Simplifiez-vous l'innovation

#astuce
catégories

#astuce
partage

#astuce
liens internes

Article 2

Bientôt la fin des mots de passe !

Philothée
Philothée
26 mars 2019

Qu’elles utilisent une clé USB, les empreintes digitales ou l’agencement des veines de la main, des solutions se développent pour nous libérer des mots de passe impossibles à retenir, sans sacrifier la sécurité.

Depuis quelques années déjà, les codes de déverrouillage d’appareils électroniques perdent du terrain, remplacés par des combinaisons de formes ou, plus “futuristes”, des capteurs d’empreintes digitales, dont disposent nombre de smartphones et les nouveaux Mac, ou encore la reconnaissance faciale. En février 2019, le fabricant LG a annoncé que son prochain téléphone, le G8 ThinQ, serait équipé de la fonctionnalité “Hand ID” : l’appareil reconnaîtra son propriétaire en observant la taille et la forme des veines de la paume de sa main, qui sont apparemment aussi uniques que les empreintes digitales. La fonction “sans mot de passe” s’étend déjà aussi, logiquement, à tout un tas d’applications mobiles, qui utilisent surtout la reconnaissance digitale.

Antonio Villas-Boas pour Business Insider

S’identifier, une tâche de plus en plus compliquée

Mais quand on utilise son navigateur et qu’on veut se connecter sur n’importe quel site qui requiert un compte, c’est la valse des mots de passe qui commence. On connaît la chanson : il faut qu’ils soient longs, qu’ils mêlent lettres, chiffres et caractères spéciaux, et il en faut un différent par compte, et en changer souvent. Et puis bien sûr, tous les formulaires n’ont pas exactement les mêmes critères.

Comme si ce n’était pas assez compliqué comme ça, le moyen le plus sûr de se prémunir de piratages est d’utiliser la double identification (ou two-factor authentication, aussi appelée 2FA) : à chaque fois que vous essayez de vous connecter avec votre mot de passe, un code est envoyé sur votre téléphone pour s’assurer que c’est bien vous. Le log in devient donc de plus en plus compliqué — et long, si vous avez eu le malheur d’oublier l’un de vos multiples mots de passe et devez faire toute la procédure de réinitialisation.

Clés et empreintes

C’est là qu’entrent en scène toute une série de technologies. Il y a par exemple la Yubikey, qui n’annule pas la séquence mot de passe + code de la 2FA, mais la rend plus rapide et plus sûre. Cette petite clé USB prend en charge la deuxième partie du processus, et permet à tous les sites auxquels vous cherchez à vous connecter de vérifier que c’est bien vous. Plus de codes potentiellement interceptables envoyés sur votre téléphone, la clé se charge de tout. Comme le résume le magazine Wired, “imaginez que c’est une vraie clé qui, au lieu de déverrouiller une porte, déverrouille votre vie en ligne.”

Mais l’innovation qui promet de nous débarrasser des mots de passe tout court, c’est FIDO. Il s’agit d’un standard open source d’authentification sans mot de passe, développé par l’alliance du même nom. FIDO, c’est exactement ce qu’utilisent les apps qui vous demandent votre empreinte digitale pour s’ouvrir. La version 2 de ce standard veut en étendre l’utilisation aux navigateurs, pour qu’il soit possible de se connecter à son compte sur un site de vente en ligne ou à l’espace abonnés d’un média sans avoir à taper son mot de passe — en utilisant une Yubikey ou le Bluetooth, mais aussi bien sûr les empreintes digitales. Fin février 2019, Google a annoncé qu’Android était désormais capable d’utiliser le standard FIDO2, ce qui veut dire que la plupart des utilisateurs d’Android peuvent se connecter sans mot de passe dans des navigateurs comme Chrome. Google parie sur la reconnaissance digitale, déjà entrée dans les habitudes, comme mode principal d’utilisation de FIDO2. À mesure que les ordinateurs se dotent eux aussi de scanners d’empreinte digitale, la pratique devrait se répandre comme une traînée de poudre.

Simulation d'achat sans mot de passe sur Microsoft Hello

Safety first

Cerise sur le gâteau, la reconnaissance des empreintes digitales est aussi sûre sur le plan de la vie privée : l’empreinte est conservée uniquement en local, sur le téléphone, et envoyée à personne d’autre, assurent la FIDO Alliance et Google.

Ne reste plus maintenant aux développeurs d’applications et de web apps qu’à prévoir d’autoriser l’identification sans mot de passe, et les e-mails de type : “Votre demande de réinitialisation de mot de passe a bien été prise en compte” pourront aller aux oubliettes. Vivement demain !


Philothée
Ecrit par
Philothée Gaymard
Partager
Commentaires (0)

Merci de poster votre commentaires

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

S’inscrire
à la newsletter