{"id":18936,"date":"2022-05-27T12:40:30","date_gmt":"2022-05-27T10:40:30","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18936"},"modified":"2022-05-27T12:40:30","modified_gmt":"2022-05-27T10:40:30","slug":"passkey-future-without-passwords","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/passkey-future-without-passwords\/18936\/","title":{"rendered":"Un avenir sans mot de passe ?"},"content":{"rendered":"

Cette ann\u00e9e, la journ\u00e9e mondiale du mot de passe, qui a lieu en mai, a co\u00efncid\u00e9 avec une annonce faite par les trois g\u00e9ants de la tech. Google, Microsoft et Apple ont pr\u00e9sent\u00e9<\/a> une nouvelle technologie qui substituerait les mots de passe.<\/p>\n

Cette norme est d\u00e9velopp\u00e9e par l\u2019Alliance FIDO et le World Wide Web Consortium (W3C) afin de d\u00e9finir \u00e0 quoi va ressembler Internet et comment il va fonctionner. Il s\u2019agit d\u2019un effort r\u00e9el pour abandonner les mots de passe en faveur des syst\u00e8mes d\u2019authentification des smartphones, ou c\u2019est en tout cas ce que l\u2019on pourrait croire en tant qu\u2019utilisateur.<\/p>\n

Il convient toutefois de souligner que la \u00ab\u00a0fin des mots de passe\u00a0\u00bb est un sujet r\u00e9current depuis pr\u00e8s d\u2019une d\u00e9cennie. Les tentatives pr\u00e9c\u00e9dentes qui ont essay\u00e9 de venir \u00e0 bout de cette m\u00e9thode d\u2019authentification des utilisateurs d\u00e9sesp\u00e9r\u00e9ment peu fiable n\u2019ont men\u00e9 \u00e0 rien. Les mots de passe sont toujours pr\u00e9sents. Cet article aborde les avantages de la nouvelle norme FIDO\/W3C. Mais commen\u00e7ons par analyser l\u2019origine du probl\u00e8me : qu\u2019est-ce qui ne va pas avec les mots de passe ?<\/p>\n

Le probl\u00e8me avec les mots de passe<\/h2>\n

Le principal inconv\u00e9nient des mots de passe est qu\u2019ils sont assez faciles \u00e0 voler. Au d\u00e9but d\u2019Internet, lorsque presque toutes les communications entre les ordinateurs n\u2019\u00e9taient pas chiffr\u00e9es, les mots de passe \u00e9taient envoy\u00e9s en texte clair. C\u2019est devenu un vrai probl\u00e8me avec la prolif\u00e9ration des points d\u2019acc\u00e8s au r\u00e9seau public (caf\u00e9s, biblioth\u00e8ques et transport)\u00a0: les cybercriminels pouvaient intercepter un mot de passe non chiffr\u00e9 sans que personne ne s\u2019en rende compte.<\/p>\n

Le probl\u00e8me des mots de passe vol\u00e9s a explos\u00e9 au d\u00e9but des ann\u00e9es 2010 apr\u00e8s qu\u2019une avalanche de profils tr\u00e8s en vue ont \u00e9t\u00e9 pirat\u00e9s sur d\u2019importants services Internet, avec le vol de toutes les adresses e-mail et des mots de passe des utilisateurs. On peut dire, sans prendre trop de risques, que tous vos mots de passe d\u2019il y a environ 10 ans sont s\u00fbrement disponibles quelque part sur un domaine public. Vous ne nous croyez pas\u00a0? V\u00e9rifiez-le avec notre service HaveIBeenPwned<\/a>.<\/p>\n

\"V\u00e9rifier

HaveIBeenPwned vous permet de savoir si vos mots de passe ont \u00e9t\u00e9 divulgu\u00e9s. Si un mot de passe a plus de 10 ans, il est fort probable que ce soit le cas.<\/p><\/div>\n

