Revoir la charge mentale et bonjour la sécurité promettent Apple, Google et Microsoft

Pendant des années, le fléau des internautes, c’était les spams, des tsunamis de spams qui convergeaient de toutes les parties pour se déverser en wagons entiers dans nos boîtes mails. Plus que celui-ci est en très bonne voie de disparaître, un autre fléau inclus le relais : celui des mots de passe, dont le nom ne cesse d’augmenter avec la dématérialisation galopante de nos sociétés. Ces mots de passe qu’on nous sue à chaque pas sur Internet, qu’il s’agisse de se connecter ici à ses services de base en ligne (Sécu, banque, assurance, télécoms, médecin, transports, voyages…) , là à ses réseaux sociaux, voire à ses différents comptes de mails, à ses applis en ligne pour le bureau comme pour les loisirs… ils pullulent et chacun de se faire sa petite solution de secours (système mnémotechnique du type A[email protected]! et/ou liste papier ou numérique) pour ne pas en oublier un seul, à défaut de se retrouver le bec dans l’eau.

Et c’est justement ce qu’a pointé hier Grahame Williams, directeur de la gestion des identités et des accès chez Thales, lors de la Journée mondiale du mot de passe, lorsqu’il a déclaré que les mots de passe “devenaient de plus en plus dangereux” parce qu’ils étaient “facilement piraté”:

« Des recherches récentes ont montré que le nombre de PDG utilise encore “12356” comme mot de passe. »

En fait, l’autre problème majeur, cette cellule de sécurité, le danger d’être un pirate sont compte – voire tous ses comptes – et de ne plus pouvoir accéder à ses données, ou alors contre rançon. Quand ce n’est pas carrément l’usurpation d’identité qui guette… Bref, une forte charge mentale quotidienne à gérer, et une injonction de sécurité qui dépasse l’entendement humain. Car, littéralement débordés dans leurs capacités cognitives, les internautes utilisent alors des mots de passe trop faciles à deviner, voire toujours le même pour se simplifier la vie… mais aussi celle des escrocs de tout poil en embuscade.

Selon une ancienne étude (2016) de Skyhigh Networks En analysant 11 millions de billets les plus populaires en vente sur le Darknet, 10,3% des internautes utilisent l’un des 20 billets Internet les plus populaires. Ce qui renvoie à dire qu’en moins de 20 essais, n’importe que pourrait pirater près d’un compte sur dix.

Alliance de choc pour alléger et sécuriser l’usage d’Internet

Mais, bonne nouvelle a priori, les géants de l’Internet Google, Apple et Microsoft ont bénéficié de la Journée mondiale du mot de passe, jeudi 5 mai, pour annoncer qu’ils s’alliaient afin d’en finir avec ce calvaire. Je lui ai communiqué après que Mountain View, une fuite de Google, a annoncé que les trois géants vont s’allier pour vont construire un système permettant de s’authentifier sans avoir à mémoriser des séries de signes cabalistiques.

La nouvelle fonctionnalité permet aux sites Web et aux applications d’offrir aux consommateurs des connexions sans mot de passe cohérents, sécurisés et faciles sur tous les appareils et plaques-formes.

“Avec la nouvelle fonctionnalité, les consommateurs pourraient s’authentifier sur les sites internet et les applications mobiles facilement, sans mot de passe et en sécurité, quel que soit l’appareil ou le système d’exploitation”, a résumé l’association FIDO Alliance (Fast Identity Online Alliance) dans un communiqué.

FIDO, c’est la cheville ouvrière de cette révolution technologique, une alliance d’industriels travaillant à améliorer, facilite et sécurise l’authentification numérique. FIDO a été lancé officiellement en février 2013 mais il a aussi été financé en amont, en 2012, par l’alliance d’acteurs majestueux avec PayPal, Validity Sensors (ces deux-là étant le noyau original créé en 2009 autour des problématiques de cryptographie à clé publique) , Lenovo, Nok Nok Labs, Infineon et Agnitio. C’est en 2012 que j’ai débuté les travaux sur un protocole d’authentification sans mot de passe.

Par la suite, les centaines d’entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l’Alliance FIDO et du W3C pour croire que les normes de connexion sans mot de passe que sont déjà prises en charge par des milliards d’appareils fonctionnent sous tous les systèmes d’exploitation et navigateurs Web modernes (iOS, macOS, Safari, Chrome, Android, Edge, Windows, etc.), dixit le communiqué du FIDO.

Des milliards d’appareils… pour des milliards d’utilisateurs : après le site Internet Live Stats, les internautes sont désormais 5,3 millions dans le monde. Le nom des internautes a été multiplié par 10 entre 1999 et 2013, en constante augmentation (1 milliard d’internautes en 2005, 2 milliards en 2010, 3 milliards en 2014).

Des “identifiants Fido” pour s’authentifier sur toutes les plateformes

Après que je l’ai communiqué, Google a expliqué que l’objectif est que les utilisateurs puissent se connecter à un service en ligne simplement en déverrouillant leur smartphone (via la méthode habituelle : entreprise numérique, reconnaissance faciale, code de puces multiples…).

Plus précisément, un site Internet pourra demander à l’internaute s’il veut “s’authentifier avec ses identifiants FIDO”. Le message apparaîtra simultanément sur le téléphone, ou l’utilisateur se contentera d’embrasser l’accepteur, au dos de l’écran, car il sera connecté au site. Les smartphones conservent ces identifiants codés, baptisés “passkey” (clef d’accès). Une fois inscrit sur Fido, il ne sera plus nécessaire, à aucun moment de croire ou d’entrer un mot de passe.

La promesse est que l’authentification Fido sera accessible à toute personne qui utilise le système d’exploitation ou pour naviguer, et qui est l’appareil, car il sera possible de convertir un nouvel appareil via Bluetooth à l’aide d’un premier appareil ayant déjà les informations d’identification. Il ne sera plus nécessaire de recourir à la double authentification pour les SMS, désignée comme obsolète après… 2016.

Une solution à pas de géants, d’ici à douze mois

Les trois géants des technologies se sont engagés à la place des nouveaux systèmes dans les douze mois, sur Android et iOS (les systèmes d’exploitation mobiles de Google et Apple), sur Chrome, Edge et Safari (les navigateurs de Google, Microsoft et Apple) et sur Windows et macOS (les systèmes d’exploitation de Microsoft et Apple pour les ordinateurs).

“L’authentification avec les motifs du pass unique est l’un des problèmes de sécurité les plus importants sur le web”, note Apple dans son communiqué, que ajoute :

« La nouvelle approche de protection du hameçonnage et de la connexion à un service sera radicalement plus sûre que les mots de passe et d’autres technologies avec les codes uniques envoyés par SMS. »

Par Andrew Shikiar, directeur exécutif et CMO de l’Alliance FIDO, “cette nouvelle capacité devrait inaugurer une nouvelle vague d’implémentations FIDO à frottement réalisable parallèlement à l’utilisation continue et croissante des clés de sécurité, offrant aux fournisseurs de services une gamme complète d’options pour infecter une authentification moderne et résistance au phishing.”

(avec AFP et Reuters)