Norme FIDO2 : Windows 10 progresse sur le chemin de l’accès web sans mot de passe

Mots de passe

Microsoft avance encore un plus sur la voix de la connexion sans mot de passe, en remportant une certification pour Windows Hello qui permettra aux utilisateurs de se connecter plus facilement aux ordinateurs Windows.

fido2

Windows Hello est le système d’authentification de Windows 10, et Microsoft l’a introduit pour nous aider à nous détourner des accès basés sur les mots de passe. Il permet aux ordinateurs, dotés du matériel de lecture approprié ou d’une caméra adéquate pour numériser vos empreintes digitales ou votre visage, d’accéder à Windows 10 et à votre compte Microsoft. Vous pouvez également l’utiliser pour accéder à des services tiers.

Ce mois-ci, l’entreprise a obtenu la certification FIDO2 pour Windows Hello. En devenant un authentifiant certifié FIDO2, Microsoft vient d’autoriser 800 millions d’utilisateurs de Windows 10 à utiliser une clé de sécurité matérielle avec le système sans mot de passe de Windows Hello.

FIDO vise à rendre les connexions plus faciles et plus sécurisées

Pour comprendre pourquoi une telle avancée est importante, nous devons explorer FIDO, qui signifie Fast IDentity Online. L’Alliance FIDO est un groupe industriel soutenu par de grands acteurs du secteur des technologies qui vise à simplifier et à sécuriser les connexions.

Depuis sa création en 2013, l’Alliance FIDO a publié trois normes. La première, annoncée en 2014, était l’Universal Authentication Framework (UAF). Cette norme se concentrait sur l’utilisation de la biométrie basée sur votre empreinte digitale pour une authentification sans mot de passe.

La deuxième norme était l’Universal Second Factor (U2F). Celle-ci permet aux utilisateurs de s’authentifier à l’aide de périphériques tels que des clés USB que vous pouvez connecter à votre ordinateur ou grâce à des périphériques NFC (Near-Field Communication) que vous pouvez utiliser via un lecteur physique. Google et Yubico ont développé cette technologie d’authentification à deux facteurs, signifiant ainsi que vous êtes censé l’utiliser comme une couche de protection supplémentaire en plus de votre mot de passe habituel.

Idéalement, nous aimerions supprimer les mots de passe. C’est là que FIDO2 entre en jeu. Il utilise un protocole appelé Authentification Web (WebAuthn), qui récupère la clé numérique stockée sur votre clé USB ou sur une autre clé matérielle et la transmet directement à l’application web à laquelle vous souhaitez accéder.

Cela signifie que si vous avez une clé matérielle, un navigateur et une application web prenant en charge FIDO2, vous pourrez vous connecter à vos applications web sans avoir à vous souvenir de vos maudits mots de passe.

Microsoft avait initialement annoncé une prise en charge de FIDO2 en novembre 2018. Vous pouviez alors utiliser votre clé matérielle avec le navigateur Edge pour vous connecter à votre compte Microsoft sur le web. Windows Hello vous permettait déjà d’utiliser votre visage ou vos empreintes digitales (avec un périphérique équipé au préalable de manière adéquate) pour vous connecter à votre ordinateur et à votre compte Microsoft.

Hello au web sans mot de passe !

L’annonce de ce mois-ci signifie que vous pouvez maintenant vous connecter à votre ordinateur Windows 10 et à votre compte Microsoft en utilisant votre clé matérielle et Windows Hello. Cette annonce devrait faire plaisir aux utilisateurs de Windows Hello qui ne disposent pas d’un appareil photo pour la reconnaissance faciale ou d’un lecteur d’empreintes digitales pour la numérisation. Tous les utilisateurs de Windows 10 ne sont pas des utilisateurs de Windows Hello, mais ce développement facilite l’adoption du système par un plus grand nombre d’utilisateurs de Microsoft et l’abandon total de l’accès par mot de passe.

Cette nouvelle fonctionnalité renforce un peu plus une norme qui nous aidera à nous écarter totalement des mots de passe. WebAuthn est une norme officielle après que le W3C l’ait ratifié en mars 2019, ainsi le consensus pour FIDO2 est très fort. FIDO2 est également rétrocompatible avec UAF et U2F, signifiant ainsi que les personnes qui ont déjà investi dans ces systèmes ne perdent pas au change.

Toutes les applications web ne prennent pas en charge FIDO2, mais les choses semblent prometteuses, car les développeurs peuvent activer la prise en charge à l’aide d’un simple appel d’API JavaScript.

Les utilisateurs de Firefox ne sont pas en reste

L’entreprise a également annoncé aujourd’hui qu’elle autoriserait les utilisateurs de Firefox à se connecter à leurs comptes Microsoft à l’aide de FIDO2. Une prise en charge  pour Chrome suivra bientôt. Ainsi, si vous n’êtes pas un fan du navigateur Edge, vous pouvez toujours accéder à vos produits Microsoft de cette façon.

Il existe tout de même des risques avec FIDO2. Vous pouvez perdre votre clé matérielle et si un individu la vole, il peut théoriquement se connecter en tant que vous. Je dis bien “théoriquement” car vous pouvez éviter une telle situation, par exemple en créant une clé de sauvegarde et en utilisant une clé matérielle avec reconnaissance d’empreintes digitales intégrée. C’est certainement plus sûr que de s’en remettre exclusivement à un mot de passe, qu’une personne située à l’autre bout de la planète peut voler, et c’est surtout plus pratique à utiliser.

Cela signifie-t-il la fin des mots de passe tels que nous les connaissons aujourd’hui ? Non. Cela ne se produira probablement pas avant des années, étant donné l’inertie inhérente à des milliers d’applications et de services en ligne. Mais cette prise en charge par Microsoft, avec sa base d’utilisateurs massive, va indéniablement dans la bonne direction.


Billet inspiré de Windows 10 brings password-free access another step closer, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.