Microsoft a annoncé que tous les nouveaux comptes créés sur ses services (tels que Microsoft 365, Xbox, Skype ou Copilot) seront désormais configurés sans mot de passe par défaut. Cette initiative marque une avancée majeure vers une authentification plus sécurisée et conviviale, en mettant en avant des méthodes telles que les passkeys, les notifications push via l'application Microsoft Authenticator et les clés de sécurité physiques.Contexte
Après avoir soutenu les connexions Windows sans mot de passe pendant des années et même permis aux utilisateurs de supprimer les mots de passe de leurs comptes, Microsoft fait son plus grand pas vers un avenir sans mot de passe. Désormais, la société demandera aux personnes qui ouvrent un nouveau compte de n'utiliser par défaut que des méthodes plus sûres, telles que les clés d'accès, les notifications push et les clés de sécurité.
Il est important de noter que cette nouvelle politique s'applique uniquement aux nouveaux comptes. Les utilisateurs existants peuvent choisir de supprimer leur mot de passe via les paramètres de leur compte, mais ne sont pas obligés de le faire. Microsoft n'est pas seul dans cette démarche. Des entreprises comme Apple, Google et Amazon soutiennent également l'adoption des passkeys, en collaboration avec la FIDO Alliance, qui promeut des standards ouverts pour une authentification sans mot de passe.
Une réponse aux failles des mots de passe traditionnels
Les mots de passe ont longtemps été le talon d'Achille de la cybersécurité. Faciles à oublier, souvent réutilisés et vulnérables aux attaques par force brute ou au phishing, ils représentent une menace constante. Microsoft rapporte qu'elle bloque en moyenne 7 000 attaques par seconde visant les mots de passe.
Les passkeys, basées sur les standards FIDO, utilisent une paire de clés cryptographiques : une clé publique stockée sur les serveurs de Microsoft et une clé privée conservée sur l'appareil de l'utilisateur. L'authentification s'effectue via des méthodes biométriques (empreinte digitale, reconnaissance faciale) ou un code PIN, rendant les tentatives de phishing pratiquement inefficaces.
Qu'est-ce que les passkeys ?
Les passkeys peuvent remplacer les mots de passe traditionnels par les méthodes d'authentification propres à votre appareil. Ainsi, vous pouvez vous connecter à Gmail, PayPal ou iCloud simplement en activant Face ID sur votre iPhone, le capteur d'empreintes digitales de votre téléphone Android ou Windows Hello sur un PC.
Basé sur la technologie WebAuthn (ou Web Authentication), deux clés différentes sont générées lorsque vous créez un mot de passe : une clé stockée par le site web ou le service où se trouve votre compte, et une clé privée stockée sur l'appareil que vous utilisez pour vérifier votre identité.
Bien entendu, si les clés sont stockées sur votre appareil, que se passe-t-il s'il est cassé ou perdu ? Étant donné que les passkeys fonctionnent sur plusieurs appareils, vous pouvez disposer d'une copie de sauvegarde. De nombreux services prenant en charge les passkeys se réauthentifient également à l'aide de votre numéro de téléphone ou de votre adresse électronique, ou d'une clé de sécurité matérielle, si vous en possédez une.
Les coffres-forts de mots de passe d'Apple et de Google prennent déjà en charge les passkeys, tout comme les gestionnaires de mots de passe tels que 1Password et Dashlane. 1Password a également créé un annuaire en ligne répertoriant les services qui permettent aux utilisateurs de se connecter à l'aide d'une clé de sécurité.
Vers l'ouverture de session sans mot de passe
Envoyé par Microsoft
Il y a dix ans, Microsoft a eu une idée audacieuse. Au lieu de s'identifier à l'aide de mots de passe maladroits et peu sûrs, pourquoi ne pas simplement sourire ?
C'est dans cette optique que Microsoft a lancé Windows Hello, un nouveau moyen pour les utilisateurs de se connecter en toute sécurité à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN. Windows Hello a permis de poser les bases d'une toute nouvelle ère d'authentification. Aujourd'hui, plus de 99 % des personnes qui se connectent à leurs appareils Windows avec leur compte Microsoft le font à l'aide de Windows Hello.
Cependant, à mesure que le monde et nos vies numériques évoluaient, il est devenu évident qu'il ne suffisait pas de se connecter à son appareil sans mot de passe. Pour assurer la sécurité de votre vie numérique, vous devez pouvoir vous connecter à n'importe quel compte sans mot de passe. Dans le cadre d'un effort à l'échelle du secteur, Microsoft a collaboré étroitement avec l'alliance FIDO et avec des partenaires de plateforme pour développer les passkeys : une méthode d'authentification basée sur des normes et résistante au phishing, qui remplace les mots de passe. Désormais, vous pouvez vous connecter à n'importe quelle application ou site web pris en charge à l'aide d'un passkey en utilisant votre visage, votre empreinte digitale ou votre code PIN. Des centaines de sites web, représentant des milliards de comptes, prennent désormais en charge l'ouverture de session à l'aide d'un passkey. Le monde change !
