Apple, Google et Microsoft ont publié conjointement hier, journée mondiale du mot de passe, un communiqué affichant leur volonté d’en finir avec les mots de passe. Objectif, se débarrasser d’une mesure de protection considérée comme le maillon faible de la sécurité aujourd’hui, et promouvoir une authentification plus forte.
Le problème des mots de passe est connu depuis longtemps. Encore aujourd’hui, bien trop nombreuses sont les personnes à non seulement créer des mots de passe trop faibles, mais en plus à les réutiliser par simplicité d’usage.
Il faut dire que la technique a d’évidentes limites de praticité. C’était de loin la méthode la plus simple auparavant pour protéger un accès… quand ceux-ci étaient encore peu nombreux. Aujourd’hui, la situation est très différente. Avec la multiplication des services réclamant de créer des comptes, les utilisateurs font face à de grosses difficultés.
Rappelons en effet que dans l’idéal, un mot de passe doit être unique, pour une raison simple : la même adresse email étant souvent utilisée, il ne faut pas qu’un mot de passe dérobé puisse servir pour les autres comptes, créant une cascade d’accès piratés, avec les conséquences que l’on imagine. En plus d’être uniques, ces mots doivent être forts : au moins 12 caractères de long, avec des majuscules, minuscules, chiffres et caractères spéciaux. Les phrases de passe sont un bon moyen de contourner la difficulté, mais là encore il en faut une unique pour chaque compte.
Les gestionnaires de mots de passe ont largement simplifié tout ce bazar. Comme nous l’avons indiqué dans plusieurs articles, ils permettent de créer facilement des mots de passe très forts et uniques, de les stocker et de remplir automatiquement les formulaires quand on se balade sur le web. Certains sont très à l’aise en environnements mobiles et peuvent aussi compléter les champs dans les applications. Ils ont aussi une faiblesse : les données sont protégées par un mot de passe, qui doit être impérativement robuste pour sécuriser efficacement l’accès.
- Mais au fait, pourquoi un gestionnaire de mots de passe ?
- Phrases de passe : l'ANSSI passe en mode 2.0
- Phrases de passe : la CNIL passe elle aussi en mode 2.0
- Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
Même si les gestionnaires sont une étape importante, il n’en reste pas moins que les mots de passe eux-mêmes sont loin de la panacée. Car en cas de fuite chez un prestataire, il faut réagir rapidement et changer ses identifiants, même si la loi impose aux entreprises d’avertir les personnes concernées. En outre, à moins de créer ses premiers mots de passe avec un gestionnaire, l’installation de ce dernier doit idéalement être suivie d’une longue phase de remplacement de ses anciens mots.
Pour sécuriser ces accès, le deuxième facteur a été créé. Souvent envoyé sous forme de SMS, le code peut aussi être distribué via une application de type Authenticator. Certains éditeurs, comme Microsoft, ne réclament pas de code, et demandent à la place de valider la notification émise par l’application. Il y a gain de temps par rapport au code, mais l’ensemble reste lourd.
C’est dans ce contexte qu’Apple, Google et Microsoft ont affiché leur volonté commune d’en finir avec ce reliquat du passé.
Une extension des standards sans mot de passe
Dans ce domaine, c’est à l’alliance FIDO que l’on doit de gros progrès ces dernières années. Avec le standard du même nom puis sa version 2, on peut voir aujourd’hui de nombreux services prendre en charge les clés de sécurité de type Yubico ou les Titan de Google. C’est sur ce standard qu’est bâtie également la solution Windows Hello de Microsoft pour le déverrouillage de session via la webcam (il faut des modèles compatibles). Sur Internet, c’est le standard WebAuthn qui règne désormais.
Il y a toutefois une grosse limitation dans les premières implémentations : l’obligation de se reconnecter à chaque service compatible sur chaque appareil. Une étape pénible que les entreprises veulent notamment supprimer.
Comment ? En mettant sur un pied d’égalité toutes les solutions biométriques disponibles sur les appareils. Cela signifie qu’en théorie, vous pourrez passer d’un iPhone à un smartphone Android avec peu de manipulations pour en exploiter le capteur d’empreinte, alors que vous utilisiez Face ID par exemple. Ces solutions techniques ne seront plus limitées qu’à quelques applications internes – c’est notamment vrai chez Apple – et seront disponibles aux développeurs tiers à travers des API standardisées.
Deux mesures en particulier sont prévues :
- un accès automatique aux informations sécurisées stockées sur l’appareil,
- la possibilité d’utiliser un appareil mobile pour s’authentifier sur une autre machine.
Surtout, c’est l’intégration du standard au sein de tous les navigateurs et systèmes d’exploitation des trois géants qui devraient changer la donne.
