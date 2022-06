Apple, Google et d’autres géants de la technologie ont parmi leurs plans de mettre fin aux mots de passe pour toujours. C’est ce que tu dois savoir

En cette fin d’année, Apple et Google lanceront les nouvelles versions de leurs principaux systèmes d’exploitation : iOS 16 et macOS Ventura par ceux de Cupertino, et Android 13 dans le cas de la firme de Mountain View.

Chaque entreprise a une feuille de route complètement différente pour le déploiement de ses systèmes d’exploitation, et les plates-formes diffèrent par le nombre et le type de fonctions qu’elles intégreront – bien que, dans certains cas, il existe des similitudes raisonnables. Cette année, ironiquement, Google s’est concentré sur la confidentialité et Apple sur la personnalisation. Mais il existe un lien entre les plans des deux sociétés, qui consiste en l’intention mutuelle d’en finir une fois pour toutes avec les mots de passe, par le biais de ce qu’on appelle les « passkeys ».

Passkeys est la technologie avec laquelle Apple et Google, ainsi que d’autres entreprises participant à l’alliance FIDO, ont l’intention de remplacer les mots de passe classiques comme système de connexion dans nos comptes Internet. Le processus ne sera pas facile, mais il ne fait aucun doute que les deux entreprises ont des bases plus que solides pour atteindre leur objectif d’en finir une fois pour toutes avec une méthode de vérification aussi démodée et peu sûre que les mots de passe.

Étant donné que ce système d’identification se rapproche et qu’il n’y a pas de retour en arrière, nous avons voulu répondre aux questions et doutes les plus répétés sur les clés d’accès, afin de comprendre comment l’arrivée de cette technologie peut signifier la fin des mots de passe tels que nous les connaissons aujourd’hui. .

Qu’est-ce qu’une « clé d’accès » ?

Google et Apple imaginent un futur proche dans lequel, lors de la connexion à une page web ou à une application, il suffirait de déverrouiller notre mobile grâce à une méthode biométrique, comme un lecteur d’empreintes digitales ou un système de reconnaissance faciale, pour nous identifier et accéder à notre compte . Le tout sans avoir besoin de saisir un mot de passe.

C’est là que les clés d’accès entrent en jeu : les données d’accès sont stockées dans une clé cryptée, que notre mobile ou PC utilisera lorsqu’il tentera de se connecter à une application ou à une page Web. Pour ce faire, l’utilisateur doit approuver l’utilisation de la clé en déverrouillant le mobile à l’aide d’une méthode sécurisée, telle que la détection d’empreintes digitales, la reconnaissance faciale ou le code PIN.

Par conséquent, chaque fois que vous souhaitez vous connecter à un site Web ou à une application protégés par un mot de passe, vous devez utiliser votre propre appareil comme méthode de vérification. Ceci, d’autre part, signifie que les systèmes d’authentification à deux facteurs ne sont plus aussi nécessaires qu’ils le sont aujourd’hui. Bien sûr, cela ajoute également une couche de difficulté lorsque vous essayez de vous connecter à l’un de nos comptes protégés par un mot de passe à partir de l’appareil d’un membre de la famille ou d’un ami si vous n’avez pas votre propre appareil à portée de main.

Cependant, il existe une solution qui peut nous sauver dans ce type de situation : lorsque vous essayez de vous connecter à un site Web ou à une application protégée par un mot de passe sur un appareil tiers, il sera possible de scanner un code QR avec la caméra de notre mobile. En connectant les deux appareils via Bluetooth pour s’assurer qu’ils sont tous les deux proches et en utilisant une méthode de déverrouillage sécurisée sur le mobile, la connexion sera établie qui permettra d’effectuer le processus d’authentification.

Qui est derrière ce système ?

Une collaboration entre l’Alliance FIDO et le World Wide Web Consortium a été à l’origine de la création de clés de sécurité. Il a été développé comme une norme ouverte et commune qui pourrait signifier la fin de l’accès via des mots de passe sur les pages Web et les applications, les remplaçant par une méthode plus sécurisée et facile à utiliser.

En mai de cette année, Apple, Google et Microsoft se sont engagés à ajouter la prise en charge de cette norme sur leurs principales plates-formes et à accélérer sa mise en œuvre sur des milliards d’appareils à travers le monde.