\u00c9videmment, de nos jours il est moins probable que les fuites de donn\u00e9es contiennent des mots de passe en texte clair\u00a0: de nombreux services Internet se sont rendu compte depuis longtemps que le stockage sans chiffrement d\u2019informations sensibles sur les utilisateurs est synonyme de d\u00e9sastre. Le hachage des mots de passe est d\u00e9sormais la norme\u00a0; autrement dit, ils sont stock\u00e9s en \u00e9tant chiffr\u00e9s.<\/p>\n

Le probl\u00e8me est que si le mot de passe est simple, il peut \u00eatre extrait d\u2019une base de donn\u00e9es chiffr\u00e9e en lan\u00e7ant une attaque par force brute avec toutes les combinaisons possibles, ou gr\u00e2ce \u00e0 une attaque par dictionnaire<\/a>. C\u2019est un jeu d\u2019enfant de d\u00e9chiffrer un mot de passe hach\u00e9 si l\u2019original est \u00a0\u00bb\u00a0secret\u00a0\u00a0\u00bb ou \u00a0\u00bb\u00a0123123\u00a0\u00ab\u00a0. C\u2019est le second inconv\u00e9nient des mots de passe\u00a0: pour s\u2019en souvenir, les gens utilisent des mots de passe tr\u00e8s faibles qui peuvent facilement \u00eatre extraits d\u2019une base de donn\u00e9es divulgu\u00e9e, m\u00eame si elle est chiffr\u00e9e.<\/p>\n

Cette recherche de simplicit\u00e9 et de commodit\u00e9 nous am\u00e8ne directement au troisi\u00e8me probl\u00e8me\u00a0: l\u2019utilisation du m\u00eame mot de passe pour plusieurs comptes et services. Ainsi, la fuite des donn\u00e9es d\u2019un vieux forum en ligne, m\u00eame si vous ne vous en souvenez pas, peut entra\u00eener la perte de votre adresse e-mail justement parce que vous avez utilis\u00e9 le m\u00eame mot de passe.<\/p>\n\n

Un mot de passe et un petit plus<\/h2>\n

Ce probl\u00e8me n\u2019est pas nouveau. D\u2019ailleurs, la plupart des services n\u2019utilisent plus un seul mot de passe mais une authentification \u00e0 plusieurs facteurs. Lorsque vous vous connectez \u00e0 des services sur Internet, aux r\u00e9seaux sociaux, aux comptes bancaires ou autres, on vous demande g\u00e9n\u00e9ralement de saisir un code \u00e0 usage unique apr\u00e8s que vous avez entr\u00e9 vos identifiants. Ce message est envoy\u00e9 par SMS, via l\u2019application de la banque install\u00e9e sur le smartphone ou via une application sp\u00e9cialement con\u00e7ue pour une authentification \u00e0 plusieurs facteurs<\/a>, comme Google Authenticator. Les syst\u00e8mes tr\u00e8s complexes utilisent une cl\u00e9 \u00e9lectronique qui s\u2019ins\u00e8re dans le port USB de l\u2019ordinateur ou qui se connecte au smartphone par Bluetooth ou NFC.<\/p>\n

Dans certains cas, vous n\u2019avez pas besoin d\u2019un mot de passe. Par exemple, lorsque vous vous connectez \u00e0 un compte Microsoft vous recevez un code \u00e0 usage unique par e-mail. L\u2019application de messagerie Telegram utilise par d\u00e9faut une authentification qui repose sur des codes \u00e0 usage unique envoy\u00e9s par SMS, sans avoir besoin de saisir un mot de passe\u00a0; m\u00eame si on vous recommande d\u2019en choisir un pour renforcer la s\u00e9curit\u00e9 du compte.<\/p>\n

Dans la plupart des cas, les mots de passe sont encore utilis\u00e9s comme m\u00e9thode d\u2019authentification de secours. Il n\u2019est pourtant pas recommand\u00e9<\/a> d\u2019utiliser une authentification qui d\u00e9pend exclusivement de codes \u00e0 usage unique re\u00e7us par message, de loin la solution 2FA la plus courante et la plus facile \u00e0 utiliser. En r\u00e9sum\u00e9, on sait depuis longtemps que les mots de passe ne sont pas l\u2019avenir. Aujourd\u2019hui, il semblerait que ce futur soit enfin \u00e0 notre port\u00e9e.<\/p>\n

