Sécurité ou dépendance ? Microsoft opte pour une authentification sans mots de passe pour les nouveaux comptes qui se connectent à ses services,mais impose à demi-mot son Microsoft Authenticator
Microsoft a annoncé que tous les nouveaux comptes créés sur ses services (tels que Microsoft 365, Xbox, Skype ou Copilot) seront désormais configurés sans mot de passe par défaut. Cette initiative marque une avancée majeure vers une authentification plus sécurisée et conviviale, en mettant en avant des méthodes telles que les passkeys, les notifications push via l'application Microsoft Authenticator et les clés de sécurité physiques.
Contexte
Après avoir soutenu les connexions Windows sans mot de passe pendant des années et même permis aux utilisateurs de supprimer les mots de passe de leurs comptes, Microsoft fait son plus grand pas vers un avenir sans mot de passe. Désormais, la société demandera aux personnes qui ouvrent un nouveau compte de n'utiliser par défaut que des méthodes plus sûres, telles que les clés d'accès, les notifications push et les clés de sécurité.
Il est important de noter que cette nouvelle politique s'applique uniquement aux nouveaux comptes. Les utilisateurs existants peuvent choisir de supprimer leur mot de passe via les paramètres de leur compte, mais ne sont pas obligés de le faire. Microsoft n'est pas seul dans cette démarche. Des entreprises comme Apple, Google et Amazon soutiennent également l'adoption des passkeys, en collaboration avec la FIDO Alliance, qui promeut des standards ouverts pour une authentification sans mot de passe.
Une réponse aux failles des mots de passe traditionnels
Les mots de passe ont longtemps été le talon d'Achille de la cybersécurité. Faciles à oublier, souvent réutilisés et vulnérables aux attaques par force brute ou au phishing, ils représentent une menace constante. Microsoft rapporte qu'elle bloque en moyenne 7 000 attaques par seconde visant les mots de passe.
Les passkeys, basées sur les standards FIDO, utilisent une paire de clés cryptographiques : une clé publique stockée sur les serveurs de Microsoft et une clé privée conservée sur l'appareil de l'utilisateur. L'authentification s'effectue via des méthodes biométriques (empreinte digitale, reconnaissance faciale) ou un code PIN, rendant les tentatives de phishing pratiquement inefficaces.
Qu'est-ce que les passkeys ?
Les passkeys peuvent remplacer les mots de passe traditionnels par les méthodes d'authentification propres à votre appareil. Ainsi, vous pouvez vous connecter à Gmail, PayPal ou iCloud simplement en activant Face ID sur votre iPhone, le capteur d'empreintes digitales de votre téléphone Android ou Windows Hello sur un PC.
Basé sur la technologie WebAuthn (ou Web Authentication), deux clés différentes sont générées lorsque vous créez un mot de passe : une clé stockée par le site web ou le service où se trouve votre compte, et une clé privée stockée sur l'appareil que vous utilisez pour vérifier votre identité.
Bien entendu, si les clés sont stockées sur votre appareil, que se passe-t-il s'il est cassé ou perdu ? Étant donné que les passkeys fonctionnent sur plusieurs appareils, vous pouvez disposer d'une copie de sauvegarde. De nombreux services prenant en charge les passkeys se réauthentifient également à l'aide de votre numéro de téléphone ou de votre adresse électronique, ou d'une clé de sécurité matérielle, si vous en possédez une.
Les coffres-forts de mots de passe d'Apple et de Google prennent déjà en charge les passkeys, tout comme les gestionnaires de mots de passe tels que 1Password et Dashlane. 1Password a également créé un annuaire en ligne répertoriant les services qui permettent aux utilisateurs de se connecter à l'aide d'une clé de sécurité.
Vers l'ouverture de session sans mot de passe
Envoyé par Microsoft
Il y a dix ans, Microsoft a eu une idée audacieuse. Au lieu de s'identifier à l'aide de mots de passe maladroits et peu sûrs, pourquoi ne pas simplement sourire ?
C'est dans cette optique que Microsoft a lancé Windows Hello, un nouveau moyen pour les utilisateurs de se connecter en toute sécurité à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN. Windows Hello a permis de poser les bases d'une toute nouvelle ère d'authentification. Aujourd'hui, plus de 99 % des personnes qui se connectent à leurs appareils Windows avec leur compte Microsoft le font à l'aide de Windows Hello.
