Un avenir sans mot de passe se profile-t-il à l’horizon ? Ce que vous devez savoir sur l’authentification FIDO
Les mots de passe sont omniprésents dans notre vie en ligne. Mais ironiquement, ils ne sont pas si performants que ça dans la tâche qui leur a été confiée, à savoir protéger nos comptes afin que seules les personnes habilitées puissent y accéder. Pourquoi ? L’expérience utilisateur en matière de mots de passe est déplorable. Les internautes prennent donc des raccourcis en choisissant et en réutilisant des mots de passe trop simples, ce qui les rend vulnérables aux piratages.
Les gestionnaires de mots de passe permettent de résoudre ces problèmes et vous devriez en utiliser un si ce n’est pas déjà le cas, mais le but a toujours été de trouver une solution plus efficace.
Depuis 2013, l’Alliance FIDO (« Fast IDentity Online ») travaille sur des normes et des technologies simples pour permettre une authentification universelle, sans mot de passe, qui soit capable de parer les attaques de phishing sans nécessiter de logiciel ou de matériel spécifique. Serait-ce enfin la solution que nous attendions tous ?
Ce que nous avions jusqu’à présent
Les travaux de FIDO ont conduit le World Wide Web Consortium (W3C) à préconiser un protocole appelé WebAuthn en 2019, qui a ouvert la voie à l’authentification sans mot de passe. En conséquence, tous les navigateurs modernes prennent désormais en charge l’authentification FIDO, en utilisant un authentificateur intégré au système ou un dispositif physique tel qu’une YubiKey.
Cette forme d’authentification est connue depuis longtemps, mais elle présente des inconvénients. D’une part, les clés sont stockées localement, soit dans un dispositif physique (par exemple, une YubiKey), soit en tant que partie intégrante du système (par exemple, Touch ID sur les MacBook ou Windows Hello sur Windows). D’autre part, il n’existe pas de méthode sans faille pour que cette approche fonctionne sur toutes les plateformes. Alors que les YubiKeys peuvent être utilisées sur plusieurs systèmes, par exemple, ce n’est pas le cas pour les authentificateurs intégrés.
Ce qui a changé en 2022
En mars 2022, FIDO a publié un livre blanc donnant un aperçu de ce que les trois principales entreprises plateformes (Apple, Microsoft et Google) prévoyaient de proposer pour que l’authentification sans mot de passe soit généralisée au grand public. Lors de la Journée mondiale du mot de passe (5 mai), nous avons obtenu la réponse.
La FIDO et les trois entreprises plateformes ont l’intention de résoudre les difficultés liées à l’interopérabilité des différents systèmes et le retard pris dans l’adoption de l’authentification sans mot de passe, grâce à trois nouvelles idées :
- Connecter l’ordinateur de bureau/portable au dispositif mobile via Bluetooth. L’appareil mobile devient ainsi l’authentificateur FIDO de facto, qu’il s’agisse d’un système Apple ou Android et quelle que soit la combinaison navigateur/ordinateur. Cette approche résout potentiellement le problème de l’authentification sur différentes plateformes. Par exemple, vous pourrez vous connecter à votre appareil Windows avec un iPhone.
- Créer une expérience de navigation harmonieuse offrant un processus d’inscription et de connexion fluide aux sites Web grâce aux flux WebAuthn existants.
- Stocker les clés privées WebAuthn (désormais appelées Passkeys) dans le cloud, en fonction du compte de l’appareil mobile de l’utilisateur (par exemple, trousseau iCloud ou compte Google).
Est-ce une solution parfaite ?
Si les nouveaux changements proposés par la FIDO nous rapprochent d’un avenir sans mot de passe, ils soulèvent également des questions qui n’ont pas encore trouvé de réponse.
Qui conserve les clés ?
L’une des principales préoccupations est de savoir qui gère et contrôle vos clés privées : Apple, Google ou Microsoft ? Tout le monde n’est pas prêt à autoriser ces entreprises à accéder à ses informations de connexion.
