Dans le but de se débarrasser les mots de passe, Google, Microsoft et Apple élargissent la prise en charge d’une norme commune de connexion sans mot de passe créée par l’Alliance FIDO (Fast Identity Online – qui fait la promotion du développement de normes d’authentification et d’attestation des appareils) et le World Wide Web Consortium.
Les entreprises ont déclaré jeudi dernier que la nouvelle fonctionnalité permettra aux sites Web et aux applications qui ont cette fonctionnalité d’offrir aux utilisateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.
La nouvelle approche, qui implique le stockage d’un identifiant ou d’un mot de passe sur un téléphone intelligent, « sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d’accès à usage unique envoyés par SMS », a déclaré l’Alliance FIDO dans un communiqué.
Les plates-formes Google, Microsoft et Apple prennent déjà en charge les normes FIDO Alliance pour permettre la connexion sans mot de passe sur les téléphones intelligents, les ordinateurs portables et les tablettes. Les utilisateurs doivent cependant se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. Les nouvelles capacités améliorées donneront aux sites Web et aux applications la possibilité d’offrir une option sans mot de passe de bout en bout, indique par ailleurs l’Alliance FIDO.
Les utilisateurs se connecteront comme ils le font actuellement, par empreinte digitale, par reconnaissance faciale ou avec un code de déverrouillage d’appareil. Cette fonctionnalité permettra aux utilisateurs d’accéder automatiquement à leurs informations d’identification de connexion FIDO sur la plupart de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte. Il permettra également aux utilisateurs d’utiliser l’authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quel que soit le système d’exploitation ou le navigateur qu’ils utilisent.
« Ces informations d’identification FIDO multi-appareils […] représentent une étape importante vers un monde sans mots de passe », a déclaré Alex Simons, vice-président gestion des produits de la division Identité et accès réseau de Microsoft, dans un blog.
« Les utilisateurs de Windows peuvent déjà utiliser Windows Hello pour se connecter à n’importe quel site prenant en charge les clés d’accès », a-t-il ajouté. « Dans un proche avenir, vous pourrez vous connecter à votre compte Microsoft avec un mot de passe d’un appareil Apple ou Google. »
Google a déclaré qu’elle prévoyait mettre en œuvre la prise en charge sans mot de passe aux normes de connexion FIDO dans son système d’exploitation Android et son navigateur Chrome.
Google explique que pour se connecter à un site Web sur un ordinateur, un utilisateur aura besoin de son téléphone intelligent. Le site Web ou l’application enverra une vérification au téléphone et demandera à l’utilisateur de déverrouiller le téléphone avec une méthode biométrique ou un code de déverrouillage. Même si l’utilisateur perd son téléphone, les clés d’accès seront synchronisées en toute sécurité avec un nouveau téléphone à partir d’une sauvegarde dans le nuage.
Lire aussi :
Journée mondiale du mot de passe : comment les éliminer
Mots de passe : 1Password obtient 620 M$ en financement
Une attaque par bourrage d’identifiants effraie des utilisateurs de LastPass
Traduction et adaptation française par Renaud Larue-Langlois