
mais impose à demi-mot son Microsoft Authenticator
Microsoft a annoncé que tous les nouveaux comptes créés sur ses services (tels que Microsoft 365, Xbox, Skype ou Copilot) seront désormais configurés sans mot de passe par défaut. Cette initiative marque une avancée majeure vers une authentification plus sécurisée et conviviale, en mettant en avant des méthodes telles que les passkeys, les notifications push via l'application Microsoft Authenticator et les clés de sécurité physiques.
Contexte
Après avoir soutenu les connexions Windows sans mot de passe pendant des années et même permis aux utilisateurs de supprimer les mots de passe de leurs comptes, Microsoft fait son plus grand pas vers un avenir sans mot de passe. Désormais, la société demandera aux personnes qui ouvrent un nouveau compte de n'utiliser par défaut que des méthodes plus sûres, telles que les clés d'accès, les notifications push et les clés de sécurité.
Il est important de noter que cette nouvelle politique s'applique uniquement aux nouveaux comptes. Les utilisateurs existants peuvent choisir de supprimer leur mot de passe via les paramètres de leur compte, mais ne sont pas obligés de le faire. Microsoft n'est pas seul dans cette démarche. Des entreprises comme Apple, Google et Amazon soutiennent également l'adoption des passkeys, en collaboration avec la FIDO Alliance, qui promeut des standards ouverts pour une authentification sans mot de passe.
Une réponse aux failles des mots de passe traditionnels
Les mots de passe ont longtemps été le talon d'Achille de la cybersécurité. Faciles à oublier, souvent réutilisés et vulnérables aux attaques par force brute ou au phishing, ils représentent une menace constante. Microsoft rapporte qu'elle bloque en moyenne 7 000 attaques par seconde visant les mots de passe.
Les passkeys, basées sur les standards FIDO, utilisent une paire de clés cryptographiques : une clé publique stockée sur les serveurs de Microsoft et une clé privée conservée sur l'appareil de l'utilisateur. L'authentification s'effectue via des méthodes biométriques (empreinte digitale, reconnaissance faciale) ou un code PIN, rendant les tentatives de phishing pratiquement inefficaces.
Qu'est-ce que les passkeys ?
Les passkeys peuvent remplacer les mots de passe traditionnels par les méthodes d'authentification propres à votre appareil. Ainsi, vous pouvez vous connecter à Gmail, PayPal ou iCloud simplement en activant Face ID sur votre iPhone, le capteur d'empreintes digitales de votre téléphone Android ou Windows Hello sur un PC.
Basé sur la technologie WebAuthn (ou Web Authentication), deux clés différentes sont générées lorsque vous créez un mot de passe : une clé stockée par le site web ou le service où se trouve votre compte, et une clé privée stockée sur l'appareil que vous utilisez pour vérifier votre identité.
Bien entendu, si les clés sont stockées sur votre appareil, que se passe-t-il s'il est cassé ou perdu ? Étant donné que les passkeys fonctionnent sur plusieurs appareils, vous pouvez disposer d'une copie de sauvegarde. De nombreux services prenant en charge les passkeys se réauthentifient également à l'aide de votre numéro de téléphone ou de votre adresse électronique, ou d'une clé de sécurité matérielle, si vous en possédez une.
Les coffres-forts de mots de passe d'Apple et de Google prennent déjà en charge les passkeys, tout comme les gestionnaires de mots de passe tels que 1Password et Dashlane. 1Password a également créé un annuaire en ligne répertoriant les services qui permettent aux utilisateurs de se connecter à l'aide d'une clé de sécurité.
Vers l'ouverture de session sans mot de passe

Bien que les comptes actuels n'aient pas à se débarrasser de leurs mots de passe, les nouveaux comptes essaieront de les laisser derrière eux en ne vous invitant pas du tout à créer un mot de passe :
« Dans le cadre de cette simplification de l'interface utilisateur, nous modifions le comportement par défaut des nouveaux comptes. Les nouveaux comptes Microsoft seront désormais « sans mot de passe par défaut ». Les nouveaux utilisateurs disposeront de plusieurs options sans mot de passe pour se connecter à leur compte et ils n'auront jamais besoin d'enregistrer un mot de passe. Les utilisateurs existants peuvent se rendre dans les paramètres de leur compte pour supprimer leur mot de passe ».