Cependant, à mesure que le monde et nos vies numériques évoluaient, il est devenu évident qu'il ne suffisait pas de se connecter à son appareil sans mot de passe. Pour assurer la sécurité de votre vie numérique, vous devez pouvoir vous connecter à n'importe quel compte sans mot de passe. Dans le cadre d'un effort à l'échelle du secteur, Microsoft a collaboré étroitement avec l'alliance FIDO et avec des partenaires de plateforme pour développer les passkeys : une méthode d'authentification basée sur des normes et résistante au phishing, qui remplace les mots de passe. Désormais, vous pouvez vous connecter à n'importe quelle application ou site web pris en charge à l'aide d'un passkey en utilisant votre visage, votre empreinte digitale ou votre code PIN. Des centaines de sites web, représentant des milliards de comptes, prennent désormais en charge l'ouverture de session à l'aide d'un passkey. Le monde change !
Au cours de la dernière décennie, nous avons observé deux tendances importantes qui coïncident : les gens se sont de plus en plus habitués à se connecter à leurs appareils sans mot de passe, et le nombre de cyberattaques basées sur des mots de passe a augmenté de façon spectaculaire. Les acteurs malveillants savent que l'ère des mots de passe est révolue et que le nombre de comptes faciles à compromettre diminue. Ils consacrent donc des ressources considérables à l'automatisation des attaques par force brute et par hameçonnage contre tout compte encore protégé par un mot de passe. L'année dernière, nous avons observé un nombre stupéfiant de 7 000 attaques de mots de passe par seconde (plus du double du taux de 2023). Alors que les passkeys deviennent la nouvelle norme, il faut s'attendre à une pression accrue des cyberattaquants sur tous les comptes encore protégés par des mots de passe ou d'autres méthodes d'ouverture de session susceptibles d'être hameçonnées.
C'est dans cette optique que Microsoft a lancé Windows Hello, un nouveau moyen pour les utilisateurs de se connecter en toute sécurité à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN. Windows Hello a permis de poser les bases d'une toute nouvelle ère d'authentification. Aujourd'hui, plus de 99 % des personnes qui se connectent à leurs appareils Windows avec leur compte Microsoft le font à l'aide de Windows Hello.
Cependant, à mesure que le monde et nos vies numériques évoluaient, il est devenu évident qu'il ne suffisait pas de se connecter à son appareil sans mot de passe. Pour assurer la sécurité de votre vie numérique, vous devez pouvoir vous connecter à n'importe quel compte sans mot de passe. Dans le cadre d'un effort à l'échelle du secteur, Microsoft a collaboré étroitement avec l'alliance FIDO et avec des partenaires de plateforme pour développer les passkeys : une méthode d'authentification basée sur des normes et résistante au phishing, qui remplace les mots de passe. Désormais, vous pouvez vous connecter à n'importe quelle application ou site web pris en charge à l'aide d'un passkey en utilisant votre visage, votre empreinte digitale ou votre code PIN. Des centaines de sites web, représentant des milliards de comptes, prennent désormais en charge l'ouverture de session à l'aide d'un passkey. Le monde change !
Au cours de la dernière décennie, nous avons observé deux tendances importantes qui coïncident : les gens se sont de plus en plus habitués à se connecter à leurs appareils sans mot de passe, et le nombre de cyberattaques basées sur des mots de passe a augmenté de façon spectaculaire. Les acteurs malveillants savent que l'ère des mots de passe est révolue et que le nombre de comptes faciles à compromettre diminue. Ils consacrent donc des ressources considérables à l'automatisation des attaques par force brute et par hameçonnage contre tout compte encore protégé par un mot de passe. L'année dernière, nous avons observé un nombre stupéfiant de 7 000 attaques de mots de passe par seconde (plus du double du taux de 2023). Alors que les passkeys deviennent la nouvelle norme, il faut s'attendre à une pression accrue des cyberattaquants sur tous les comptes encore protégés par des mots de passe ou d'autres méthodes d'ouverture de session susceptibles d'être hameçonnées.
Bien que les comptes actuels n'aient pas à se débarrasser de leurs mots de passe, les nouveaux comptes essaieront de les laisser derrière eux en ne vous invitant pas du tout à créer un mot de passe :
« Dans le cadre de cette simplification de l'interface utilisateur, nous modifions le comportement par défaut des nouveaux comptes. Les nouveaux comptes Microsoft seront désormais « sans mot de passe par défaut ». Les nouveaux utilisateurs disposeront de plusieurs options sans mot de passe pour se connecter à leur compte et ils n'auront jamais besoin d'enregistrer un mot de passe. Les utilisateurs existants peuvent se rendre dans les paramètres de leur compte pour supprimer leur mot de passe ».
Oui... mais
L'annonce de Microsoft ne mentionne pas que, même après avoir créé un mot de passe, les utilisateurs ne peuvent pas se passer de mot de passe tant qu'ils n'ont pas installé l'application Microsoft Authenticator sur leur téléphone. Microsoft a rendu Authy, Google Authenticator et d'autres applications similaires incompatibles, un choix qui gêne inutilement les utilisateurs et sape l'ensemble du message marketing « sans mot de passe par défaut ».
