La fin des mots de passe prévue pour 2023

Le 5 mai 2022 était la Journée mondiale du mot de passe – oui, ça existe ! L’occasion de rappeler à tous ceux qui se contentent de « qwerty » – toujours en tête du classement année après année –, de « azerty » ou encore du fameux 123456 qu’un mot de passe complexe représente toujours le meilleur moyen de conserver ses données personnelles à l’abri. Mais pour peu que l’on utilise plusieurs appareils ou que l’on possède de nombreux comptes auprès de services web, définir un mot de passe à la fois simple à retenir, différent et sécurisé pour chaque usage représente une punition.

Bonne nouvelle. Les trois géants de la tech, Apple, Google et Microsoft, ont annoncé conjointement leur intention d’en finir avec ce fameux sésame. Et pas dans la décennie à venir ! Dès 2023, si l’on en croit leur déclaration commune. Microsoft expérimente déjà de son côté une solution pour se passer du mot de passe afin d’accéder à ses services. Mais là, les trois firmes s’accordent pour s’appuyer sur la norme FIDO (Fast Identity Online). Développée initialement par Google et Yubico, et sous le contrôle désormais de la FIDO Alliance, cette norme, créée avec le World Wide Web Consortium (W3C), présente de nombreux avantages pour simplifier le quotidien des utilisateurs tout en leur promettant une meilleure sécurité.

L’authentification ultrasimple

Imaginez : vous souhaitez ouvrir une appli ou un site web sur votre smartphone dont l’accès est soumis à la saisie d’un mot de passe. Vous commencez donc par déverrouiller l’appareil avec un code PIN, une empreinte digitale, un schéma ou un système de reconnaissance faciale, puis vous indiquez le mot de passe requis pour accéder à l’appli ou au site web souhaité. Avec FIDO, vous devrez au préalable enregistrer votre appareil afin de le désigner comme fiable. Et c’est tout! Le système repose sur le duo de clés de chiffrement privée et publique. La première reste à demeure dans votre appareil, tandis que la seconde est transmise et enregistrée dans l’appli ou le site web visité. Si bien qu’à votre prochain passage, le simple fait de déverrouiller votre smartphone vous donnera accès à votre compte dans l’appli ou le site web sans rien n’avoir à saisir d’autre. Un véritable gain de temps, surtout que FIDO est multiplateforme.

En étant intégrée dans iOS, Android, Windows, macOS et Chrome OS, la norme se veut complètement transversale. « Avec des clés d’accès sur votre appareil mobile, vous pouvez vous connecter à une application ou à un service sur presque n’importe quel appareil, quels que soient la plate-forme ou le navigateur utilisés par l’appareil, a indiqué Vasu Jakkal, vice-président de Microsoft pour la sécurité, la conformité, l’identité et la confidentialité. Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome dans Windows à l’aide d’un mot de passe sur un appareil Apple. » Il suffira donc par exemple de déverrouiller l’iPhone sur lequel est enregistré l’identifiant FIDO par FaceID ou empreinte digitale pour accéder à un compte en ligne à partir du PC. Mais que se passe-t-il si vous perdez ou vous faites voler votre mobile ? L’Alliance FIDO a prévu le coup. « Même si vous perdez votre téléphone, vos mots de passe se synchroniseront en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le Cloud, vous permettant de reprendre là où votre ancien appareil s’est arrêté », indique Google dans son communiqué.

Un système plus sûr

Outre la simplicité, FIDO se veut aussi plus sûre. « Cette prise en charge étendue de FIDO annoncée aujourd’hui permettra aux sites web de mettre en œuvre pour la première fois une expérience sans mot de passe de bout en bout avec une sécurité résistant au phishing », a précisé Sampath Srinivas, directeur de la gestion des produits pour l’authentification sécurisée chez Google et président de l’Alliance FIDO. En effet, s’il n’y a plus de mot de passe associé à un compte, les habituelles tentatives d’arnaque se basant sur l’utilisation de sésames obtenus de manière frauduleuse (ou de mots de passe similaires utilisés pour de nombreux comptes différents) seront impossibles et vouées à l’échec. Reste encore à adopter la norme. Aucun des trois géants de la tech n’a encore indiqué la date précise à laquelle la gestion de l’authentification sera confiée à FIDO.

Sources : rédaction et web