Apple, Google et Microsoft travaillent avec l’alliance FIDO pour éliminer les mots de passe
Apple, Google et Microsoft s’engagent officiellement pour prendre en charge dans leurs systèmes d’exploitation et navigateurs la solution de l’alliance FIDO pour éliminer les mots de passe sur le web. On pourra utiliser le capteur biométrique d’un smartphone, d’une tablette ou d’un ordinateur pour s’authentifier sur un site, sans avoir à créer de mot de passe, ni reposer sur un deuxième facteur qui est une méthode plus sécurisée, mais aussi plus contraignante. Cette officialisation n’est pas une surprise, ce plan est en mouvement depuis plusieurs années et Apple était à sa tête :
Passkeys et WebAuthn : Apple imagine un futur sans mots de passe
Le plan de l'industrie pour se débarrasser des mots de passe
L’authentification par « passkeys » deviendra ainsi un standard du web pris en charge à terme par tous les systèmes d’exploitation et par tous les navigateurs web. C’est un point essentiel pour que l’on puisse se passer de mot de passe : on pourra utiliser cette nouvelle forme d’authentification quel que soit l’appareil utilisé, même si on passe d’un iPhone à un smartphone sous Android, par exemple. Autre enjeu, simplifier le processus au maximum, notamment pour ne pas avoir à enregistrer chaque appareil sur chaque site web.
Concrètement, l’alliance FIDO en partenariat avec les entreprises annonce deux nouveautés pour le standard. D’une part, l’accès aux informations sécurisées stockées sur les appareils des utilisateurs pourra se faire automatiquement. D’autre part, on pourra utiliser un appareil mobile pour s’authentifier sur un ordinateur situé à proximité et là encore, cela fonctionnera pour tous les navigateurs et tous les systèmes d’exploitation. Ce mécanisme d’authentification ne sera pas réservé aux sites web, les apps pourront aussi l’exploiter.
Ces nouveautés devraient arriver chez Apple, Google et Microsoft d’ici la fin de l’année 2022. Du côté de la Pomme, le plus probable serait une intégration dans iOS 16 et macOS 13. Apple a déjà mis en place une solution proche de celle qui sera standardisée pour ses propres sites web et pour la fonction « Connexion avec Apple », même s’il lui manque l’intéropérabilité et la possibilité d’utiliser un iPhone à proximité d’un Mac.
D'où la pression de 1password pour nous faire prendre un abonnement de 3 ans de leur logiciel .. ils commencent a se dire que il risque de devenir caduc dans les 5 ans à venir ..
@fosterj
Lol mais bien sur.
Les cartes bancaires, les passeports, numéros de sécu, numéros de comptes, codes wifi, documents sensibles… et tous les mots de passe de tous les sites internet… vont tous disparaitre dans quelques années?
Les gestionnaires de mot de passe servent a bien plus que de stocker ses mots de passe.
Je suis abonné, il n'ya pas d'abonnement de trois ans...
https://paste.pics/GUYVY
@fosterj
Je suis abonné depuis 2 ans, je viens de passer en V8 et mon abonnement est de 1 an au même prix que la V7
Arrêtez de dire n’importe quoi !!!!
ne soyez pas agressif svp ou de dire que je raconte n'importe quoi .. demandez moi de préciser si besoin mais bon sang un peu de savoir vivre .. j'ai dit que 1password faisait pression car il PROPOSE SYSTEMATIQUEMENT en bas à gauche pour ceux qui ne sont pas encore abonné ou ne s'étant pas connecté de souscrire un abonnement de 3 ans pour 50% .. cf screenshot
https://paste.pics/GUYVY
Bonne fin de journée.
@fosterj
L’abonnement se paye à l’année mais on bénéficie du rabais durant 3 ans, c’est un
« Cadeau « de leur part pour faire passer la pilule de l’abonnement. Mais c’est bien un payement pour une année renouvelable mais aucune obligation de rester les 3 ans ;)
@Jeamy
Pauvre de toi ! Agressif !
@fosterj
Pourquoi ne pas passer sur Bitwarden ?
Je ne me plains pas .. je constate la tendance de 1password a nous engager pour 3 ans .. et je faisais le lien avec l'article sur la disparition des mots de passe
Merci pour la suggestion
@fosterj
Ah non non je sais bien. C’était plus une suggestion oui ;)
@DP-Britto
J’ai essayé bitwarden mais je le trouve pas super pratique. Peut etre que je m’y prend mal.
Je cherchais une solution compatible iphone / windows.
J’aime bien trousseau d’apple malheureusement sur PC c’est moins evident.
Pas encore essayé 1password.
@Sanid35
Ah bah Bitwarden est crossplateforme, fonctionne aussi bien sous Windows, macOS, Linux, iOS ou Android et a même une extension pour les navigateurs web.
Sur iOS, j’ai choisi de préremplir les mots de passe avec Bitwarden. Réglages > Mots de passe > Préremplir les mots de passe > Bitwarden. Du coup, quand je souhaite me connecter à une app, le processus est le même qu’avec Trousseau d’Apple 👌
@DP-Britto
Merci ! Effectivement moi j’avais laissé trousseau icloud et bitwarden cochés et du coup c’etait moins intuitif. La j’ai laissé que bitwarden je vais voir a l’usage entre mon iphone et mon PC si c’est fluide.
@Sanid35
Avec plaisir 🙌
Franchement j’étais septique au début comme vous car utilisateurs de produits Apple mais après une fois installé, adopté direct, sachant qu’en plus j’ai vendu mon MacBook Pro pour passer à Linux et que je suis en train de vendre mon iPhone pour passer à e/os.
