26/06/2022 usbeketrica.com  6 min #210959

Pourquoi les géants de la tech veulent en finir avec les mots de passe

Il y a quelques semaines, le géant américain Apple annonçait le déploiement imminent de ses « passkeys », une technologie de sécurisation des données basée non plus sur des mots de passe, mais sur des clés cryptographiques. Microsoft et Apple lui emboîtent le pas.

L'annonce a fait l'effet d'une petite bombe dans le milieu des nouvelles technologies. Au début du mois de juin, dans l'une de ces conférences millimétrées dont lui seul a le secret, le géant américain Apple  annonçait le déploiement imminent de ses « passkeys ». Soit, en anglais, le nom donné à une technologie de sécurisation des données basée non plus sur des mots de passe... mais sur des clés cryptographiques. Dans une présentation sous forme de tutoriel vidéo, l'entreprise démontrait ainsi comment utiliser simplement cette nouvelle fonctionnalité à partir des capteurs biométriques des ses appareils : plutôt qu'un code secret choisi par l'utilisateur, il suffira de générer un passkey en son nom propre, soit à partir de Touch ID (empreintes digitales), soit à partir de Face ID (reconnaissance faciale). Pour se connecter, l'utilisateur pourra donc s'authentifier avec les données biométriques de son empreinte ou de son visage, plutôt qu'en tapant manuellement ses identifiants.

Dans le détail, Apple explique que ces passkeys seront synchronisés directement sur l'iPhone, l'iPad, le Mac et l'Apple TV de l'utilisateur, par le biais de son cloud, iCloud Keychain. De quoi garantir une sécurité maximale d'ici la fin de l'année, période où la mise à jour devrait être déployée pour le grand public. C'est en tout cas l'argument central de la firme dirigée par Tim Cook, qui  assure sur son site que « les pirates ne pourront donc pas divulguer les mots de passe, ni inciter les utilisateurs à les partager ». « Les clés d'accès simplifient la connexion en toute sécurité, écrit Apple. Elles fonctionneront également sur les applications et sur le web, et les utilisateurs pourront même se connecter à des sites web ou à des applications sur des appareils non-Apple à l'aide de leur iPhone [en générant un QR code, ndlr]. »

« Dépendance excessive aux mots de passe »

Il faut dire que l'entreprise créée par Steve Jobs n'est pas la seule à vouloir mettre un terme au règne des mots de passe. Depuis 2013, l'alliance FIDO (pour « Fast IDentity Online », en anglais) œuvre à promouvoir des normes d'authentification qui, selon ses propres termes, « contribuent à réduire la dépendance excessive du monde aux mots de passe ». En mars 2022, l'association annonçait avoir trouvé pour la première fois une solution pour stocker et synchroniser des clés cryptographiques sur différents appareils. Quelques semaines plus tard, Apple, Microsoft et Google officialisaient tour à tour leur soutien à ces nouveaux « standards FIDO », promettant même de commencer à déployer cette nouvelle technologie dans les prochains mois. Pour le plus grand bonheur de Andrew Shikiar, directeur exécutif de l'alliance FIDO, qui espère que « cette approche sera bientôt tangible pour les consommateurs du monde entier ».

D'un point de vue technologique, dire que les mots de passe ne constituent pas tout à fait une garantie de sécurité  relève effectivement de l'euphémisme. Les combinaisons « trop facilement devinables » représentent plus de 80 % de toutes les violations de données recensées en ligne, selon le dernier rapport de l'entreprise spécialisée Verizon. Et ce malgré l'existence des  gestionnaires de mots de passe, sortes de coffre-forts contenant l'ensemble des mots de passe d'un utilisateur, dont la popularité se résume encore aux aficionados de la tech.

Chiffrage de bout en bout

Les passkeys déployés par Apple sont quant à eux basés sur la norme cryptographique  API Web Authentication (WebAuthn), qui permet un chiffrage de bout en bout. « En plus d'éliminer le risque qu'un criminel devine un mot de passe, ce nouveau système pourrait réduire le danger des attaques par phishing ou hameçonnage, écrit le site spécialisé  Big Data. De plus, les mots de passe dévoilés lors de fuites de données deviendraient strictement inutiles. » « Parce qu'il suffit d'un simple clic pour se connecter, c'est à la fois plus facile, plus rapide et plus sécurisé que presque toutes les formes d'authentification courantes aujourd'hui », vante Garrett Davidson, ingénieur Apple de l'équipe Authentication Experience. Même enthousiasme chez Jen Easterly, directrice de l'agence américaine Cybersecurity and Infrastructure Security Agency (CISA), qui qualifie cette initiative d'« avant-gardiste, afin d'assurer la sécurité des Américains en ligne ».

Un unanimisme que tempère quelque peu Johnatan Uzan, expert cybersécurité de BCG Platinion. Dans  Les Échos, ce dernier rappelle en effet qu'un tel changement implique qu'internautes et fournisseurs de services acceptent de sous-traiter l'identification à un prestataire extérieur, le fournisseur du smartphone ou du système d'exploitation. « On passe d'un mode propriétaire à un mode locataire, comme cela a été le cas avec la musique : vous ne possédez plus de disques, vous louez l'accès à votre musique à des plateformes de streaming, expose Johnatan Uzan. Nous allons abandonner la possibilité de choisir et gérer nos mots de passe nous-même, et la confier à des sociétés privées comme Google ou Apple. Ce n'est pas forcément une mauvaise chose, mais il faut en avoir conscience. » Un  débat éthique qui ne fait sans doute que commencer.

 usbeketrica.com

 Commenter