Aujourd’hui, Microsoft, Apple et Google ont annoncé leur intention de prendre en charge une norme commune de connexion sans mot de passe (appelée clé d’accès) développée par le World Wide Web Consortium (W3C) et l’Alliance FIDO.
Une fois mises en œuvre, ces nouvelles informations d’identification d’authentification Web (WebAuthn) (ou informations d’identification FIDO) permettront aux utilisateurs des trois géants de la technologie de se connecter à leurs comptes sans utiliser de mot de passe.
Au lieu d’utiliser des mots de passe, ils auront la possibilité d’opter pour la vérification de leur identité à l’aide de codes PIN ou d’une authentification biométrique (empreinte digitale ou faciale).
« Pour vous connecter à un site Web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder », mentionné Sampath Srinivas, directeur Google PM pour l’authentification sécurisée.
« Même si vous perdez votre téléphone, vos clés d’accès se synchroniseront en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s’est arrêté. »
Les nouvelles fonctionnalités devraient être disponibles sur les principales plates-formes, appareils, sites Web et applications exploités par les plates-formes Microsoft, Apple et Google au cours de l’année à venir.
« Ces informations d’identification FIDO multi-appareils, parfois appelées clés d’accès, représentent une étape monumentale vers un monde sans mots de passe », ajoutée Alex Simons, vice-président de la division Identité de Microsoft.
Lorsqu’elles seront disponibles, les clés d’authentification supprimeront l’obligation de se connecter à chaque application ou site Web sur chaque appareil, ajoutant des fonctionnalités supplémentaires pour des connexions sans mot de passe plus transparentes :
- Les utilisateurs peuvent accéder automatiquement à leurs clés d’accès sur plusieurs de leurs appareils sans avoir à se réinscrire pour chaque compte.
- Avec des clés d’accès sur votre appareil mobile, vous pouvez vous connecter à une application ou à un service sur presque n’importe quel appareil, quelle que soit la plate-forme ou le navigateur utilisé par l’appareil.
L’abandon de l’utilisation de mots de passe pour se connecter aux comptes rendra le Web plus sûr, car il s’agit du point d’entrée le plus couramment utilisé par les attaquants pour pirater les identités en ligne.
En tant que Vasu Jakkal, vice-président de Microsoft, Sécurité, conformité, identité et gestion, révélé aujourd’hui, « il y a 921 attaques par mot de passe chaque seconde, dont la fréquence a presque doublé au cours des 12 derniers mois ».
Poussée de connexion sans mot de passe
Parmi les trois sociétés, Microsoft fait pression pour des connexions sans mot de passe sur bon nombre de ses plates-formes et services depuis plusieurs années maintenant.
En décembre 2020, Microsoft a signalé que plus de 150 millions d’utilisateurs connectés à leurs comptes Azure Active Directory et Microsoft sans utiliser de mot de passe.
La société a commencé à déployer la prise en charge de la connexion sans mot de passe pour tous les comptes Microsoft en septembre, permettant à ses clients de se connecter à leurs comptes Microsoft sans utiliser de mot de passe.
En octobre, l’équipe de détection et de réponse de Microsoft (DART) a déclaré avoir détecté une augmentation de attaques par pulvérisation de mot de passe ciblant les comptes cloud privilégiés et les identités de premier plan.
Un an auparavant, Simons avait révélé que les attaques par pulvérisation de mots de passe figuraient parmi les attaques d’authentification les plus populaires, car elles étaient à l’origine de plus de un tiers des compromissions de comptes d’entreprise.
« J’applaudis l’engagement de nos partenaires du secteur privé envers des normes ouvertes qui ajoutent de la flexibilité pour les fournisseurs de services et une meilleure expérience utilisateur pour les clients », mentionné Directrice de CISA, Jen Easterly.
« Aujourd’hui est une étape importante dans le parcours de sécurité pour encourager les meilleures pratiques de sécurité intégrées et nous aider à aller au-delà des mots de passe. »