Apple, Google et Microsoft travaillent avec l’alliance FIDO pour éliminer les mots de passe

Nicolas Furno |

Apple, Google et Microsoft s’engagent officiellement pour prendre en charge dans leurs systèmes d’exploitation et navigateurs la solution de l’alliance FIDO pour éliminer les mots de passe sur le web. On pourra utiliser le capteur biométrique d’un smartphone, d’une tablette ou d’un ordinateur pour s’authentifier sur un site, sans avoir à créer de mot de passe, ni reposer sur un deuxième facteur qui est une méthode plus sécurisée, mais aussi plus contraignante. Cette officialisation n’est pas une surprise, ce plan est en mouvement depuis plusieurs années et Apple était à sa tête :

Passkeys et WebAuthn : Apple imagine un futur sans mots de passe

Passkeys et WebAuthn : Apple imagine un futur sans mots de passe

Le plan de l

Le plan de l'industrie pour se débarrasser des mots de passe

Apple n’a pas attendu le standard pour déployer cette idée, mais uniquement dans ses apps, sur ses appareils et pour ses sites web, et surtout, uniquement en mode secondaire, le mot de passe restant indispensable.

L’authentification par « passkeys » deviendra ainsi un standard du web pris en charge à terme par tous les systèmes d’exploitation et par tous les navigateurs web. C’est un point essentiel pour que l’on puisse se passer de mot de passe : on pourra utiliser cette nouvelle forme d’authentification quel que soit l’appareil utilisé, même si on passe d’un iPhone à un smartphone sous Android, par exemple. Autre enjeu, simplifier le processus au maximum, notamment pour ne pas avoir à enregistrer chaque appareil sur chaque site web.

Concrètement, l’alliance FIDO en partenariat avec les entreprises annonce deux nouveautés pour le standard. D’une part, l’accès aux informations sécurisées stockées sur les appareils des utilisateurs pourra se faire automatiquement. D’autre part, on pourra utiliser un appareil mobile pour s’authentifier sur un ordinateur situé à proximité et là encore, cela fonctionnera pour tous les navigateurs et tous les systèmes d’exploitation. Ce mécanisme d’authentification ne sera pas réservé aux sites web, les apps pourront aussi l’exploiter.

Connexion sans mot de passe à l’aide d’un smartphone à proximité d’un ordinateur (image Alliance FIDO).

Ces nouveautés devraient arriver chez Apple, Google et Microsoft d’ici la fin de l’année 2022. Du côté de la Pomme, le plus probable serait une intégration dans iOS 16 et macOS 13. Apple a déjà mis en place une solution proche de celle qui sera standardisée pour ses propres sites web et pour la fonction « Connexion avec Apple », même s’il lui manque l’intéropérabilité et la possibilité d’utiliser un iPhone à proximité d’un Mac.


avatar fosterj | 

D'où la pression de 1password pour nous faire prendre un abonnement de 3 ans de leur logiciel .. ils commencent a se dire que il risque de devenir caduc dans les 5 ans à venir ..

avatar Xap | 

@fosterj

Lol mais bien sur.

Les cartes bancaires, les passeports, numéros de sécu, numéros de comptes, codes wifi, documents sensibles… et tous les mots de passe de tous les sites internet… vont tous disparaitre dans quelques années?

Les gestionnaires de mot de passe servent a bien plus que de stocker ses mots de passe.

avatar Cyrille50 | 

Je suis abonné, il n'ya pas d'abonnement de trois ans...

avatar fosterj | 
avatar Jeamy | 

@fosterj

Je suis abonné depuis 2 ans, je viens de passer en V8 et mon abonnement est de 1 an au même prix que la V7
Arrêtez de dire n’importe quoi !!!!

avatar fosterj | 

ne soyez pas agressif svp ou de dire que je raconte n'importe quoi .. demandez moi de préciser si besoin mais bon sang un peu de savoir vivre .. j'ai dit que 1password faisait pression car il PROPOSE SYSTEMATIQUEMENT en bas à gauche pour ceux qui ne sont pas encore abonné ou ne s'étant pas connecté de souscrire un abonnement de 3 ans pour 50% .. cf screenshot

https://paste.pics/GUYVY

Bonne fin de journée.