Au cours de la dernière décennie, nous avons observé deux tendances importantes qui coïncident : les gens se sont de plus en plus habitués à se connecter à leurs appareils sans mot de passe, et le nombre de cyberattaques basées sur des mots de passe a augmenté de façon spectaculaire. Les acteurs malveillants savent que l'ère des mots de passe est révolue et que le nombre de comptes faciles à compromettre diminue. Ils consacrent donc des ressources considérables à l'automatisation des attaques par force brute et par hameçonnage contre tout compte encore protégé par un mot de passe. L'année dernière, nous avons observé un nombre stupéfiant de 7 000 attaques de mots de passe par seconde (plus du double du taux de 2023). Alors que les passkeys deviennent la nouvelle norme, il faut s'attendre à une pression accrue des cyberattaquants sur tous les comptes encore protégés par des mots de passe ou d'autres méthodes d'ouverture de session susceptibles d'être hameçonnées.
C'est dans cette optique que Microsoft a lancé Windows Hello, un nouveau moyen pour les utilisateurs de se connecter en toute sécurité à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN. Windows Hello a permis de poser les bases d'une toute nouvelle ère d'authentification. Aujourd'hui, plus de 99 % des personnes qui se connectent à leurs appareils Windows avec leur compte Microsoft le font à l'aide de Windows Hello.
Cependant, à mesure que le monde et nos vies numériques évoluaient, il est devenu évident qu'il ne suffisait pas de se connecter à son appareil sans mot de passe. Pour assurer la sécurité de votre vie numérique, vous devez pouvoir vous connecter à n'importe quel compte sans mot de passe. Dans le cadre d'un effort à l'échelle du secteur, Microsoft a collaboré étroitement avec l'alliance FIDO et avec des partenaires de plateforme pour développer les passkeys : une méthode d'authentification basée sur des normes et résistante au phishing, qui remplace les mots de passe. Désormais, vous pouvez vous connecter à n'importe quelle application ou site web pris en charge à l'aide d'un passkey en utilisant votre visage, votre empreinte digitale ou votre code PIN. Des centaines de sites web, représentant des milliards de comptes, prennent désormais en charge l'ouverture de session à l'aide d'un passkey. Le monde change !
Au cours de la dernière décennie, nous avons observé deux tendances importantes qui coïncident : les gens se sont de plus en plus habitués à se connecter à leurs appareils sans mot de passe, et le nombre de cyberattaques basées sur des mots de passe a augmenté de façon spectaculaire. Les acteurs malveillants savent que l'ère des mots de passe est révolue et que le nombre de comptes faciles à compromettre diminue. Ils consacrent donc des ressources considérables à l'automatisation des attaques par force brute et par hameçonnage contre tout compte encore protégé par un mot de passe. L'année dernière, nous avons observé un nombre stupéfiant de 7 000 attaques de mots de passe par seconde (plus du double du taux de 2023). Alors que les passkeys deviennent la nouvelle norme, il faut s'attendre à une pression accrue des cyberattaquants sur tous les comptes encore protégés par des mots de passe ou d'autres méthodes d'ouverture de session susceptibles d'être hameçonnées.
Bien que les comptes actuels n'aient pas à se débarrasser de leurs mots de passe, les nouveaux comptes essaieront de les laisser derrière eux en ne vous invitant pas du tout à créer un mot de passe :
« Dans le cadre de cette simplification de l'interface utilisateur, nous modifions le comportement par défaut des nouveaux comptes. Les nouveaux comptes Microsoft seront désormais « sans mot de passe par défaut ». Les nouveaux utilisateurs disposeront de plusieurs options sans mot de passe pour se connecter à leur compte et ils n'auront jamais besoin d'enregistrer un mot de passe. Les utilisateurs existants peuvent se rendre dans les paramètres de leur compte pour supprimer leur mot de passe ».
Oui... mais
L'annonce de Microsoft ne mentionne pas que, même après avoir créé un mot de passe, les utilisateurs ne peuvent pas se passer de mot de passe tant qu'ils n'ont pas installé l'application Microsoft Authenticator sur leur téléphone. Microsoft a rendu Authy, Google Authenticator et d'autres applications similaires incompatibles, un choix qui gêne inutilement les utilisateurs et sape l'ensemble du message marketing « sans mot de passe par défaut ».
L'utilisation de Microsoft Authenticator n'est pas une condition préalable à l'utilisation d'une clé de sécurité, mais les titulaires de comptes qui ne l'ont pas ne pourront pas se débarrasser de leurs mots de passe de connexion. Le fait qu'un mot de passe soit toujours associé au compte compromet la plupart des avantages des clés d'accès en matière de sécurité.
Les Passkeys, qui font partie de la norme WebAuthn de l'Alliance FIDO, fournissent en théorie un moyen d'authentification immunisé contre le phishing, les fuites de mots de passe et la pulvérisation de mots de passe. La dernière version « FIDO2 » de WebAuthn crée, lors de chaque inscription, une paire de clés de cryptage publique/privée unique qui est générée et stockée sur le téléphone, l'ordinateur, le Yubikey ou tout autre appareil similaire de l'utilisateur. Dans le jargon de WebAuthn, ce dispositif est appelé « Authenticator ». La partie publique de la clé est envoyée au service de compte. La clé privée reste liée à l...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
L’abandon du mot de passe ne risque-t-il pas de rendre les utilisateurs trop dépendants d’un écosystème fermé (Microsoft Authenticator, Windows Hello, etc.) ?