L\u2019authentification sans mot de passe de FIDO\/W3C<\/h2>\n

Si nous la d\u00e9cortiquons au maximum, cette nouvelle norme d\u2019authentification sans mot de passe fait que ce dernier n\u2019est qu\u2019un simple \u00e9l\u00e9ment technique que l\u2019utilisateur ne voit plus. D\u2019ailleurs, il s\u2019agit plut\u00f4t d\u2019un passe-partout qui est une paire de cl\u00e9s de chiffrement, une publique et une priv\u00e9e. Cela permet d\u2019avoir des cl\u00e9s fortes et uniques ainsi qu\u2019une cryptographie puissante. Cela complique la t\u00e2che des cybercriminels et garantit que si un compte est pirat\u00e9, rien d\u2019autre ne sera perdu, et que les hackers ne pourront pas divulguer vos \u00a0\u00bb\u00a0secrets\u00a0\u00ab\u00a0.<\/p>\n

Les utilisateurs auront l\u2019impression de confirmer la connexion \u00e0 un r\u00e9seau social, \u00e0 une adresse e-mail ou \u00e0 un service bancaire en ligne depuis leur smartphone. \u00c7a ressemblera \u00e0 ce que l\u2019on fait actuellement pour payer avec notre smartphone\u00a0: vous d\u00e9bloquez le dispositif en saisissant votre code PIN, ou gr\u00e2ce \u00e0 l\u2019authentification faciale ou par empreinte digitale, et vous confirmez la \u00a0\u00bb\u00a0transaction\u00a0\u00ab\u00a0. La seule diff\u00e9rence est qu\u2019au lieu de payer vous vous connectez \u00e0 un compte. Ainsi, ce d\u00e9verrouillage r\u00e9ussi v\u00e9rifie qu\u2019il s\u2019agit bien de vous. Plut\u00f4t int\u00e9ressant\u00a0!<\/p>\n

De plus, cette norme d\u00e9velopp\u00e9e par FIDO a une fonctionnalit\u00e9 suppl\u00e9mentaire qui se pr\u00e9sente sous la forme d\u2019une authentification Bluetooth sur plusieurs appareils. Par exemple, la connexion \u00e0 un compte depuis un ordinateur portable est plus rapide si le dispositif \u00a0\u00bb\u00a0voit\u00a0\u00a0\u00bb qu\u2019un smartphone de confiance se trouve \u00e0 proximit\u00e9. Cet encourageant syst\u00e8me d\u2019authentification va fonctionner pour la plupart des utilisateurs, sauf ceux qui utilisent encore un t\u00e9l\u00e9phone basique avec clavier. Gr\u00e2ce \u00e0 l\u2019aide de ces trois g\u00e9ants d\u2019Internet, cette fonctionnalit\u00e9 va devenir universelle \u00e0 court terme. Est-ce une bonne nouvelle en termes s\u00e9curit\u00e9\u00a0? Voyons les avantages et les inconv\u00e9nients de cette nouvelle technologie.<\/p>\n

Les avantages de l\u2019authentification sans mot de passe<\/h2>\n

Le soutien de Google, Apple et Microsoft laisse croire que les principaux services (Gmail, YouTube, iCloud, Xbox) et tous les dispositifs iOS, Android et Windows vont tr\u00e8s rapidement commencer \u00e0 utiliser l\u2019authentification sans mot de passe. \u00c9tant donn\u00e9 que cette norme est unifi\u00e9e et ouverte, l\u2019authentification devrait fonctionner de la m\u00eame fa\u00e7on sur tous les dispositifs. L\u2019option de passer d\u2019un appareil \u00e0 l\u2019autre est une autre des promesses faites. Vous avez remplac\u00e9 votre iPhone par un Samsung Galaxy\u00a0? Aucun probl\u00e8me. Vous pouvez d\u00e9signer votre nouveau smartphone comme \u00e9tant votre principal dispositif de v\u00e9rification.<\/p>\n

