L’authentification sans mot de passe pourrait bientôt être réalité

La fin des mots de passe

Un nouveau format ouvert vise à remplacer l’utilisation des mots de passe par diverses méthodes d’authentification tout aussi sécuritaires.

En octobre dernier, Google a mis en place une nouvelle méthode de connexion à ses services web qui repose sur un dispositif plutôt traditionnel : une clé USB. Bien que cette initiative ne sert qu’à remplacer la retranscription du code de sécurité transmis dans le cadre de l’authentification avec validation en deux étapes, l’idée qu’on puisse exploiter cette méthode afin de se débarrasser des mots de passe a traversé l’esprit de certains.

«Aujourd’hui, nous célébrons une réalisation qui déterminera le moment où les jours de l’omniprésence des mots de passe et des NIP seront comptés», a déclaré le président de l’alliance FIDO.

Si bien que le consortium derrière le protocole utilisé par Google publie aujourd’hui la version 1.0 de son format ouvert. Il s’agit en réalité de deux spécifications : le Universal Authentification Framework (UAF) et le Universal 2nd Factor (U2F). Comme vous l’aurez peut-être deviné, le premier protocole jette les bases d’une authentification simplifiée, tandis que le second est conçu pour être exploité dans le contexte d’une validation en deux étapes.

«Aujourd’hui, nous célébrons une réalisation qui déterminera le moment où les jours de l’omniprésence des mots de passe et des NIP seront comptés», a déclaré Michæl Barrett, président de l’alliance FIDO (Fast IDentity Online).

«Les pionniers de l’alliance FIDO pourront à jamais revendiquer avoir inauguré l’ère “post mot de passe”, une nouvelle dimension qui fait déjà sa marque auprès de services Internet et du commerce électronique.»

Une infrastructure à la portée de tout développeur

Plus efficace et plus stable, ce format ouvert offre un support cryptographique pouvant fonctionner sur une foule d’appareils déjà sur le marché. Essentiellement, il sera beaucoup plus facile pour un fabricant de produire un téléphone muni d’un lecteur d’empreinte digitale et pour un développeur de concevoir une application offrant une authentification sans mot de passe sécuritaire qui repose sur ce nouveau standard.

Parmi les membres de l’alliance FIDO, on retrouve Alibaba, ARM, BlackBerry, Google, Lenovo, Microsoft et Samsung sur la liste des plus importantes entreprises du secteur technologique. Du côté des partenaires influents dans le secteur bancaire, on retrouve Discover, MasterCard, Paypal et Visa.

Outre la clé USB proposée par Google, Samsung a travaillé en collaboration avec Paypal afin que le lecteur d’empreinte digitale qui équipe les appareils du fabricant sud-coréen puisse être utilisé pour se connecter au service bancaire américain. L’entreprise Nok Nok Labs quant à elle souhaite aider les développeurs d’applications iOS a intégrer les protocoles du consortium FIDO dans leurs produits afin d’exploiter le lecteur Touch ID de l’iPhone et l’iPad de la même façon (notamment grâce à l’API introduite avec le lancement d’iOS 8).

L’authentification sans mot de passe se démocratise ainsi peu à peu. Selon le contexte, il pourrait bientôt être possible de se connecter à la plupart de nos services web avec une clé USB, l’empreinte digitale, la reconnaissance vocale ou faciale, etc.

Pourvu que la proposition de l’alliance FIDO soit adoptée par une majorité de joueurs importants. La liste actuelle de ses membres nous laisse croire que ça pourrait bien être le cas.

  • http://epeelegendaire.com Maxime Tremblay

    Curieux de voir comment cette authentification sera rendue disponible sur nos appareils mobiles.

  • Joel D’Astous-Pagé

    J’ai hâte de voir ce que Benoît Gagnon en pense niveau sécurité. Il me semble que cette méthode ne règle pas les failles/limites de l’authentification biométrique.

  • Yann Spied

    J’espère ne pas avoir bien compris, c’est censé être un bonne nouvelle pour la sécurité ?

    Si j’ai bien compris il suffira d’avoir la clef usb (plus explicitement: de l’avoir voler ou emprunter discrètement) pour se connecter, plus de mot de passe.

    Les clef usb portant ds certificats (pouvant servir à l’authentification, entre autres choses) existent déjà depuis longtemps, mais (la plupart du temps) il faut fournir un mot de passe à l’utilisation pour que la clef accepte de faire le boulot. C’est bien le fait qu’il y ait à la fois un aspect matériel (la clef) et immatériel (le mot de passe) qui les rendent sécurisés.

    L’intérêt d’un mot de passe c’est qu’il est « immatériel », il n’existe que dans la mémoire de la seule personne à le connaitre (oui je sais, c’est de théorie) et qu’il ne peut donc pas être volé. La fourniture d’un mot de passe permet de supposer que c’est bien la personne qu le fournit puisque c’est censée être la seule à le connaitre. L’utilisation supplémentaire d’un moyen matériel en local (genre clef usb) permet de faire en sorte que le mot de passe soit transformé de façon sécurisée (signature du mot de passe pas certificat par exemple) pour que le mot de passe ne voyage pas en clair de serveurs en serveurs.

    Mais si on enlève le mot de passe et qu’on ne garde que la clef usb ?? On s’est débarrassé de toute la sécurité!

    Imaginez une seconde qu’il soit possible d’utiliser votre carte bancaire sans avoir besoin du code… oups, c’est le cas!

    Bref, clef usb ou tout autre moyen matériel « en plus » oui pour augmenter la sécurité mais si c’est « à la place », il n’y a plus réellement de sécurité.

    C’est marrant, ça me fait pensé à une startup qui a le vent en poupe en ce moment (j’ai oublié le nom) qui propose exactement le contraire: une application qui permet d’ouvrir la porte de votre maison, partant du principe qu’un serrure avec une clef matérielle c’est très peu sécurisé (puisqu’il suffit de voler la clef ou de crocheter la serrure), en demandant un mot de passe on augmente la sécurité.