Mot de passe : vers une stratégie de connexion-compte sans mot de passe pour Apple, Google et Microsoft ! (la CLE…)

Alors que la journée internationale du mot de passe, le 5 Mai 2022 (et au-delà d’un simple jour, pensons-le), tend à s’achever, l’Alliance FIDO (Fast IDentity Online), sous le concours du consortium WWW (World Wide Web), vient de communiquer sur les stratégies à venir concernant certains de ses partenaires dont Apple, Google et Microsoft.

“Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd’hui leur intention d’étendre la prise en charge d’une norme commune de connexion sans mot de passe créée par l’Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d’offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes […] Les plates-formes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d’appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe“, selon le communiqué de l’Alliance, le 5 Mai 2022.

Cette approche permettrait d’automatiser l’autorisation d’accès à un compte-utilisateur (sans mot de passe, donc) sous exploitation de l’authentification FIDO, toute plate-forme-environnement confondu. Dans un papier technique publié au 17 Mars 2022, l’Alliance FIDO posait les bases  d’une nouvelle version de la spécification, notamment, WebAuthn (W3C), qui s’estampillait d’un niveau 3 : “les ajouts proposés aux spécifications FIDO/WebAuthn définissent un protocole qui utilise Bluetooth pour communiquer entre le téléphone de l’utilisateur (qui devient l’authentificateur FIDO) et l’appareil à partir duquel l’utilisateur tente de s’authentifier. Bluetooth nécessite une proximité physique, ce qui signifie que nous disposons désormais d’un moyen résistant au phishing pour tirer parti du téléphone de l’utilisateur lors de l’authentification. Avec cet ajout aux normes FIDO/WebAuthn, les déploiements à deux facteurs qui utilisent actuellement le téléphone de l’utilisateur comme deuxième facteur pourra passer à un niveau de sécurité plus élevé (résistance au phishing) sans que l’utilisateur ait besoin de transporter un matériel d’authentification spécialisé (clés de sécurité) […] l’évolution prévue des implémentations d’authentificateurs FIDO pour permettre la synchronisation des informations d’identification, ainsi que les modifications proposées des spécifications FIDO et WebAuthn, sont sur le point d’offrir, pour la première fois, des alternatives attrayantes au statu quo pour tout un éventail de cas d’utilisation, allant des déploiements grand public de systèmes d’authentification à deux facteurs ou même de systèmes à mot de passe uniquement (où FIDO améliore considérablement la sécurité sans sacrifier la convivialité ou la capacité de déploiement) aux systèmes gouvernementaux ou d’entreprise à haute sécurité (où FIDO répond aux exigences de sécurité strictes de type AAL3 grâce à des déploiements plus simples)“… A veiller !

Sources :

• Alliance FIDO – 5 Mai 2022 – Authentification sans mot de passe : stratégie à venir pour Apple, Google et Microsoft,
• Alliance FIDO – 17 Mars 2022 – Authentification multi-device (terminaux) FIDO : papier technique.

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message