De même, d’autres sociétés spécialisées dans la sécurité des mots de passe comme AgileBits –la société derrière 1Password–, LastPass ou encore Dashlane font également partie de l’alliance FIDO, promoteur de ce système.

Les gestionnaires de mots de passe les meilleurs et les plus sûrs pour Android

Est-ce vraiment une méthode plus sécurisée que les mots de passe ?

Il est très probable que, dans votre quotidien, vous utilisiez des dizaines de mots de passe différents pour accéder aux différents comptes d’utilisateurs que vous avez dans les applications et les pages Web de toutes sortes. Et, à moins que vous ne soyez vraiment soucieux de la sécurité, certains de ces mots de passe peuvent être répétés ou ne pas suivre toutes les recommandations suggérées par les experts en cybersécurité. Quelque chose de plus courant que vous ne le pensez, et il vous suffit de consulter la liste des mots de passe les plus utilisés en Espagne pour vous en rendre compte.

L’objectif principal des clés d’accès est d’éliminer le besoin de se souvenir des mots de passe ou de lutter pour générer des clés suffisamment fortes pour chaque page Web ou application. Les menaces telles que le phishing, les escroqueries ou le simple fait d’utiliser un mot de passe non sécurisé ne sont que quelques-uns des problèmes que cette méthode de vérification traîne depuis des années et que les clés de sécurité peuvent éliminer d’un simple trait de stylo.

En plus de cela, les clés d’accès utilisent une méthode de sécurité plus que éprouvée : l’authentification par clé publique. Il s’agit d’une méthode similaire à celle utilisée par les cartes de crédit ou de débit lors de la vérification d’un paiement, où la page Web ou l’application n’a qu’un enregistrement de la propre clé publique de chaque utilisateur, et la clé privée est stockée cryptée sur l’appareil de l’utilisateur, prête à être utilisé lors du processus de connexion.

Puisqu’il n’y a pas de base de données de mots de passe sur la page Web ou les serveurs d’applications, mais que seul l’enregistrement de la clé publique est stocké, l’utilisateur n’a pas à s’inquiéter d’éventuels piratages ou vols de données.

Cela fonctionnera-t-il sur tous vos appareils ?

Vasu Jakkal, vice-président de la sécurité chez Microsoft, a défini de la meilleure façon possible l’un des principaux avantages de ce système de vérification : « En utilisant des clés de passe sur leurs appareils mobiles, les utilisateurs peuvent se connecter à un navigateur Google Chrome fonctionnant sous Microsoft Windows, en utilisant un mot de passe sur un appareil Apple. »

Et c’est que, puisqu’il s’agit d’un standard ouvert adopté par les trois principales entreprises, la seule différence sera dans la manière de l’implémenter dans leurs plateformes respectives. Cependant, la base du système sera la même et il y aura une interopérabilité entre Android, iOS, macOS, Windows, Chrome et le reste des plateformes et services.

Quand pouvez-vous commencer à utiliser Passkeys et oublier les mots de passe

Comme je l’ai dit au début, Apple et Google – également Microsoft – ont l’intention d’accélérer la mise en œuvre des clés de sécurité sur leurs principales plates-formes, afin de réaliser le plus tôt possible le futur tant attendu sans mots de passe.

Dans le cas de Google et de ses plates-formes, 2022 et 2023 devraient être des années clés pour la mise en œuvre des clés de sécurité sur des plates-formes telles que Chrome et Android. En fait, Android 13 introduit déjà la prise en charge native des clés de sécurité, et la même chose se produit avec iOS 16 et macOS Ventura dans le cas d’Apple.

Le support sera donc prêt d’ici la fin de l’année. Mais il vaut mieux ne pas encore désinstaller votre gestionnaire de mots de passe : nous devrons attendre que les pages Web et les applications introduisent la possibilité d’utiliser les clés de sécurité comme méthode d’identification des utilisateurs, et, si la réception est positive, elles peuvent même devenir la valeur par défaut. système lors de l’inscription.

Il ne semble donc pas que les mots de passe vont disparaître à court ou moyen terme. Mais si l’acceptation par les principales pages Web et applications du monde entier progresse à un bon rythme, la transition pourrait s’effectuer de manière plus agile, et bientôt on pourrait parler d’un Internet beaucoup plus sûr pour les utilisateurs.