Le principal avantage de cette nouvelle m\u00e9thode est que l\u2019hame\u00e7onnage sera beaucoup plus difficile. Le vol des mots de passe traditionnels consiste \u00e0 cr\u00e9er un faux site bancaire, ou tout autre page, et de tromper la victime pour qu\u2019elle l\u2019ouvre. L\u2019utilisateur doit ensuite saisir ses identifiants de connexion, la 2FA est parfois prise en compte, et le tour est jou\u00e9. Les cybercriminels ont acc\u00e8s aux comptes. En plus d\u2019authentifier l\u2019utilisateur, cette nouvelle norme v\u00e9rifie l\u2019authenticit\u00e9 du service. L\u2019envoi d\u2019une simple requ\u00eate d\u2019identification sur une ressource Web diff\u00e9rente ne fonctionnera pas. Les mots de passe divulgu\u00e9s ne seront plus une menace pour les utilisateurs.<\/p>\n

Enfin, ce nouveau syst\u00e8me promet d\u2019\u00eatre simple et intuitif. S\u2019il est correctement mis en place, la substitution des mots de passe, m\u00eame pour les comptes existants, devrait \u00eatre directe, et le support promis au niveau du syst\u00e8me d\u2019exploitation ne devrait pas exiger l\u2019installation d\u2019une application. Il vous suffira d\u2019ouvrir le site, de saisir votre identifiant et de confirmer la requ\u00eate re\u00e7ue sur votre smartphone. C\u2019est tout\u00a0!<\/p>\n

Les probl\u00e8mes qui vont persister<\/h2>\n

\u00c7a ne devrait pas \u00eatre consid\u00e9r\u00e9 comme un probl\u00e8me au sens strict du terme, mais beaucoup risquent de poser la question\u00a0: et si quelqu\u2019un obtient le smartphone \u00a0\u00bb\u00a0de confiance\u00a0\u00a0\u00bb et valide la connexion \u00e0 tous les comptes\u00a0? La r\u00e9ponse est tr\u00e8s simple\u00a0: dans un mod\u00e8le de s\u00e9curit\u00e9 r\u00e9aliste, aucune solution n\u2019est infaillible. Tout peut \u00eatre pirat\u00e9. La vraie question est de savoir quelles ressources l\u2019intrus est pr\u00eat \u00e0 y consacrer. Apr\u00e8s tout, m\u00eame si vous arrivez \u00e0 vous souvenir de vos mots de passe de 128 caract\u00e8res vraiment al\u00e9atoires,\u00a0 certaines m\u00e9thodes se sont r\u00e9v\u00e9l\u00e9es efficaces et pourraient \u00eatre utilis\u00e9es pour vous soutirer les informations.<\/p>\n

Il y aura certainement des tentatives pour pirater les smartphones des utilisateurs et pour avoir acc\u00e8s aux comptes. Ces piratages seront individuels et les cibles seront des profils tr\u00e8s en vue, une attaque de boutique. Lorsqu\u2019il s\u2019agit du march\u00e9 de masse, autrement dit des menaces quotidiennes dans la vie r\u00e9elle, le vol de mots de passe est de plusieurs ordres de grandeur beaucoup plus r\u00e9pandu que le vol de smartphones et l\u2019utilisation du contenu. Cette technologie cherche \u00e0 r\u00e9soudre ce probl\u00e8me pr\u00e9cis.<\/p>\n

Souvenez-nous que des probl\u00e8mes similaires ont \u00e9t\u00e9 soulev\u00e9s lorsque la biom\u00e9trie a \u00e9t\u00e9 introduite en masse. \u00c0 cette \u00e9poque, de nombreux utilisateurs craignaient que quelqu\u2019un ne puisse voler leur empreinte digitale (en leur coupant un doigt dans le pire des cas) pour d\u00e9verrouiller leur smartphone. Troy Hunt, le cr\u00e9ateur du service HaveIBeenPwned mentionn\u00e9 ci-dessus, a publi\u00e9 l\u2019an dernier un article<\/a> sur un sujet similaire\u00a0: dans un mod\u00e8le de s\u00e9curit\u00e9 r\u00e9aliste, la biom\u00e9trie est plus forte que les mots de passe.<\/p>\n