Fini donc a priori les solutions développées chacun dans son coin, place à la mise en commun, ou du moins à l’accès unifié auquel tout le monde va se référer. Et on peut dire « tout le monde » car si Apple, Google et Microsoft s’y mettent, le reste de l’industrie suivra. D’autant que ce plan de bataille est réalisé dans le cadre de l’alliance FIDO (pour Fast IDentity Online), qui compte de nombreux autres membres.
Clés de passe et zones d’ombre
Il ne faudra donc plus parler de mot de passe, mais de « clé » de passe. Comment fonctionnera tout ça ? Par le stockage de cette clé dans l’appareil à la première authentification sur un compte. La clé est définie par le standard de l’alliance FIDO et est liée à la biométrie sur l’appareil utilisé. Elle ne peut être rappelée que quand cette même biométrie sert à authentifier l’utilisateur.
Le téléphone devient la clé, plutôt qu’un simple deuxième facteur générant un code à six chiffres pour compléter un mot de passe.
Sur l’ordinateur ou la tablette utilisée, le compte ouvert garde en mémoire les identifiants et ne doit plus les réclamer par la suite, sauf comportement contraire défini par la personne. Dans les grandes lignes, une authentification ressemblerait alors à ce que pratique Microsoft pour ses comptes quand son Authenticator est installé, à ceci près que la biométrie serait obligatoire.
Mais comme toujours face à ce type d’annonce, il y a des inconvénients et des zones d’ombre. À la lecture de ce fonctionnement, vous vous êtes peut-être posé(e) la question de ce qui assurait le lien entre le smartphone et l’appareil à déverrouiller. Internet et… le Bluetooth.
Internet pour envoyer au serveur concerné le signal que l’accès est confirmé, le Bluetooth pour s’assurer de la proximité de l’appareil. C’est une sécurité supplémentaire, dans le cas par exemple où le téléphone et l’ordinateur ne seraient pas au même endroit. Malheureusement, le Bluetooth est loin d’être disponible sur tous les PC. On le trouve presque à chaque fois sur les modèles portables et l’ensemble des Mac. Les PC fixes sont une autre paire de manche.
Les constructeurs, tout comme l’alliance FIDO, promettent également que ces clés seront préservées par les sauvegardes automatiques de chaque plateforme, donc par le compte. Ce qui signifie un stockage de ces clés sur les serveurs, avec toutes les problématiques d’accès aux données qui vont avec.
Et en cas de perte du téléphone ? Il suffira de restaurer sa sauvegarde sur le nouveau modèle acheté. Mais là encore, on manque de détails, notamment si on change de plateforme. Et restaurer avec quel contrôle de sécurité ? Probablement un mot de passe.
Une arrivée progressive
Ce qu’annoncent l’alliance et les trois entreprises n’est pas une disponibilité immédiate, mais un plan de bataille. Si l’on en croit leur calendrier actuel, ces nouveautés seront progressivement déployées au cours de l’année qui vient. On n’en sait pas plus pour l’instant.
Il est fort probable cependant que les mois qui viennent contiennent des annonces sur le sujet. Les beaux jours marquent en général l’arrivée des grandes annonces pour les trois grandes entreprises. La semaine prochaine, Google tiendra ainsi sa conférence I/O, les 11 et 12 mai. Microsoft prendra le relai avec sa Build du 24 au 26 mai, très certainement avec des annonces liées à Windows 11. La WWDC 2022 d’Apple se tiendra du 6 au 10 juin et sera le théâtre de présentation des nouvelles versions d’iOS et macOS, notamment.
On a donc dans les prochaines semaines des occasions parfaites pour en annoncer davantage sur ce chapitre. Car cette annonce est loin de parer à tous les détails. On devrait notamment en apprendre davantage sur l’implémentation, car c’est cette dernière qui déterminera le succès ou non de l’initiative. Car ce n’est pas la première fois que les grandes entreprises s’attaquent au problème du mot de passe. Un effort de longue haleine qui passe par une cassure des habitudes chez des utilisateurs… qui détestent ça. Google a même publié une infographie pour rappeler les grandes étapes traversées jusqu'ici.
Enfin, face aux promesses de simplicité, il restera à déterminer si celle de la sécurité est tenue. Car si simplicité et sécurité ne s’excluent pas complètement, ils sont difficiles à marier et il faut souvent savoir de quel côté on tire le curseur. La sécurité implique également celle des données hébergées, car cela reviendra à confier en partie les clés du coffre à l’un des trois grands. À voir d’ailleurs comment les gestionnaires de mots de passe s’adapteront à cette lame de fond, même si disponibilité ne veut pas dire utilisation.
