Un monde sans mots de passe pourrait enfermer davantage les utilisateurs dans les écosystèmes Apple et Google

La perspective d’un monde sans mots de passe ne peut pas venir assez tôt pour moi, mais un problème a été soulevé avec la norme FIDO conçue pour en éliminer le besoin. À savoir, que l’abandon des mots de passe pourrait rendre plus difficile le passage d’un écosystème à l’autre.

Si vous avez configuré vos clés d’accès pour les appareils Apple, rien dans la norme ne vous permet de les transférer sur un appareil Android, ou vice versa…

Un monde sans mots de passe

Un monde sans mots de passe est la mission de l’Alliance FIDO (Fast IDentity Online).

Actuellement, pour se connecter à un site Web ou à une application, nous entrons généralement un nom d’utilisateur et un mot de passe. Nous soutenons depuis des années que les mots de passe sont une approche assez horrible de la sécurité – et le deviennent encore plus avec chaque service supplémentaire que nous utilisons. Les questions de sécurité en tant que forme brute d’authentification à deux facteurs sont un gâchis encore plus grand.

Ce que FIDO fait, c’est plutôt permettre à notre appareil de nous authentifier. La logique est la suivante (en utilisant un iPhone avec Face ID comme exemple):

  • Un site Web ou une application vous demande de vous identifier et de prouver votre identité.
  • Votre iPhone reçoit cette demande et active Face ID.
  • Si votre visage correspond, votre iPhone indique au site Web qui vous êtes,
    et qu’il a confirmé votre identité.

À aucun moment un mot de passe n’est impliqué : l’authentification est effectuée sur votre appareil, pas sur le serveur du site Web. Le serveur Web fait confiance à votre iPhone pour vous authentifier exactement de la même manière que les terminaux de paiement font confiance à votre téléphone pour les transactions Apple Pay.

Apple prend en charge la norme

Nous avons d’abord vu un exemple de la façon dont cela pourrait fonctionner sur les appareils Apple en 2019. Apple a ensuite officiellement confirmé qu’il prendrait en charge la norme FIDO l’année suivante.

Il est également pris en charge par d’autres géants de la technologie, comme Amazon, Arm, Facebook, Google, Intel, Microsoft et Samsung. Et pour illustrer que même les sociétés de services financiers sont satisfaites de la sécurité de l’approche, les membres du conseil d’administration de FIDO incluent American Express, ING, Mastercard, Paypal, Visa et Wells Fargo.

Une mise à jour proposée de la norme rend la vie encore plus facile en permettant à un appareil Apple d’en authentifier un autre, via Bluetooth. En d’autres termes, si vous avez déjà utilisé FIDO pour vous connecter à un site Web sur votre iPhone, il vous connectera également sur votre Mac s’il se trouve à portée Bluetooth. Apple appelle son implémentation de cette fonctionnalité Passkeys dans iCloud Keychain. Ce n’est qu’une proposition à ce stade, mais Apple, Google et Microsoft prévoient tous de la prendre en charge.

Le problème de l’enfermement

Cependant, comme Entreprise rapide rapports, il n’y a actuellement rien dans la norme pour permettre la commutation entre les écosystèmes. Les clés de passe sont stockées sur vos appareils (et dans le cloud, si cette fonctionnalité est confirmée), ce qui pose problème si vous souhaitez passer d’un iPhone à un téléphone Android, ou vice versa.

La proposition actuelle de FIDO n’a pas de mécanisme pour le transfert en masse de clés d’accès entre les écosystèmes. Si vous souhaitez passer d’un téléphone Android à un iPhone, ou vice versa, vous ne pourrez pas déplacer facilement tous vos mots de passe.

“Nous n’avons pas vraiment de méthode d’exportation par lots pour le moment”, déclare Andrew Shikiar, directeur exécutif de FIDO Alliance. “Je pense que c’est probablement une future itération.”

En revanche, la nature tangible des mots de passe les rend assez faciles à transférer. Les principaux navigateurs Web peuvent importer des mots de passe à partir d’autres navigateurs en quelques clics, et la plupart des gestionnaires de mots de passe peuvent télécharger les identifiants des utilisateurs sur une feuille de calcul .csv, permettant aux utilisateurs de les télécharger manuellement vers un service concurrent.

Ou plutôt, vous ne pouvez le faire qu’un seul mot de passe à la fois, ce qui serait extrêmement fastidieux.

En théorie, il s’agit d’un problème simple à résoudre : autorisez simplement l’exportation et l’importation des clés de sécurité de la même manière que les mots de passe peuvent l’être aujourd’hui. Mais étant donné que FIDO est censé être plus sûr que les mots de passe, l’alliance hésite à autoriser cela.

La crainte est que si les utilisateurs peuvent facilement déplacer tous leurs mots de passe entre les fournisseurs, les pirates pourraient essayer d’exploiter cette capacité. Pour l’instant, on ne sait pas quand ni comment FIDO pourrait résoudre ce problème.

“Il est très difficile de le faire en toute sécurité dès le départ, car si nous donnons un mécanisme sans grand soin à quelqu’un pour exporter toutes ces clés, vous savez qui va se présenter en premier pour cela”, déclare Srinivas. “Ce ne sera pas l’utilisateur légitime.”

La solution la plus probable consiste à travailler avec des sociétés de gestion de mots de passe comme 1Password et LastPass, car elles auraient besoin d’un nouveau rôle dans un monde sans mot de passe. 1Password et Bitwarden sont convaincus que cela se produira – mais nous ne devrions probablement pas nous y attendre lors du premier lancement de FIDO, soit à la fin de cette année ou au début de la prochaine.

Photo : Nilay Patel/Unsplash

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Suite.


Découvrez 9to5Mac sur YouTube pour plus d’actualités Apple :