avatar nifex | 

@fosterj

L’abonnement se paye à l’année mais on bénéficie du rabais durant 3 ans, c’est un
« Cadeau «  de leur part pour faire passer la pilule de l’abonnement. Mais c’est bien un payement pour une année renouvelable mais aucune obligation de rester les 3 ans ;)

avatar lyonp69 | 

@Jeamy

Pauvre de toi ! Agressif !

avatar DP-Britto | 

@fosterj

Pourquoi ne pas passer sur Bitwarden ?

avatar fosterj | 

Je ne me plains pas .. je constate la tendance de 1password a nous engager pour 3 ans .. et je faisais le lien avec l'article sur la disparition des mots de passe

Merci pour la suggestion

avatar DP-Britto | 

@fosterj

Ah non non je sais bien. C’était plus une suggestion oui ;)

avatar Sanid35 | 

@DP-Britto

J’ai essayé bitwarden mais je le trouve pas super pratique. Peut etre que je m’y prend mal.
Je cherchais une solution compatible iphone / windows.
J’aime bien trousseau d’apple malheureusement sur PC c’est moins evident.
Pas encore essayé 1password.

avatar DP-Britto | 

@Sanid35

Ah bah Bitwarden est crossplateforme, fonctionne aussi bien sous Windows, macOS, Linux, iOS ou Android et a même une extension pour les navigateurs web.

Sur iOS, j’ai choisi de préremplir les mots de passe avec Bitwarden. Réglages > Mots de passe > Préremplir les mots de passe > Bitwarden. Du coup, quand je souhaite me connecter à une app, le processus est le même qu’avec Trousseau d’Apple 👌

avatar Sanid35 | 

@DP-Britto

Merci ! Effectivement moi j’avais laissé trousseau icloud et bitwarden cochés et du coup c’etait moins intuitif. La j’ai laissé que bitwarden je vais voir a l’usage entre mon iphone et mon PC si c’est fluide.

avatar DP-Britto | 

@Sanid35

Avec plaisir 🙌

Franchement j’étais septique au début comme vous car utilisateurs de produits Apple mais après une fois installé, adopté direct, sachant qu’en plus j’ai vendu mon MacBook Pro pour passer à Linux et que je suis en train de vendre mon iPhone pour passer à e/os.

avatar tahitibobx987 | 

@fosterj

J’utilise les mdps recommandé d’apple , plutôt efficace en faite même indispensable aujourd’hui
Ca fonctionne même a travers la majorité des applications donc plutôt bon pour apple

avatar Sanid35 | 

@tahitibobx987

Je l’utilise pas car comment tu fais si t’es sur un PC apres ? Compliqué de retrouver le mdp

avatar Selestex | 

Ah bah enfin

avatar DahuLArthropode | 

Plein de possibilités. Plein de failles potentielles aussi. Je suis curieux de voir l’ingéniosité des uns et des autres pour les trouver ou les boucher.
De beaux articles en perspective.

avatar raoolito | 

@DahuLArthropode

bof, moins que les mot de passe "123456" trop souvent trouvés.

avatar DahuLArthropode | 

@raoolito

Oui, ce n’était pas une critique de l’approche, seulement un intérêt pour les nouvelles façons d’attaquer le système. Comme dans « de la Terre à la Lune », la course entre les marchants d’obus et ceux de blindages.

avatar Insomnia | 

@DahuLArthropode

Le problème est surtout en cas de faille critique, autant Apple réagit vite, autant Google et Microsoft eux c’est pas pressé….

avatar DrStax | 

@Insomnia

Entre 2019 et 2021 le temps moyen de correction de faille est le suivant pour les 3 acteurs majeurs.

Apple : 69 jours
Microsoft : 83 jours
Google : 44 jours

Et les 3 acteurs s’améliore d’années en années.

avatar Insomnia | 

@DrStax

Merci pour les chiffres par contre pour Google, on devrait ajoute la partie constructeurs de smartphone qui rallonge pas mal pour certains vu que la politique de Google la dessus est un minimum de trois mois de mémoire.

avatar DahuLArthropode | 

@Insomnia

Ma fibre de fanboy sans esprit critique se réjouit en lisant ces lignes, mais une petite voix me rappelle quand même quelques articles parus ici-même rapportant la fureur de certains découvreurs de faille exaspérés qu’elles ne soient pas corrigées et finissant par les publier. Il me semble.
J’imagine que les failles pourraient aussi se trouver dans les protocoles, dans le chiffrage, etc, pas seulement dans une implémentation particulière.

