L’Alliance FIDO développe un système d’authentification alternatif qui permettra de s’affranchir des mots de passe complexes dont on peine à se souvenir. On vous explique comment.
Bonjour la frustration. Depuis un petit moment, vous ne vous étiez pas connecté à un site voire un réseau social. Ou vous n’aviez pas eu à renouveler votre identification depuis un certain temps. Mais là, c’est la tuile, plus possible d’accéder à votre espace, car vous ne souvenez plus du mot de passe. Le simple fait de garder en mémoire – ou sur un petit calepin – tous ses codes est un défi pour de nombreuses personnes.
Pour se simplifier la vie, il y a toujours la possibilité de passer par un trousseau (Google, Apple…) ou un gestionnaire ad hoc (Dashlane, BitWarden, 1Password…) pour conserver en lieu sûr ses mots de passe et ne plus avoir à se creuser la tête. Mais rien que le fait de s’identifier sur un site reste une plaie. Il faut se souvenir si on avait déjà un compte, quel mail a été utilisé, etc. Sans compter qu’il est conseillé de modifier régulièrement ses codes pour contrecarrer de possibles fuites de données sur le darkweb. Bref, ce système est loin d’être optimal. D’où l’idée de mettre fin aux mots de passe. C’est à cela que travaille l’Alliance FIDO avec ses « passkeys ».
C’est quoi l’Alliance et l’authentification FIDO ?
Il s’agit d’un groupe des géants de la tech, comme Microsoft, Apple et Google, qui travaillent à créer un nouveau standard d’authentification plus pratique et sécurisé. L’acronyme du nom de l’organisation résume très bien cela : Fast IDentity Online (identité en ligne rapide). Son but est d’imaginer un monde sans mot de passe. C’est presque trop beau pour être vrai. Pourtant, le système, annoncé en mai 2022, devrait être lancé courant 2023.
Il faudra toujours, en revanche, déverrouiller son appareil, que ce soit avec un code PIN, une vérification biométrique (empreinte ou reconnaissance faciale) ou le dessin d’une forme.
Le principe est de ne plus avoir un mot de passe qui peut être oublié ou piraté à l’aide de solutions pernicieuses comme le phishing, l’installation de logiciels malveillants, le piratage de données sur des serveurs, etc. FIDO prévoit de recourir à des clés cryptographiques – appelées passkeys – ainsi qu’à la biométrie. Gros avantage : ces clés ne quitteraient jamais l’appareil d’une personne et seraient reliées de manière unique à une clé sur le serveur du service en question.
Ensuite, tout l’objet de l’Alliance FIDO est de définir des spécifications et des certifications interopérables avec les authentificateurs matériels et mobiles de nombreux fabricants et fournisseurs (smartphone Android, ordinateurs Acer, Dell, HP, Lenovo, iPhone, iPad, Macbook, etc.). Il faudra toujours, en revanche, déverrouiller son appareil, que ce soit avec un code PIN, une vérification biométrique (empreinte ou reconnaissance faciale) ou le dessin d’une forme.
Comment fonctionne concrètement le protocole FIDO ?
Il est basé sur un protocole, actuellement FIDO2, qui utilise la cryptographie à clé publique. « L’infrastructure à clé publique (PKI) a été développée principalement pour prendre en charge les échanges d’informations sécurisés sur des réseaux non sécurisés », explique Gartner. Il s’agit d’un Client to Authenticator Protocols (CTAP) combiné au protocole d’authentification Web (WebAuthn) du World Wide Web Consortium (W3C) pour que cela soit compatible avec un maximum de plateformes.
En combinant ce protocole avec les systèmes biométriques des dernières générations d’appareils, on obtient une authentification sans mot de passe, mais tout aussi sécurisée, voire plus. Et, in fine, une expérience d’utilisation beaucoup plus fluide.
Prenons un exemple pour mieux comprendre le processus. Imaginons un consommateur effectuant des transactions avec sa banque via l’application mobile installée sur son téléphone. « La communication entre le serveur de la banque et le téléphone du client doit être cryptée. Cela se fait à l’aide de clés cryptographiques, appelées paire de clés privée et publique. Considérez ces clés PKI comme le verrouillage et le déverrouillage d’informations privées cryptées sur la transaction bancaire. La clé publique est enregistrée auprès du service en ligne, par exemple, le serveur d’une banque. La clé privée du client ne peut être utilisée qu’après avoir été déverrouillée sur l’appareil par l’utilisateur. Par conséquent, les cybercriminels n’ont aucun secret côté serveur à voler », résume le site de la société OneSpan, qui conçoit et vend des systèmes matériels et logiciels de sécurité informatique.
Toutes les clés installées sur le terminal pourront être sauvegardées dans le cloud afin d’être appliquées sur un nouvel appareil.
En combinant ce protocole avec les systèmes biométriques des dernières générations d’appareils, on obtient une authentification sans mot de passe, mais tout aussi sécurisée, voire plus. Et, in fine, une expérience d’utilisation beaucoup plus fluide, que ce soit sur son navigateur ou sur des applications. Tout cela repose sur une chose : l’adhésion à l’Alliance du plus grand nombre possible d’acteurs des nouvelles technologies. Outre Microsoft, Apple et Google, que nous avons déjà cités, Facebook, Amazon, Arm, Intel, Qualcomm ou encore Samsung font également partie du consortium.
Que se passe-t-il en cas de perte ou de renouvellement du terminal ?
Qu’on ait cassé son smartphone ou qu’on souhaite changer d’ordinateur, l’Alliance FIDO a prévu le coup. Toutes les clés installées sur le terminal pourront être sauvegardées dans le cloud afin d’être appliquées sur un nouvel appareil et faciliter ainsi la transition sans devoir tout recommencer.
Quand les passkeys seront-ils mis en place ?
Pour l’heure, l’Alliance FIDO n’a pas donné de date précise. Le déploiement devrait être progressif d’ici la fin de l’année 2022 et courant 2023. Difficile de donner une date précise sous peine de tout chambouler au même moment, mais les annonces devraient se multiplier dans les prochains mois. D’ici là, il faudra encore se rappeler de ses mots de passe, continuer à recevoir des SMS de vérification, voire valider des liens par mail. Sans parler des procédures « mot de passe oublié ? ». Bref, vivement les passkeys !