L'utilisation de Microsoft Authenticator n'est pas une condition préalable à l'utilisation d'une clé de sécurité, mais les titulaires de comptes qui ne l'ont pas ne pourront pas se débarrasser de leurs mots de passe de connexion. Le fait qu'un mot de passe soit toujours associé au compte compromet la plupart des avantages des clés d'accès en matière de sécurité.
Les Passkeys, qui font partie de la norme WebAuthn de l'Alliance FIDO, fournissent en théorie un moyen d'authentification immunisé contre le phishing, les fuites de mots de passe et la pulvérisation de mots de passe. La dernière version « FIDO2 » de WebAuthn crée, lors de chaque inscription, une paire de clés de cryptage publique/privée unique qui est générée et stockée sur le téléphone, l'ordinateur, le Yubikey ou tout autre appareil similaire de l'utilisateur. Dans le jargon de WebAuthn, ce dispositif est appelé « Authenticator ». La partie publique de la clé est envoyée au service de compte. La clé privée reste liée à l'appareil de l'utilisateur, où elle ne peut pas être extraite.
Lorsque l'utilisateur souhaite se connecter, le service de compte lui présente un « défi unique » qui se présente sous la forme d'une entrée aléatoire. Lorsque l'utilisateur active l'Authenticator - en saisissant un code PIN ou un mot de passe ou en fournissant une empreinte digitale ou un scan du visage - l'Authenticator utilise la clé privée pour signer le défi et l'envoyer au site. Le site utilise alors la clé publique dont il dispose pour vérifier la validité de la signature.
Cette conception élégante permet à la personne qui se connecte de prouver cryptographiquement qu'elle est bien l'utilisateur autorisé, sans jamais exposer un justificatif d'identité qui pourrait être volé ou compromis d'une autre manière. En outre, la paire de clés unique est cryptographiquement liée à l'URL du compte auquel elle appartient, ce qui rend impossible l'utilisation de l'identifiant contre des sites d'hameçonnage de type « look-alike ». (Le flux pour l'ancienne version FIDO1 de WebAuthn est différent).
Les comptes Microsoft avec Microsoft Authenticator sont l'un des rares à offrir la possibilité de se passer véritablement de mot de passe. Pour ceux qui ne souhaitent pas installer l'application, leur compte sera toujours associé à ce secret partagé facile à compromettre. Dans ce cas, certains des principaux avantages des clés d'accès sont mis en sourdine.
Avantages et défis
L'adoption des passkeys offre plusieurs bénéfices notables aux entreprises :
- Taux de réussite élevé : Les utilisateurs de passkeys réussissent leur connexion dans 98 % des cas, contre seulement 32 % pour ceux utilisant des mots de passe traditionnels.
- Rapidité : La connexion via passkey est trois fois plus rapide qu'avec un mot de passe et huit fois plus rapide qu'avec une authentification à deux facteurs traditionnelle.
- Réduction des coûts IT : Moins de demandes de réinitialisation de mots de passe signifie une charge réduite pour les équipes informatiques.
Malgré ces avantages, la transition vers une authentification sans mot de passe présente certains défis :
- Dépendance aux appareils : La perte ou le vol d'un appareil peut compliquer l'accès aux comptes, même si des solutions de récupération existent.
- Interopérabilité limitée : Actuellement, Microsoft favorise son propre Authenticator pour la gestion des passkeys, ce qui peut poser problème aux utilisateurs d'autres solutions.
- Courbe d'apprentissage : Pour certains utilisateurs, notamment les moins technophiles, l'adoption de nouvelles méthodes d'authentification peut être déroutante.
Source : Microsoft
Et vous ?
L’abandon du mot de passe ne risque-t-il pas de rendre les utilisateurs trop dépendants d’un écosystème fermé (Microsoft Authenticator, Windows Hello, etc.) ? Comment garantir l’accessibilité de ces nouvelles méthodes pour les utilisateurs moins technophiles, ou ceux qui n’ont pas accès à des smartphones récents ? Les utilisateurs dans les pays en développement, ou à connectivité limitée, ne risquent-ils pas d’être exclus ou désavantagés par cette approche “passwordless” ? La volonté de Microsoft d’imposer ses propres outils d’authentification ne va-t-elle pas à l’encontre de l’esprit d’universalité promu par la FIDO Alliance ? Les entreprises utilisant plusieurs systèmes (Google Workspace, Azure, AWS…) pourront-elles vraiment unifier leur authentification sans mots de passe ?
Vous avez lu gratuitement 19 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
