

Les navigateurs savent enregistrer les mots de passe des sites depuis belle lurette.
Si j'ai bien compris, rajouter une couche de biométrie qui nécessite de surcroit un second appareil permettrait de ne plus avoir à les stocker via le navigateur.
L'idée est bonne, mais à l'usage ça va faire des manips supplémentaires, donc pas sur que le grand public accroche immédiatement. Quand à la sécurité d'Androïd…

avatar ifranz67 | 

Ah on est bien sur iOS :) :)

Ps : j’ai aussi un RedMi 5 plus ^^

avatar mp_ | 

« Et Safari » ?

2 ans après tout le monde, comme d’habitude.
Le retard permanent en terme d’implémentation des normes en fait presque l’IE des temps modernes ...

avatar Malum | 

Quelle norme ? C’est un choix et non une norme. Ensuite le moteur de Safari est utilisé par d’autres navigateurs. Enfin cette histoire de deux ans de retard n’est qu’un argument d’autorité qui ne repose ni sur une durée réelle et constante ni sur une universalité de retard. Juste un message pour répéter comme un perroquet une fausse vérité sans en plus se préoccuper de l’utilité réelle de la nouveauté ni de la praticité de son usage.

avatar mp_ | 

"Quelle norme ?"

La norme Web Authentification ; merci de lire l'article. C'est bien une norme W3, déjà bien avancée (elle a dépassé le stade du draft).

"Ensuite le moteur de Safari est utilisé par d’autres navigateurs."

Non. Des 4 principaux navigateurs du marché (Safari, Chrome, Firefox et Edge), Webkit (car je pense que c'est ce dont tu parles), seul Safari l'utilise. Mais là il n'est pas question de Webkit (le moteur de rendu HTML), mais d'API Javascript ; donc de JSCore ; qui a _toujours_ un train de retard par rapport à la concurrence (V8, Rhino, et cie).

Il n'est certainement pas question d'une "fausse vérité", mais simplement d'un constat que je constate au quotidien dans mon job.

avatar pga78 | 

@mp_

Je pensais que Chrome était aussi basé sur WebKit ???

avatar webHAL1 | 

@pga78
« Je pensais que Chrome était aussi basé sur WebKit ???" »

C'était le cas au début, mais depuis environ 5 ans le moteur de rendu de Google Chrome est Blink, qui à la base était un "fork" de WebKit.
Il n'y a que sur iOS que Chrome utilise encore WebKit (pas le choix).

avatar Jamseth | 

Pour moi, dans mon boulot, c'est gecko l'IE des temps modernes...

avatar pga78 | 

Tout comme Opera même si celui ci reste confidentiel

avatar h-de-pierre | 

Ça fonctionne avec un iPhone, ou est-ce réservé au monde Androïd ?

avatar vache folle | 

J’ai pas regardé le détail, mais sympa, l’agrégation de données personnelles supplémentaires.
Non content de savoir ce qu’on visite, ils vont aussi connaître nos numéros de téléphone. J’adore

CONNEXION UTILISATEUR