Bien que les clés soient sauvegardées dans leur espace cloud sécurisé, votre compte Apple, Google ou Microsoft reste le principal point d’accès. Ces plateformes proposent-elles des méthodes de récupération si vous perdez l’accès à votre compte ? Serez-vous en mesure de récupérer l’accès à vos clés privées ? Les utilisateurs feront-ils confiance à la confidentialité et à la sécurité de ces plateformes et s’exposeront-ils à un verrouillage encore plus important de l’écosystème ?
Lorsque vous choisissez un fournisseur d’identité (IdP), qu’il s’agisse d’une entreprise Big Tech ou d’un indépendant, vous devez faire attention à ce que ce fournisseur puisse techniquement accéder à vos informations privées ou non. Dashlane, par exemple, a été conçu avec une architecture à divulgation nulle de connaissance, de sorte que vous êtes la seule personne à avoir accès à vos données. Nos utilisateurs ont ainsi la garantie d’avoir l’esprit tranquille, sachant que leur vie privée et leur sécurité sont protégées.
Le plan actuel de FIDO ne semble pas permettre de choisir : les seules options sont les trois plateformes dominantes, car elles contrôlent les normes, le matériel et les logiciels qui permettent à la solution de fonctionner.
Comment un site Web prend-il en charge l’authentification FIDO ?
Un site Web qui permet à ses utilisateurs de s’authentifier avec un mot de passe est assez simple à mettre en œuvre. De son côté, l’authentification FIDO demande des efforts de déploiement beaucoup plus complexes. De nombreuses grandes entreprises technologiques adopteront cette forme d’authentification parce qu’elles peuvent consacrer une équipe d’ingénieurs à cette tâche, mais beaucoup de petits sites Web ne pourront pas se permettre ce luxe.
Nous pensons que ce coût pour les sites Web diminuera au fil du temps, à mesure que son adoption se répandra et que de nouveaux outils seront disponibles. Nous prévoyons que les internautes utiliseront une combinaison de clés et de mots de passe dans un avenir proche.
Comment puis-je partager un accès ?
Les entreprises doivent pouvoir partager leurs identifiants de manière sécurisée entre les employés. Les mots de passe permettent de partager assez facilement l’accès à un compte (par exemple, Twitter pour le service marketing). Nous pensons que la possibilité de partager des clés de sécurité sera primordiale pour l’adoption de ce nouvel outil, et que les gestionnaires de mots de passe sont idéaux dans ce cas.
Comment migrer d’un système d’exploitation à un autre ?
Bien qu’il soit possible d’utiliser cette technologie à la fois sur Android et sur iOS, on ignore ce qui se passera en cas de changement de plateforme. Apple vous permettra-t-il de transférer vos clés chez Google (Android) ? C’est l’une de nos préoccupations ; aussi prometteuse cette technologie soit-elle, les utilisateurs ne voudront pas être cantonnés à une seule plateforme pour en bénéficier, et nous ne pensons pas qu’ils devraient l’être.
Quelle est la prochaine étape ?
De nombreuses promesses ont été faites concernant un avenir sans mot de passe, mais nous ne savons toujours pas quand nous pourrons en faire l’expérience. Cette perspective est attrayante et semble réalisable, mais de nombreuses questions restent sans réponse.
Pour qu’un avenir sans mot de passe soit vraiment viable, les normes doivent être ouvertes ; elles ne peuvent pas dépendre uniquement des plateformes dominantes. Il est particulièrement important de savoir si les utilisateurs seront obligés de stocker leurs clés d’accès auprès de l’une des grandes plateformes, sans pouvoir exercer un contrôle accru sur leur sécurité et leur vie privée. Le choix des consommateurs conditionnera l’adoption de cette technologie, et un écosystème ouvert favorisera l’innovation technique, ce qui permettra d’offrir une expérience plus sûre, plus fiable et plus conviviale.
Inscrivez-vous pour connaître toute l'actualité de Dashlane