@fosterj
J’utilise les mdps recommandé d’apple , plutôt efficace en faite même indispensable aujourd’hui
Ca fonctionne même a travers la majorité des applications donc plutôt bon pour apple
@tahitibobx987
Je l’utilise pas car comment tu fais si t’es sur un PC apres ? Compliqué de retrouver le mdp
Ah bah enfin
Plein de possibilités. Plein de failles potentielles aussi. Je suis curieux de voir l’ingéniosité des uns et des autres pour les trouver ou les boucher.
De beaux articles en perspective.
@DahuLArthropode
bof, moins que les mot de passe "123456" trop souvent trouvés.
@raoolito
Oui, ce n’était pas une critique de l’approche, seulement un intérêt pour les nouvelles façons d’attaquer le système. Comme dans « de la Terre à la Lune », la course entre les marchants d’obus et ceux de blindages.
@DahuLArthropode
Le problème est surtout en cas de faille critique, autant Apple réagit vite, autant Google et Microsoft eux c’est pas pressé….
@Insomnia
Entre 2019 et 2021 le temps moyen de correction de faille est le suivant pour les 3 acteurs majeurs.
Apple : 69 jours
Microsoft : 83 jours
Google : 44 jours
Et les 3 acteurs s’améliore d’années en années.
@DrStax
Merci pour les chiffres par contre pour Google, on devrait ajoute la partie constructeurs de smartphone qui rallonge pas mal pour certains vu que la politique de Google la dessus est un minimum de trois mois de mémoire.
@Insomnia
Ma fibre de fanboy sans esprit critique se réjouit en lisant ces lignes, mais une petite voix me rappelle quand même quelques articles parus ici-même rapportant la fureur de certains découvreurs de faille exaspérés qu’elles ne soient pas corrigées et finissant par les publier. Il me semble.
J’imagine que les failles pourraient aussi se trouver dans les protocoles, dans le chiffrage, etc, pas seulement dans une implémentation particulière.
@DahuLArthropode
Ici on parle de temps moyen.
Peut etre que Google et Microsoft sont les seuls à avoir des cas particuliers qui ont duré tres longtemps et comme ils ont une bas plus grande donc plus de petits bugs qui font baisser la moyenne ca n’apparait pas dans ces chiffres.
@DahuLArthropode
En effet mais en cas faille très urgente Apple est bien plus réactif si elle n’est pas découverte bien entendue, je sais que Apple reste dernière sur la chasse aux failles mais c’est pour garder le mythe d’un appareil très sécurisé 🤣
@Insomnia
Les préjugés ont la dent longue. Apple avec un parc restreint en pc, est le pire. Les jours cités concernent iOS et macOS.
@en chanson
C’est pas une question de préjugé
Comment ça se passe dans le cas où FaceID ne fonctionne plus ( suite à une chute par exemple ou autre ), quel sera le moyen de « secours » ? Un mail avec un lien pour valider ?
@Gregoryen
mdp sur le smartphone ?
certes ce n'est pas biometrique.
Sur Android avec les capteurs à 10 balles sur les petits modeles voire pas de capteurs du tout, je me demande comment ils feront.
@raoolito
Si le compte a été créé avec le biométrique, et que je casse FaceID après, alors trousseau prendrais le relais. Ça voudrais dire qu’un mot de passe se crée mais en tache de fond.
L’autre jour je me suis imaginé une solution alternative aux password. Un système de compte « personnel » et « unique ». Tout betement, ce serait un formulaire qu’on remplirait avec des textfield de type Nom ; Prénom ; Pseudo ; Mail ; Date de naissance, etc. Ce formulaire serait lisible par les navigateurs et les sites web pour se log ou s’inscrire (avec, comme Apple Connect, la possibilité de dire quelles données je souhaite partager). En soit, c’est comme si on nous demandait de remplir une seule fois un formulaire et après basta…
Sur ce sujet, je suis assez sensible aux avis très nuancés de certains chercheurs en sécurité qui recommandent de ne pas tout baser sur la reconnaissance biométrique, leur argument principal étant que lorsqu'on se fait hacker ses mots de passe, on peut en changer. Si on se fait hacker ses caractéristiques biométriques, en changer est généralement impossible.
@r e m y
Marrant, c’est la pensée que j’ai eu en lisant l’article.
@r e m y
Sauf que Face ID,… n’a jamais été hacke au point de récupérer les caractéristiques biométriques et que c’est pas une photo de notre visage mais un ensemble de calcul donc très complexe :)
Imaginez que les services bancaires et étatiques soient protégés par votre enpreinte digitale ( touchid...) vous y mettez un doigt ( l'index gauche par ex). la vie est belle, plus de password
Imaginez que qcq copie l'empreinte digitiale de votre index gauche et réussise à se faire passer pour vous.
l'empreinte de votre index gauche est "foutue" à tout jamais. et comme on a que 10 doigts ...
@ Krysten2001 on ne parle même pas de violer l'enclave, juste une méthode d'impression en semi relief ( ./. à l'impression des billets de banque) capable de "fausser" touchid, et zou, on demande à Jack Bauer de donner un coup de coupe cigare
Trop hâte
Oh oui, comme c'est bon le flicage à toout les étages!
C’est une révolution.
Cette solution avec un face id sur l’apple watch ce serait le bonheur côté pratique…
Apres cote sécurité par contre aucune idée. Tellement de failles possibles quelque soit le systeme utiliséw
Je ne vois pas pourquoi ils bossent sur des croquettes pour chien
Cela ne sera jamais l’équivalent d’un
Mot de passe une croquette.
Tout dépend de la taille du chien...
Va essayer de piquer une croquette dans la gamelle d'un Rottweiler, tu m'en diras des nouvelles ! 🤕
@r e m y
1Passdog est né !