Pour accélérer l’émergence d’un monde sans mot de passe, Apple, Google et Microsoft décident d’agir de concert. De nouvelles fonctionnalités pour améliorer l’interopérabilité et la convivialité des dispositifs d’authentification vont arriver.

L’avenir se fera sans doute sans mot de passe. C’est en tout cas dans cette direction que les grandes entreprises de la tech entendent aller. Ce jeudi 5 mai, trois des plus grands groupes du secteur — Google, Apple et Microsoft — annoncent leur engagement commun en faveur d’une évolution radicale dans la manière d’ouvrir une session sur un site, un service ou un appareil.

En clair, le but affiché est de tourner la page de ces fameux codes qui servent de clés d’accès à ses comptes. À la place, la vérification se fera par un autre moyen, annoncé comme beaucoup plus sûr et résistant. Leur objectif est de mettre fin à la corvée de la mémorisation des mots de passe, aux risques de hameçonnage (« phishing ») et aux codes trop faibles ou trop réutilisés.

Remplacer les mots de passe par de la biométrie, ou autre chose

Pour cela, Google, Apple et Microsoft promettent d’embrasser encore plus la norme FIDO (Fast IDentity Online). Derrière l’acronyme se cache un consortium d’industriels dont le but est de mobiliser la biométrie (empreinte digitale, empreinte vocale, reconnaissance faciale, analyse de l’iris, etc.) pour authentifier avec un plus haut degré de certitude et de sécurité les individus.

Si la biométrie constitue l’un des axes de travail de l’alliance FIDO, il existe aussi d’autres approches, comme la communication en champ proche (NFC), les puces cryptographiques TPM (Trusted Platform Module), les cartes à puce ou bien les clés USB de sécurité (U2F). Google, par exemple, en propose une, mais il y a plusieurs acteurs sur ce marché.

Illus-capteur-empreintes
Un déverrouillage biométrique avec l’empreinte digitale. // Source : Photo Numerama

« Cette approche protège contre le phishing et la connexion sera radicalement plus sûre par rapport aux mots de passe et aux technologies multifactorielles existantes, comme les codes d’accès à usage unique envoyés par SMS », est-il argué. Elle s’appuie sur des gestes déjà courants, comme le déverrouillage d’un smartphone avec le doigt ou le visage.

La norme FIDO n’est pas récente. On en parle depuis le début des années 2010 et tout le gratin de la tech est impliqué : Amazon, Intel, Facebook, Lenovo, Mastercard, PayPal, Qualcomm, Thales, Samsung, Yahoo, Visa, ARM, eBay, Huawei, Netflix, Sony, Twitter et bien d’autres. On trouve aussi des soutiens étatiques, des USA à l’Allemagne, en passant par Taïwan, l’Australie et la Corée du Sud.

Microsoft et Google étaient déjà engagés dans le projet FIDO depuis quelque temps. À titre d’exemple, Android comme Windows 10 ont décroché en 2019 la certification FIDO2 — d’ailleurs, Google a été impliqué dès le début dans l’alliance Microsoft aussi est dans le coup depuis plusieurs années, avec une arrivée en 2015. Apple est arrivé un peu plus tard, en 2020.

L’emploi de la biométrie pour authentifier les individus lors de la connexion ne date certes pas d’hier. Mais Google, Microsoft et Apple, en tant que responsables de trois des plus grands systèmes d’exploitation pour le public (Android, Windows et iOS/macOS), et à la tête de produits et de services très populaires, occupent une place clé pour faire de l’alliance FIDO un succès.

Éliminer les frictions d’une expérience sans mot de passe

Les trois entreprises rappellent à ce titre qu’elles « prennent déjà en charge FIDO pour permettre la connexion sans mot de passe sur des milliards d’appareils, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. »

L’objectif ici est de réduire encore plus les frictions pour rendre l’emploi de cette solution d’authentification forte encore plus conviviale et interopérable. Il s’agit, dit l’annonce, d’étendre les implémentations sur les systèmes d’exploitation afin que les internautes accèdent à deux nouvelles capacités pour ouvrir une session sans avoir besoin d’inscrire un mot de passe :

  • Permettre d’accéder automatiquement à leurs informations d’identification FIDO sur plusieurs de leurs appareils, même les nouveaux, sans avoir à réenregistrer chaque compte ;
  • Permettre d’utiliser l’authentification FIDO sur un appareil mobile pour se connecter à une application ou à un site sur un appareil voisin, quel que soit la plateforme OS ou le navigateur qu’ils utilisent.
https://www.flickr.com/photos/yubikey/4887967986/
Des clés U2F. Il s’agit d’une des solutions dans le cadre de l’alliance FIDO pour remplacer les mots de passe. // Source : Yubico

Certes, la sécurité des mots de passe a évolué ces dernières années avec la mise en place de règles de plus en plus strictes (par exemple, certains mots de passe trop faibles, trop courts ou trop évidents peuvent être rejetés au moment de l’inscription à un service). Certes, les gestionnaires de mots de passe et l’authentification à deux facteurs aident à augmenter le niveau de sécurité.

Cela, les trois partenaires l’admettent volontiers. Mais ils font remarquer que tout repose en fin de compte sur le même socle, le mot de passe. Or, cette base est jugée aujourd’hui trop peu solide pour que l’on continue à construire dessus, même en rajoutant une double authentification ou bien en plaçant tous ses mots de passe dans un coffre-fort numérique.

Outre une expérience que les trois entreprises promettent plus agréable, il sera possible aux plateformes respectant les préconisations de l’alliance FIDO de fournir « des identifiants sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte ». Apple, Google et Microsoft promettent la sortie de ces nouvelles fonctionnalités en 2022.