Comment Apple, Google et Microsoft tueront les mots de passe et le phishing d’un seul coup


Comment Apple, Google et Microsoft tueront les mots de passe et le phishing d'un seul coup

Getty Images

Depuis plus d’une décennie, on nous promet qu’un monde sans mots de passe approche à grands pas, et pourtant, année après année, ce nirvana de la sécurité s’avère hors de portée. Maintenant, pour la première fois, une forme pratique d’authentification sans mot de passe est sur le point d’être mise à la disposition du grand public sous la forme d’une norme adoptée par Apple, Google et Microsoft qui autorise les clés d’accès multiplateformes et interservices.

Les schémas de mise à mort de mot de passe poussés dans le passé ont souffert d’une foule de problèmes. L’une des principales lacunes était l’absence de mécanisme de récupération viable lorsque quelqu’un perdait le contrôle des numéros de téléphone ou des jetons physiques et des téléphones liés à un compte. Une autre limitation était que la plupart des solutions n’étaient finalement pas vraiment sans mot de passe. Au lieu de cela, ils ont donné aux utilisateurs la possibilité de se connecter avec un scan du visage ou une empreinte digitale, mais ces systèmes se sont finalement rabattus sur un mot de passe, ce qui signifiait que le phishing, la réutilisation des mots de passe et les mots de passe oubliés – toutes les raisons pour lesquelles nous détestions les mots de passe au départ – n’ont pas ne s’en va pas.

Une nouvelle approche

Ce qui est différent cette fois, c’est qu’Apple, Google et Microsoft semblent tous être d’accord avec la même solution bien définie. Non seulement cela, mais la solution est plus facile que jamais pour les utilisateurs, et son déploiement est moins coûteux pour les grands services comme Github et Facebook. Il a également été minutieusement conçu et revu par des experts en authentification et en sécurité.

Une maquette de ce à quoi ressemblera l'authentification sans mot de passe.
Agrandir / Une maquette de ce à quoi ressemblera l’authentification sans mot de passe.

Alliance FIDO

Les méthodes actuelles d’authentification multifactorielle (MFA) ont fait d’importants progrès au cours des cinq dernières années. Google, par exemple, me permet de télécharger une application iOS ou Android que j’utilise comme deuxième facteur lors de la connexion à mon compte Google à partir d’un nouvel appareil. Basé sur CTAP—abréviation de protocole client à authentificateur—ce système utilise Bluetooth pour s’assurer que le téléphone est à proximité du nouvel appareil et que le nouvel appareil est, en fait, connecté à Google et non à un site se faisant passer pour Google. Cela signifie que ce n’est pas hameçonnable. La norme garantit que le secret cryptographique stocké sur le téléphone ne peut pas être extrait.

Google fournit également un Programme de protection avancée qui nécessite des clés physiques sous la forme de dongles autonomes ou de téléphones d’utilisateurs finaux pour authentifier les connexions à partir de nouveaux appareils.

La grande limitation actuelle est que l’authentification MFA et sans mot de passe est déployée différemment, voire pas du tout, par chaque fournisseur de services. Certains fournisseurs, comme la plupart des banques et des services financiers, envoient encore des mots de passe à usage unique par SMS ou par e-mail. Reconnaissant qu’il ne s’agit pas de moyens sécurisés pour transporter des secrets sensibles à la sécurité, de nombreux services sont passés à une méthode connue sous le nom de TOTP, abréviation de mot de passe à usage unique basé sur le temps– pour permettre l’ajout d’un deuxième facteur, qui augmente efficacement le mot de passe avec le facteur “quelque chose que j’ai”.

Les clés de sécurité physiques, les TOTP et, dans une moindre mesure, l’authentification à deux facteurs par SMS et e-mail représentent une avancée importante, mais il reste trois limites principales. Tout d’abord, les TOTP générés via des applications d’authentification et envoyés par SMS ou par e-mail sont hameçonnables, de la même manière que les mots de passe normaux. Deuxièmement, chaque service possède sa propre plate-forme MFA fermée. Cela signifie que même lorsqu’il utilise des formes de MFA non hameçonnables, telles que des clés physiques autonomes ou des clés basées sur le téléphone, un utilisateur a besoin d’une clé distincte pour Google, Microsoft et toutes les autres propriétés Internet. Pour aggraver les choses, chaque plate-forme de système d’exploitation dispose de mécanismes différents pour la mise en œuvre de la MFA.

Ces problèmes cèdent la place à un troisième : l’inutilisabilité pure et simple pour la plupart des utilisateurs finaux, ainsi que le coût et la complexité non négligeables auxquels chaque service est confronté lorsqu’il tente d’offrir l’authentification MFA.