Oui... mais
L'annonce de Microsoft ne mentionne pas que, même après avoir créé un mot de passe, les utilisateurs ne peuvent pas se passer de mot de passe tant qu'ils n'ont pas installé l'application Microsoft Authenticator sur leur téléphone. Microsoft a rendu Authy, Google Authenticator et d'autres applications similaires incompatibles, un choix qui gêne inutilement les utilisateurs et sape l'ensemble du message marketing « sans mot de passe par défaut ».
L'utilisation de Microsoft Authenticator n'est pas une condition préalable à l'utilisation d'une clé de sécurité, mais les titulaires de comptes qui ne l'ont pas ne pourront pas se débarrasser de leurs mots de passe de connexion. Le fait qu'un mot de passe soit toujours associé au compte compromet la plupart des avantages des clés d'accès en matière de sécurité.
Les Passkeys, qui font partie de la norme WebAuthn de l'Alliance FIDO, fournissent en théorie un moyen d'authentification immunisé contre le phishing, les fuites de mots de passe et la pulvérisation de mots de passe. La dernière version « FIDO2 » de WebAuthn crée, lors de chaque inscription, une paire de clés de cryptage publique/privée unique qui est générée et stockée sur le téléphone, l'ordinateur, le Yubikey ou tout autre appareil similaire de l'utilisateur. Dans le jargon de WebAuthn, ce dispositif est appelé « Authenticator ». La partie publique de la clé est envoyée au service de compte. La clé privée reste liée à l'appareil de l'utilisateur, où elle ne peut pas être extraite.
Lorsque l'utilisateur souhaite se connecter, le service de compte lui présente un « défi unique » qui se présente sous la forme d'une entrée aléatoire. Lorsque l'utilisateur active l'Authenticator - en saisissant un code PIN ou un mot de passe ou en fournissant une empreinte digitale ou un scan du visage - l'Authenticator utilise la clé privée pour signer le défi et l'envoyer au site. Le site utilise alors la clé publique dont il dispose pour vérifier la validité de la signature.
Cette conception élégante permet à la personne qui se connecte de prouver cryptographiquement qu'elle est bien l'utilisateur autorisé, sans jamais exposer un justificatif d'identité qui pourrait être volé ou compromis d'une autre manière. En outre, la paire de clés unique est cryptographiquement liée à l'URL du compte auquel elle appartient, ce qui rend impossible l'utilisation de l'identifiant contre des sites d'hameçonnage de type « look-alike ». (Le flux pour l'ancienne version FIDO1 de WebAuthn est différent).
Les comptes Microsoft avec Microsoft Authenticator sont l'un des rares à offrir la possibilité de se passer véritablement de mot de passe. Pour ceux qui ne souhaitent pas installer l'application, leur compte sera toujours associé à ce secret partagé facile à compromettre. Dans ce cas, certains des principaux avantages des clés d'accès sont mis en sourdine.
Avantages et défis
L'adoption des passkeys offre plusieurs bénéfices notables aux entreprises :
- Taux de réussite élevé : Les utilisateurs de passkeys réussissent leur connexion dans 98 % des cas, contre seulement 32 % pour ceux utilisant des mots de passe traditionnels.
- Rapidité : La connexion via passkey est trois fois plus rapide qu'avec un mot de passe et huit fois plus rapide qu'avec une authentification à deux facteurs traditionnelle.
- Réduction des coûts IT : Moins de demandes de réinitialisation de mots de passe signifie une charge réduite pour les équipes informatiques.
Malgré ces avantages, la transition vers une authentification sans mot de passe présente certains défis :
- Dépendance aux appareils : La perte ou le vol d'un appareil peut compliquer l'accès aux comptes, même si des solutions de récupération existent.
- Interopérabilité limitée : Actuellement, Microsoft favorise son propre Authenticator pour la gestion des passkeys, ce qui peut poser problème aux utilisateurs d'autres solutions.
- Courbe d'apprentissage : Pour certains utilisateurs, notamment les moins technophiles, l'adoption de nouvelles méthodes d'authentification peut être déroutante.
Source : Microsoft
Et vous ?





Vous avez lu gratuitement 19 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.