L’alliance FIDO qui travaille sur un standard d’authentification unique, simple, rapide, sécurisé reçoit un soutien accru d’Apple, Google et Microsoft. L’objectif est d’accéder par un simple déverrouillage d’un téléphone à la totalité des sites et services de l’utilisateur. Une promesse qui pourrait se concrétiser dans quelques années.
L’annonce le 5 mai des 3 géants californiens du numérique constituerait un pas décisif pour s’affranchir des très nombreux mots de passe nécessaires pour s’authentifier sur les sites web ou services. Le futur standard d’authentification de FIDO promet des ouvertures de session plus rapides, plus faciles et plus sûres pour les consommateurs sur les principaux périphériques et plateformes.
La gestion casse-tête de la pléthore de sésames numérique est souvent contournée en utilisant souvent le même mot de passe. Selon ce rapport publié en mars par la société de cybersécurité SpyCloud, 64 % des utilisateurs réutilisent des mots de passe pour plusieurs comptes et 70 % des informations d'identification compromises lors des attaques précédentes sont toujours utilisées.
Les deux promesses du nouveau standard d’authentification sont les suivantes. D’une part, l’accès automatique aux identifiants de connexion FIDO sur plusieurs de leurs appareils, même les nouveaux, sans avoir à réenregistrer chaque compte.
D’autre part la possibilité d’utiliser l’authentification via smartphone pour accéder à une application ou à un site web sur tous les ordinateurs, quelque soit le navigateur web ou le système d’exploitation.
Concrètement, pour accéder automatiquement à une ressource protégée par un code, il suffira de déverrouiller son téléphone mobile. Sur le plan technique, ce nouveau mode d’authentification fait appel au chiffrement asymétrique avec une clé publique et une clé privée. Cette dernière est au préalable stockée sur le smartphone. La clé publique, qui ne permet pas à un pirate de décrypter le mot de passe, se trouve sur le site web ou l’application.
Un pas important mais l’abandon des mots de passe n’est pas pour demain
De nombreux experts en sécurité saluent la disponibilité dès 2023 de ce nouveau standard simple et rapide. Il comble le défaut d'interopérabilité entre les très nombreux dispositifs existants d'authentification forte, multifacteurs ou la biométrie et promet d’en finir avec les problèmes de la création et de la mémorisation fastidieuse de dizaines d'utilisateur et mots de passe.
Cependant, il ne devrait être largement répandu que dans plusieurs années. Le temps pour les gestionnaires des innombrables sites web et applications d’implémenter le nouveau standard FIDO.
Steve Bellovin, chercheur en sécurité attaché à l’université de Columbia aux Etats-Unis, pointe le risque potentiel si un utilisateur perd ou casse son téléphone mobile qui est la clé de voute du nouveau standard. Cet expert mentionne aussi le problème de la récupération des mots de passe oubliés. Google affirme dans le communiqué qu’en cas de perte du téléphone, l’identifiant unique d’authentification sera synchronisé avec le nouveau smartphone. Nous somme priés de le croire.