avatar Sanid35 | 

@DahuLArthropode

Ici on parle de temps moyen.
Peut etre que Google et Microsoft sont les seuls à avoir des cas particuliers qui ont duré tres longtemps et comme ils ont une bas plus grande donc plus de petits bugs qui font baisser la moyenne ca n’apparait pas dans ces chiffres.

avatar Insomnia | 

@DahuLArthropode

En effet mais en cas faille très urgente Apple est bien plus réactif si elle n’est pas découverte bien entendue, je sais que Apple reste dernière sur la chasse aux failles mais c’est pour garder le mythe d’un appareil très sécurisé 🤣

avatar en chanson | 

@Insomnia

Les préjugés ont la dent longue. Apple avec un parc restreint en pc, est le pire. Les jours cités concernent iOS et macOS.

avatar Insomnia | 

@en chanson

C’est pas une question de préjugé

avatar Gregoryen | 

Comment ça se passe dans le cas où FaceID ne fonctionne plus ( suite à une chute par exemple ou autre ), quel sera le moyen de « secours » ? Un mail avec un lien pour valider ?

avatar raoolito | 

@Gregoryen

mdp sur le smartphone ?
certes ce n'est pas biometrique.
Sur Android avec les capteurs à 10 balles sur les petits modeles voire pas de capteurs du tout, je me demande comment ils feront.

avatar Gregoryen | 

@raoolito

Si le compte a été créé avec le biométrique, et que je casse FaceID après, alors trousseau prendrais le relais. Ça voudrais dire qu’un mot de passe se crée mais en tache de fond.

avatar bhelden | 

L’autre jour je me suis imaginé une solution alternative aux password. Un système de compte « personnel » et « unique ». Tout betement, ce serait un formulaire qu’on remplirait avec des textfield de type Nom ; Prénom ; Pseudo ; Mail ; Date de naissance, etc. Ce formulaire serait lisible par les navigateurs et les sites web pour se log ou s’inscrire (avec, comme Apple Connect, la possibilité de dire quelles données je souhaite partager). En soit, c’est comme si on nous demandait de remplir une seule fois un formulaire et après basta…

avatar r e m y | 

Sur ce sujet, je suis assez sensible aux avis très nuancés de certains chercheurs en sécurité qui recommandent de ne pas tout baser sur la reconnaissance biométrique, leur argument principal étant que lorsqu'on se fait hacker ses mots de passe, on peut en changer. Si on se fait hacker ses caractéristiques biométriques, en changer est généralement impossible.

avatar bhelden | 

@r e m y

Marrant, c’est la pensée que j’ai eu en lisant l’article.

avatar Krysten2001 | 

@r e m y

Sauf que Face ID,… n’a jamais été hacke au point de récupérer les caractéristiques biométriques et que c’est pas une photo de notre visage mais un ensemble de calcul donc très complexe :)

avatar ech1965 | 

Imaginez que les services bancaires et étatiques soient protégés par votre enpreinte digitale ( touchid...) vous y mettez un doigt ( l'index gauche par ex). la vie est belle, plus de password

Imaginez que qcq copie l'empreinte digitiale de votre index gauche et réussise à se faire passer pour vous.
l'empreinte de votre index gauche est "foutue" à tout jamais. et comme on a que 10 doigts ...

@ Krysten2001 on ne parle même pas de violer l'enclave, juste une méthode d'impression en semi relief ( ./. à l'impression des billets de banque) capable de "fausser" touchid, et zou, on demande à Jack Bauer de donner un coup de coupe cigare

avatar heu | 

Trop hâte

avatar mimolette51 | 

Oh oui, comme c'est bon le flicage à toout les étages!

avatar Pobla Picossa | 

C’est une révolution.

avatar Sanid35 | 

Cette solution avec un face id sur l’apple watch ce serait le bonheur côté pratique…

Apres cote sécurité par contre aucune idée. Tellement de failles possibles quelque soit le systeme utiliséw

avatar iftwst | 

Je ne vois pas pourquoi ils bossent sur des croquettes pour chien

Cela ne sera jamais l’équivalent d’un
Mot de passe une croquette.

avatar r e m y | 

Tout dépend de la taille du chien...
Va essayer de piquer une croquette dans la gamelle d'un Rottweiler, tu m'en diras des nouvelles ! 🤕

avatar iftwst | 

@r e m y

1Passdog est né !

CONNEXION UTILISATEUR