Les cons\u00e9quences en cas de perte du smartphone sont le vrai probl\u00e8me que les acc\u00e8s sans mot de passe ne vont pas r\u00e9soudre. Il est vrai que la nouvelle norme permet de transf\u00e9rer le syst\u00e8me d\u2019authentification d\u2019un dispositif \u00e0 l\u2019autre. La m\u00e9thode la plus facile est d\u2019avoir deux appareils\u00a0; par exemple, un vieux t\u00e9l\u00e9phone et un nouveau. Si vous perdez votre ancien t\u00e9l\u00e9phone, vous devrez avoir recours \u00e0 une m\u00e9thode de r\u00e9cup\u00e9ration pour prouver qui vous \u00eates. Mais nous ne savons pas vraiment quelle m\u00e9thode sera utilis\u00e9e. Il semblerait que cela d\u00e9pende principalement des param\u00e8tres du service en question.<\/p>\n

Pour conclure, il convient de se poser la question\u00a0: ce nouveau syst\u00e8me ne va-t-il pas rendre les utilisateurs plus d\u00e9pendants de la fonctionnalit\u00e9 des comptes qu\u2019ils ont avec Google ou Apple\u00a0? Si un compte Google est bloqu\u00e9, est-ce que cela va emp\u00eacher l\u2019acc\u00e8s \u00e0 toutes les autres ressources en ligne\u00a0? M\u00eame si nous partons du principe que cette norme est ouverte, le syst\u00e8me d\u2019exploitation et la structure des smartphones le sont beaucoup moins.<\/p>\n

Un avenir (plut\u00f4t) brillant<\/h2>\n

M\u00eame un sceptique serait en peine de trouver des arguments qui prouvent que les mots de passe sont meilleurs que les acc\u00e8s sans mot de passe. Le concept obsol\u00e8te du mot de passe a besoin d\u2019un nouveau souffle depuis longtemps. La norme sans mot de passe de FIDO promet de mettre beaucoup de choses au clair mais certaines d\u00e9pendent ce ceux qui vont les mettre en \u0153uvre\u00a0: Google, Apple, Microsoft et autres. S\u2019ils agissent correctement, nos vies num\u00e9riques seront plus faciles et plus s\u00fbres. Pourtant, il est peu probable que cela ne se fasse du jour au lendemain\u00a0: les mots de passe sont tellement ancr\u00e9s dans Internet qu\u2019il faudra plusieurs ann\u00e9es pour compl\u00e8tement les \u00e9radiquer, m\u00eame si un nouveau syst\u00e8me am\u00e9lior\u00e9 est mis en place.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Voyons comment Google, Microsoft et Apple travaillent ensemble pour \u00e9liminer les mots de passe.<\/p>\n","protected":false},"author":665,"featured_media":18939,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1869],"tags":[1214,29,677,4283,16,31,205],"class_list":{"0":"post-18936","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-2fa","9":"tag-apple","10":"tag-cryptographie","11":"tag-fido","12":"tag-google","13":"tag-microsoft","14":"tag-mots-de-passe"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-future-without-passwords\/18936\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-future-without-passwords\/24205\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-future-without-passwords\/19687\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-future-without-passwords\/9926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/passkey-future-without-passwords\/26530\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-future-without-passwords\/24488\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-future-without-passwords\/24833\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-future-without-passwords\/27199\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-future-without-passwords\/26732\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-future-without-passwords\/33222\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-future-without-passwords\/10716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-future-without-passwords\/44418\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-future-without-passwords\/19485\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-future-without-passwords\/28746\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/passkey-future-without-passwords\/32556\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-future-without-passwords\/25066\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-future-without-passwords\/30568\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-future-without-passwords\/30317\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18936","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18936"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18936\/revisions"}],"predecessor-version":[{"id":18943,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18936\/revisions\/18943"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18939"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18936"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18936"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18936"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}